5
File Server 2008R2 - Zugriff auf Freigabe für bestimmte User verhindern
Hallo zusammen,
wir haben im Moment folgende Konfiguration:
- 2 Netze - 1 Verwaltungsnetz und 1 Fertigungsnetz
- 1 FS 2008R2 der nur aus dem Verwaltungsnetz erreichbar ist
- 1 FS 2008R2 der aus dem Verwaltungsnetz und dem Fertigungsnetz erreichbar ist
- alle PCs und die Server in der Verwaltung sind in der Domäne
- alle PCs in der Fertigung sind in einer Workgroup
Das soll nun überarbeitet werden. Alle PCs in der Fertigung sollen durch ThinClients ersetzt werden und auf einem RDP Server im Verwaltungsnetz arbeiten.
Nun gibt es aber ein Problem - die Freigaben auf dem FS im Verwaltungsnetz sind alle sehr freizügig eingerichtet worden bzw. es wurde hier nie mit Gruppen gearbeitet sondern immer direkt berechtigt
Zusätzlich gibt es sehr viele Ordner die einfach für "Domänen Benutzer" oder "Jeder" berechtigt sind.
Bis alles auf Gruppen umgestellt wurde, wird es noch dauern.
Nun die Frage, wenn die Fertigung auf dem RDP Server arbeitet, wie kann ich hier am besten die Zugriffe auf die Verwaltungsfreigaben verhindern? Die Fertigungs User sollen dann auch Domänen Accounts bekommen. Die Fertigung soll nur Zugriff auf Ihren FS haben.
Ich könnte eine Gruppe mit allen Fertigungs Usern machen und den Zugriff auf die Freigabe verweigern. Damit verbaue ich mir aber die Möglichkeit, einzelne Fertigungs User auf bestimmte Ordner zu berechtigen.
Ich könnte die "Jeder" Freigabeberechtigung durch eine Gruppe ersetzen, die alle User beinhaltet, die Zugriff auf diese Freigabe haben sollen. Hier sehe ich im Moment kein großen Nachteil. Nur das die Gruppe gepflegt werden muss.
Habt ihr vielleicht noch andere Ideen?
Ich wäre für Anregungen sehr dankbar.
Gruß
wir haben im Moment folgende Konfiguration:
- 2 Netze - 1 Verwaltungsnetz und 1 Fertigungsnetz
- 1 FS 2008R2 der nur aus dem Verwaltungsnetz erreichbar ist
- 1 FS 2008R2 der aus dem Verwaltungsnetz und dem Fertigungsnetz erreichbar ist
- alle PCs und die Server in der Verwaltung sind in der Domäne
- alle PCs in der Fertigung sind in einer Workgroup
Das soll nun überarbeitet werden. Alle PCs in der Fertigung sollen durch ThinClients ersetzt werden und auf einem RDP Server im Verwaltungsnetz arbeiten.
Nun gibt es aber ein Problem - die Freigaben auf dem FS im Verwaltungsnetz sind alle sehr freizügig eingerichtet worden bzw. es wurde hier nie mit Gruppen gearbeitet sondern immer direkt berechtigt
Zusätzlich gibt es sehr viele Ordner die einfach für "Domänen Benutzer" oder "Jeder" berechtigt sind.
Bis alles auf Gruppen umgestellt wurde, wird es noch dauern.
Nun die Frage, wenn die Fertigung auf dem RDP Server arbeitet, wie kann ich hier am besten die Zugriffe auf die Verwaltungsfreigaben verhindern? Die Fertigungs User sollen dann auch Domänen Accounts bekommen. Die Fertigung soll nur Zugriff auf Ihren FS haben.
Ich könnte eine Gruppe mit allen Fertigungs Usern machen und den Zugriff auf die Freigabe verweigern. Damit verbaue ich mir aber die Möglichkeit, einzelne Fertigungs User auf bestimmte Ordner zu berechtigen.
Ich könnte die "Jeder" Freigabeberechtigung durch eine Gruppe ersetzen, die alle User beinhaltet, die Zugriff auf diese Freigabe haben sollen. Hier sehe ich im Moment kein großen Nachteil. Nur das die Gruppe gepflegt werden muss.
Habt ihr vielleicht noch andere Ideen?
Ich wäre für Anregungen sehr dankbar.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 315943
Url: https://administrator.de/contentid/315943
Printed on: April 26, 2024 at 10:04 o'clock
5 Comments
Latest comment
Servus,
So ist das leider
AD pflegen, da kannst du fast alles Abbilden...
Gruß
der jenni
... sehe ich im Moment kein großen Nachteil. Nur das die Gruppe gepflegt werden muss.
So ist das leider
Habt ihr vielleicht noch andere Ideen?
Ich wäre für Anregungen sehr dankbar.
Ich wäre für Anregungen sehr dankbar.
AD pflegen, da kannst du fast alles Abbilden...
Gruß
der jenni
Hi,
ja, sowas rächt sich immer irgendwann.
Maßnahme 1 könnte sein:
Wenn auf dem TS nur die User aus der Fertigung arbeiten sollen, dann kannst Du erstmal per Firewall-Regeln den Zugriff vom TS auf den Nur-Verwaltungs-Fileserver komplett unterbinden. Das kannst Du an der lokalen Firewall des TS oder des FS oder an beiden einstellen.
Dann schnellstens die Berechtigungen überarbeiten!
Besser wäre es m.E., zuerst die Berechtigungen zu überarbeiten. Du hättest jetzt einen guten Grund, die Zeit dafür zu rechtfertigen.
E.
ja, sowas rächt sich immer irgendwann.
Maßnahme 1 könnte sein:
Wenn auf dem TS nur die User aus der Fertigung arbeiten sollen, dann kannst Du erstmal per Firewall-Regeln den Zugriff vom TS auf den Nur-Verwaltungs-Fileserver komplett unterbinden. Das kannst Du an der lokalen Firewall des TS oder des FS oder an beiden einstellen.
Dann schnellstens die Berechtigungen überarbeiten!
Besser wäre es m.E., zuerst die Berechtigungen zu überarbeiten. Du hättest jetzt einen guten Grund, die Zeit dafür zu rechtfertigen.
E.
Danke euch beiden.
Ja die Berechtigungen wurden leider vor meiner Zeit so vergeben. Ich habe dann sofort damit begonnen eine Struktur mit Gruppen aufzubauen aber 2 FS die über viele Jahre gewachsen sind... das dauert um das alles gerade zu ziehen
Über die AD bilde ich jetzt die Berechtigungen (Gruppen) auch gut ab. Hier habe ich mir Sturktur aufgebaut und das passt. Docusnap hilft dann auch die bestehende Berechtigungen zu überblicken. Oft ist dann auch die Vererbung unterbrochen, dann wurde mit verweigern gearbeitet und dann sind natürlich noch viele SID Leichen vorhanden...
Grundsätzlich würde ich auch gerne erst die Berechtigungen glatt ziehen und dann die Thematik mit der Fertigung angehen. Dadurch das die Fertigung aber nicht in der Domäne ist, sind alle PCs nur schwer zentral administrierbar sind (Virenscanner, WSUS, Patches, usw...) - würde ich diesen Punkt einfach gerne schnellstmöglich beheben.
Das mit der Firewall ist eine gute Idee. Nur habe ich dann wieder das Problem, falls doch ein Fertigungs User auf den FS der Verwaltung zugreifen muss, dass ich dies nicht realisieren kann.
Ich denke das ich wirklich über die Freigabeberechtigung gehe. Die "Jeder" Berechtigung entferne und eine eigene Gruppe eintrage. Diese kann ich dann nach den Wünschen anpassen und werde dann die Berechtigungen angehen.
Ja die Berechtigungen wurden leider vor meiner Zeit so vergeben. Ich habe dann sofort damit begonnen eine Struktur mit Gruppen aufzubauen aber 2 FS die über viele Jahre gewachsen sind... das dauert um das alles gerade zu ziehen
Über die AD bilde ich jetzt die Berechtigungen (Gruppen) auch gut ab. Hier habe ich mir Sturktur aufgebaut und das passt. Docusnap hilft dann auch die bestehende Berechtigungen zu überblicken. Oft ist dann auch die Vererbung unterbrochen, dann wurde mit verweigern gearbeitet und dann sind natürlich noch viele SID Leichen vorhanden...
Grundsätzlich würde ich auch gerne erst die Berechtigungen glatt ziehen und dann die Thematik mit der Fertigung angehen. Dadurch das die Fertigung aber nicht in der Domäne ist, sind alle PCs nur schwer zentral administrierbar sind (Virenscanner, WSUS, Patches, usw...) - würde ich diesen Punkt einfach gerne schnellstmöglich beheben.
Das mit der Firewall ist eine gute Idee. Nur habe ich dann wieder das Problem, falls doch ein Fertigungs User auf den FS der Verwaltung zugreifen muss, dass ich dies nicht realisieren kann.
Ich denke das ich wirklich über die Freigabeberechtigung gehe. Die "Jeder" Berechtigung entferne und eine eigene Gruppe eintrage. Diese kann ich dann nach den Wünschen anpassen und werde dann die Berechtigungen angehen.
Auf die Schnelle,
Mach eine Gruppe Verwaltungsnetz und in der sind alle Benutzer von Verwaltungsnetz drinnen.
Die Freigabeberächtigunen machst Du Vollzugriff für die Gruppe Verwaltungsnetz und der Rest fliegt raus.
Wenn auf den Freigaben noch andere Gruppen sind dann können die bleiben und Personen erstmal auch, aber Jeder kommt erstmal weg.
Dann ziehst Du das Rechtesystem Grade und machst Freigaben Jeder Vollzugriff und alles andere wird durch die Dateisystemrechte gemacht.
Auf diese Weise hast Du die Benutzer des Fertigungsnetzes ausgesperrt, aber kanns einzelnen benutzern Zugriff erteilen.
Gruß
Chonta
Mach eine Gruppe Verwaltungsnetz und in der sind alle Benutzer von Verwaltungsnetz drinnen.
Die Freigabeberächtigunen machst Du Vollzugriff für die Gruppe Verwaltungsnetz und der Rest fliegt raus.
Wenn auf den Freigaben noch andere Gruppen sind dann können die bleiben und Personen erstmal auch, aber Jeder kommt erstmal weg.
Dann ziehst Du das Rechtesystem Grade und machst Freigaben Jeder Vollzugriff und alles andere wird durch die Dateisystemrechte gemacht.
Auf diese Weise hast Du die Benutzer des Fertigungsnetzes ausgesperrt, aber kanns einzelnen benutzern Zugriff erteilen.
Gruß
Chonta
Danke Chonta,
dass war jetzt auch meine letzte Überlegung und so werde ich das wohl auch durchführen.
Beim ändern der Freigabeberechtigung wird ja die NTFS Berechtigung nicht angefasst und somit sollte für die bestehenden Zugriffe keine Änderung eintreten.
Bin bei Windows Berechtigungen immer sehr vorsichtig - ein falscher Klick und das Telefon steht nicht mehr still
dass war jetzt auch meine letzte Überlegung und so werde ich das wohl auch durchführen.
Beim ändern der Freigabeberechtigung wird ja die NTFS Berechtigung nicht angefasst und somit sollte für die bestehenden Zugriffe keine Änderung eintreten.
Bin bei Windows Berechtigungen immer sehr vorsichtig - ein falscher Klick und das Telefon steht nicht mehr still