Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Freigaben vs. Vererbung von NTFS-Berechtigungen

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

21.02.2007, aktualisiert 28.08.2008, 16693 Aufrufe, 7 Kommentare

Der übergeordnete Freigabeordner soll für die ganze Abteilung verfügbar sein, die Unterordner nur jeweils für spezielle Mitarbeiter. Wie kann ich das (in den NTFS-Zugriffsrechten) festlegen, ohne die Vererbung auszuschalten.

Hallo zusammen.

Habe eine Frage, die zumindest so noch nicht beantwortet worden ist, deshalb eröffne ich hier einen neuen Beitrag.

Wir haben verschiedene Abteilungen mit verschiedenen Fachbereichen.
Gewünschte Lösung wäre folgende:
Auf dem Fileserver im Ordner "Buchhaltung" (beispielsweise) liegen die einzelnen Unterordner, für die es verschiedene Zugriffsrechte gibt. Der Ordner "Buchhaltung" selbst ist nicht freigegeben und hat auch nur die vom Laufwerk vererbten Standardfreigaben (Admin, System). Freigegeben ist jeder der Unterordner (z.B. als "Buchhaltung-Verwaltung"). Bei diesen Unterordnern werden auch zusätzliche Zugriffsrechte (NTFS) vergeben (z.B. die Gruppe "DL-BH-VW-lesen" kriegt Vollzugriff).
D.h., ich habe eine klare Ordnerstruktur auf dem Server, bei dem alle Freigaben jeweils andere Zugriffsrechte haben, was auch mit der Vererbung prima geht. Nachteil: Ich habe zig Freigaben, die ich entweder alle mappen muss (nicht praktikabel), oder die alle in meinem Netzwerk angezeigt werden (nicht gut für die DAUs, die dann nichts mehr finden).

Ändere ich dieses System, so dass die Freigabe auf dem Überordner "Buchhaltung" liegt, so muss ich hier auch NTFS-Zugriffsrechte setzen und zwar für die ganze Abteilung. Diese Rechte würden sich aber nach unten Vererben, so dass entweder jedes Mitglied der Gruppe Buchhaltung einen verebten (mindestens Lese-)Zugriff auf alles hat (was geheimniskrämerischerweise nicht gewollt ist), oder aber ich die Vererbung ausschalten muss, was ich auch nicht will, weil ich meine Zugriffsrechte im Active Directory verwalten und nicht auf allen Ordnern rumklicken will.

Daher wäre es für uns bei der Einrichtung optimal, wenn für jeden Netzwerkbenutzer einfach nur die Freigaben sichtbar wären, die er auch nutzen darf. Es gab hierzu einen Link auf Microsoft ABE (Access-based Enumeration), was mir allerdings nicht hilft, da dieses Tool nicht die Freigaben selbst ausblendet, sondern nur deren Unterordner. D.h. für mich bleibt entweder das Problem mit der Vererbung (die oberste Freigabe muss für jeden Benutzer zugänglich sein, so dass ich untergeordnete Ordner nur durch Ausschalten der Vererbung sperren kann), oder es bleibt das Problem, dass trotzdem zig Freigaben im Netz erscheinen, weil diese durch MS ABE nicht versteckt werden.

Hat hier schon jemand Erfahrungen gesammelt?

Viele Grüße,
die Kaffeepause (momentan eher pausenlos)
Mitglied: 16409
21.02.2007 um 17:13 Uhr
Auch wenn das vielleicht nicht ganz dein Problem löst, aber was ist denn mit versteckten Freigaben. Die kann man im Netzwerk nicht sehen und jeder User bekommt nur die Pfade zu den Freigaben, auf denen er Zugriff hat.

so umgehst du das Problem der Vererbung und es sind nicht alle Frigaben sichtbar.
Bitte warten ..
Mitglied: Kaffeepause
21.02.2007 um 17:41 Uhr
Hallo und danke für die Antwort.

Freigabe$ löst das Problem -denke ich- nicht. Denn so ist eine Freigabe ja für alle unsichtbar, nicht nur für diejenigen, die keinen Zugriff haben. Das hieße, damit ein Benutzer seine entsprechenden Ordner auf dem Server findet, muss ich entweder alle Ordner mappen (und das sind zu viele), oder ich muss ganz banal mit Verknüpfungen arbeiten, was ich total unprofessionell fände. Auf jeden Fall könnte ich nicht einfach den Usern sagen: Klickt auf den Server, dort seht ihr alles, was ihr braucht (und auch nicht mehr).
Bitte warten ..
Mitglied: Dynadrate
21.02.2007 um 17:50 Uhr
Leider schreibst du, das du "nicht in den Ordner rumklicken möchtest". Es gibt jedoch diverse Kommandozeilen basierende Tools, mit denen NTFS Berechtigungen verwaltet werden können. Wenn man das ganze per Script abfeuert, hat das ganze auch Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis Buchhaltung zu mappen, die Berechtigungen per NTFS zu setzen und an gegebenen Stellen die Vererbung zu kappen für sinnvoller.
Bitte warten ..
Mitglied: Kaffeepause
21.02.2007 um 18:27 Uhr
Leider schreibst du, das du "nicht in
den Ordner rumklicken möchtest". Es
gibt jedoch diverse Kommandozeilen basierende
Tools, mit denen NTFS Berechtigungen
verwaltet werden können. Wenn man das
ganze per Script abfeuert, hat das ganze auch
Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis
Buchhaltung zu mappen, die Berechtigungen per
NTFS zu setzen und an gegebenen Stellen die
Vererbung zu kappen für sinnvoller.

Für mich sind die Domänen-lokalen Gruppen im Active Directory das Werkzeug, um Zugriffe auf Ordner, basierend auf der Organisationsstruktur, zu verwalten. Es wäre ein doppelter Aufwand, wenn ich erst meine Organisation im Active Directory abbilde, dann aber extra Tools brauche, um die tatsächlichen Zugriffe auf meinen Fileserver zu regeln. So schlecht kann MS doch nicht sein! ;)
Dokumentation habe ich auch über Active Directory. Hier kann ich auch mit DOS-Befehlen, also mit ganz einfachen Skripten un Batchdateien arbeiten.

Trotzdem: Welche Tools (NTFS Berechtigungen) sind denn empfehlenswert?
Bitte warten ..
Mitglied: Kaffeepause
27.08.2008 um 12:14 Uhr
Ich betrachte diesen Punkt als ungelöst-gelöst. Das soll heißen: es gibt hierzu keine mustergültige Lösung, aber dessen bin ich mir jetzt sicher. Ich habe die Vererbung unterbrochen, weil ich denke, dass das noch am besten ist.
Bitte warten ..
Mitglied: 16409
27.08.2008 um 21:38 Uhr
Und was ist, wenn du einen Ordner, z.B. Freigaben, erstellst und dort alle Ordner hinterlegst. Wenn du dann Microsoft ABE installierst und die Berechtigungen setzt, können alle diesen Ordner mappen und jeder sieht nur die für ihn bestimmten Ordner.
So habe ich es jetzt bei einem Kunden gelöst.
Bitte warten ..
Mitglied: Kaffeepause
28.08.2008 um 10:16 Uhr
Hallo,

wenn ich einen Ordner "Freigaben" erstelle, dann muss darauf für jeden mindestens der Lesezugriff eingerichtet sein, damit er/sie den Einstiegspunkt erreichen kann.
Um dann verschiedene Ordner "unsichtbar" zu machen, muss ich die Vererbungsrechte dann doch wieder kappen und den Lesezugriff wieder entfernen.

Oder man arbeitet mit Verweigerungen.
Aber das ist bei der Einrichtung dann einmalig ein größerer Aufwand, weil ich allen Gruppen außer der genehmigten den Zugriff verweigern muss. Ich kann ja nicht einfach "Jeder" verweigern, weil da diejenigen, die tatsächlich authentifiziert sind, mit enthalten sind.
D.h., will ich den Zugriff nur für "DL-BH-VW-schreiben" setzen, muss ich alle anderen Benutzer sperren/verweigern.
Das geht ohne Kappung der Vererbung (weil ja nur ein Recht hinzukommt und nicht weggenommen wird), aber ist - wie geschrieben - ein mordsaufwand. Noch schwieriger: ist beispielsweise ein Benutzer in mehreren Gruppen, wird die Verweigerung nahezu unmöglich, es sei denn, ich wende die Verweigerung nicht auf Gruppen, sondern auf einzelne Benutzer-Accounts an und das entspricht nicht dem A-GG-DL-P-Prinzip und verlangsamt der Zugriff, weil bei jedem Zugriff auf die Ressource die komplette ACL (alle gesetzten rechte) abgefragt wird.

(Hmmmm... Oder man erstellt Verweigerungsgruppen... hmmm...*grübelt*...)

Mehr Möglichkeiten habe ich ja nicht, die Unterordner über Microsoft ABE tatsächlich unsichtbar zu machen:
a) Vererbung kappen und Lesezugriff (vom übergeordneten Einstiegspunkt) entfernen
b) spezielle Verweigerung für alle anderen Benutzer, außer den gewollten, hinzufügen

*grübelt*

Das mit den Verweigerungsgruppen müsste prinzipiell gehen. Ich hätte dann DL-BH-VW-schreiben [alle Benutzer, die auf den Buchhaltung-Verwaltungs-Ordner schreiben können] mit Vollzugriff, DL-BH-VW-lesen [alle Benutzer mit Lesezugriff] und DL-BH-VW-verweigern [alle Benutzer, die keinen Zugriff haben sollen]. Auf dem Überordner stünde das NTFS-Recht "Authentifizierte Benutzer - lesen" und darunter würden explizit nicht nur die Rechte, sondern auch die Verweigerungen gesetzt. Hmmm. Das ginge.
Bitte warten ..
Ähnliche Inhalte
Microsoft
NTFS Berechtigungen - Vererbung
gelöst Frage von BierkastenMicrosoft11 Kommentare

Hallo liebe Community, so langsam bin ich echt ratlos mit dem Vergeben von Berechtigungen. Deswegen Frage an euch liebe ...

Windows Server

Freigaben, Berechtigung Problem nach Deaktivierung von Vererbung

Frage von opc123Windows Server7 Kommentare

Hallo, ich habe folgendes Problem mit Berechtigungen bei einer Ordner Struktur. Ein Ordner mit darunterliegenden Ordnern sollte geändert werden. ...

Windows Server

NTFS-Berechtigungen mit vielen Unterordnern, Vererbung unklar

Frage von PhilzipWindows Server6 Kommentare

Hallo zusammen, auf einem Windows Server 2008 R2 habe ich eine Freigabe mit über 10.000 Unterordnern. Die Vererbung ist ...

Windows Server

Setzen bzw. Vererbung von NTFS Berechtigungen in verschachtelten Ordnerstrukturen

Frage von mhappeWindows Server2 Kommentare

Hallo, ich habe aktuell ein paar Probleme mit dem korrekten Setzen von NTFS Berechtigungen auf einem Windows Server 2012 ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 1 StundeDatenschutz

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz22 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
Frage von sampleUserWindows 714 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...