6
Serverfreigabe Domänenbenutzer einschränken
Hallo,
ich habe über eure Synology DS1815+ eine Laufwerksfreigabe mit Domänenanbindung. In der Regel haben alle Domänenbenutzer Lese- / und Schreibrechte auf Ordner. Bis auf manche Ordnern auf denen nur bestimmte Benutzer berechtigt sind zuzugreifen.
Nun möchte ich auf einen Ordner folgende Berechtigung einstellen:
Alle Domänenbenutzer sollen nur Lesen können und bestimmte einzelne Personen sollen Vollzugreif darauf haben.
Nun habe ich versucht über die Windows Eigenschaften des Ordners die Berechtigung als Domänenadmin zu ändern.
Bei Domänenbenutzer kann ich nur Haken bei "Verweigern" hinzufügen, aber ich kann nicht die Haken bei "Zulassen" entfernen. Diese sind ausgegraut.
Wenn ich die Verweigerung für Domänenbenutzer setzte bei Ändern, sodass sie nur berechtigt sind auf "Lesen, Ausführen, Ordnerinhalt anzeigen und Lesen" kommt garkein Domänebenutzer mehr auf den Ordner drauf (Zugriff verweigert)
Muss ich irgendwo etwas beachten, sodass die Domänenbenutzer nur lesen und ausführen dürfen? Die berechtigten Personen kann ich dann manuell hinzufügen mit Vollberechtigung auf den Ordnern, das sind auch Domänen benutzer.
VIelen Dank
ich habe über eure Synology DS1815+ eine Laufwerksfreigabe mit Domänenanbindung. In der Regel haben alle Domänenbenutzer Lese- / und Schreibrechte auf Ordner. Bis auf manche Ordnern auf denen nur bestimmte Benutzer berechtigt sind zuzugreifen.
Nun möchte ich auf einen Ordner folgende Berechtigung einstellen:
Alle Domänenbenutzer sollen nur Lesen können und bestimmte einzelne Personen sollen Vollzugreif darauf haben.
Nun habe ich versucht über die Windows Eigenschaften des Ordners die Berechtigung als Domänenadmin zu ändern.
Bei Domänenbenutzer kann ich nur Haken bei "Verweigern" hinzufügen, aber ich kann nicht die Haken bei "Zulassen" entfernen. Diese sind ausgegraut.
Wenn ich die Verweigerung für Domänenbenutzer setzte bei Ändern, sodass sie nur berechtigt sind auf "Lesen, Ausführen, Ordnerinhalt anzeigen und Lesen" kommt garkein Domänebenutzer mehr auf den Ordner drauf (Zugriff verweigert)
Muss ich irgendwo etwas beachten, sodass die Domänenbenutzer nur lesen und ausführen dürfen? Die berechtigten Personen kann ich dann manuell hinzufügen mit Vollberechtigung auf den Ordnern, das sind auch Domänen benutzer.
VIelen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 279389
Url: https://administrator.de/contentid/279389
Printed on: April 19, 2024 at 08:04 o'clock
6 Comments
Latest comment
Moin,
du solltest dich erstmal schlau machen wie man (die verschiedenen Typen von) Gruppen in Domaenen sinnvoll nutzt.
Danach wird alles einfacher...
https://en.wikipedia.org/wiki/AGDLP
VG,
Thomas
du solltest dich erstmal schlau machen wie man (die verschiedenen Typen von) Gruppen in Domaenen sinnvoll nutzt.
Danach wird alles einfacher...
https://en.wikipedia.org/wiki/AGDLP
VG,
Thomas
Standardvorgehensweise bei mir:
1.) Zwei Gruppen im AD anlegen: g_Laufwerk_Ordner_C (darf ändern), g_Laufwerk_Ordner_R (darf lesen)
2.) Ordner anklicken, Eigenschaften - Registerkarte Sicherheit
3.) Erweitert - Berechtigungen ändern
4.) Haken vor "Vererbbare Berechtigungen einschließen" entfernen, Berechtigungen als Kopie übernehmen.
5.) Die Gruppe mit dem "_C" hinzufügen, auf Vollzugriff setzen, dann die Häkchen bei "Vollzugriff", "Unterordner und Dateien löschen", "Berechtigungen ändern" und "Besitz übernehmen" wieder entfernen.
6.) Die Gruppe mit dem "_R" auf "Ordner durchsuchen", "Ordner auflisten", "Attribute lesen", "Erweiterte Attribute lesen", "Berechtigungen lesen" setzen.
7.) Alle anderen nicht administrativen Berechtigungen löschen, insbesondere den "Ersteller" !! . Es bleiben: Domänen-Admins "Vollzugriff", SYSTEM "Vollzugriff".
8.) Im AD die Benutzer je nach gewünschter Zugriffsart in die Gruppen _C und _R schubsen.
Nach der nächsten Neuanmeldung klappt alles.
Es kann sein, dass Du vor 3.) noch den Besitz des Ordners übernehmen musst. Immer darauf achten, dass das auch in den Unterordnern vollständig durchgeführt wird !!
1.) Zwei Gruppen im AD anlegen: g_Laufwerk_Ordner_C (darf ändern), g_Laufwerk_Ordner_R (darf lesen)
2.) Ordner anklicken, Eigenschaften - Registerkarte Sicherheit
3.) Erweitert - Berechtigungen ändern
4.) Haken vor "Vererbbare Berechtigungen einschließen" entfernen, Berechtigungen als Kopie übernehmen.
5.) Die Gruppe mit dem "_C" hinzufügen, auf Vollzugriff setzen, dann die Häkchen bei "Vollzugriff", "Unterordner und Dateien löschen", "Berechtigungen ändern" und "Besitz übernehmen" wieder entfernen.
6.) Die Gruppe mit dem "_R" auf "Ordner durchsuchen", "Ordner auflisten", "Attribute lesen", "Erweiterte Attribute lesen", "Berechtigungen lesen" setzen.
7.) Alle anderen nicht administrativen Berechtigungen löschen, insbesondere den "Ersteller" !! . Es bleiben: Domänen-Admins "Vollzugriff", SYSTEM "Vollzugriff".
8.) Im AD die Benutzer je nach gewünschter Zugriffsart in die Gruppen _C und _R schubsen.
Nach der nächsten Neuanmeldung klappt alles.
Es kann sein, dass Du vor 3.) noch den Besitz des Ordners übernehmen musst. Immer darauf achten, dass das auch in den Unterordnern vollständig durchgeführt wird !!
Hallo,
Bist du sicher das es unsere DS1815+ ist? Ich kann die nirgends entdecken.....
Gruß,
Peter
Bist du sicher das es unsere DS1815+ ist? Ich kann die nirgends entdecken.....
Bei Domänenbenutzer kann ich nur Haken bei "Verweigern" hinzufügen
Verweigern ist immer das aller letzte mittel. Verweigern hat immer Vorrang vor erlauben.Gruß,
Peter
Mahlzeit,
ich würde mal behaupten, wenn es ganz normale Samba-Freigaben einer Diskstation sind, so sind die Berechtigungen nicht über Windows sondern über den Webmanager der Synology zu vergeben.
Wer es komfortabel mit Windows nutzen möchte, geht z.B. folgendermaßen vor:
ich würde mal behaupten, wenn es ganz normale Samba-Freigaben einer Diskstation sind, so sind die Berechtigungen nicht über Windows sondern über den Webmanager der Synology zu vergeben.
Wer es komfortabel mit Windows nutzen möchte, geht z.B. folgendermaßen vor:
- Im NAS die Freigaben per ISCSI zu Verfügung stellen
- Auf einem Windows-Server diese ISCSI-Ziele hinzufügen
- Über den Windows-Server die Berechtigungen vergeben
hi,
ich schätze mal, es liegt ganz einfach an der vererbung. vererbte ACE können nicht bearbeitet werden. also erstmal über "erweitert" die vererbung für diesen ordner abschalten, berechtigungn dabei übernehmen. dann die betreffenden ACEs bearbeiten.
e.
ich schätze mal, es liegt ganz einfach an der vererbung. vererbte ACE können nicht bearbeitet werden. also erstmal über "erweitert" die vererbung für diesen ordner abschalten, berechtigungn dabei übernehmen. dann die betreffenden ACEs bearbeiten.
e.
Ist deine NAS in der Domäne eingegliedert ?
Wenn ja, dann geh doch einfach ins Webinterface der Syno und weise jedem Domänennutzer die Rechte individuell zu.
Falls es zu viele User sind, fass sie in Gruppen zusammen. Die Syno, falls sie in der Domäne ist, synct alle paar Minuten seine AD-Liste mit dem AD-Server ab. Also hast du auch immer die aktuellste Benutzerliste,zur Auswahl der Rechte, vor Ort.
Edit:
Sehe grad das sie schon in der Domäne ist .... die Uhrzeit spielt mit mir schon.
Also geh ins Interface auf die besagten Ordner, dann Eigenschaften/Berechtigungen und die Domänenuser auswählen und dort die Häkchen verteilen für die Zugriffe
Wenn ja, dann geh doch einfach ins Webinterface der Syno und weise jedem Domänennutzer die Rechte individuell zu.
Falls es zu viele User sind, fass sie in Gruppen zusammen. Die Syno, falls sie in der Domäne ist, synct alle paar Minuten seine AD-Liste mit dem AD-Server ab. Also hast du auch immer die aktuellste Benutzerliste,zur Auswahl der Rechte, vor Ort.
Edit:
Sehe grad das sie schon in der Domäne ist .... die Uhrzeit spielt mit mir schon.
Also geh ins Interface auf die besagten Ordner, dann Eigenschaften/Berechtigungen und die Domänenuser auswählen und dort die Häkchen verteilen für die Zugriffe
