9
Win2012 Berechtigungen für einzelne Unterordner
Hallo,
ich habe hier einen Windows Server 2012 mit dem Ordner d:\daten. Der hat viele Unterordner mit wichtigen Geschäftsdaten, daher möchte ich ihn grundsätzlich für Maschinen aus der Produktion sperren. Allerdings gibt es darin auch die Unterordner d:\daten\trumatic und d:\daten\trumpf wo die Produktion Lese- und Schreibrecht braucht.
Ich würde jetzt so vorgehen, dass ich der Gruppe Maschinen für d:\daten den Vollzugriff verweigere und das nach unten vererbe. Anschließend würde ich dann für die beiden Ordner wieder Vollzugriff geben.
Ist das der richtige Weg oder macht man das normalerweise anders?
Viele Grüße
crack
ich habe hier einen Windows Server 2012 mit dem Ordner d:\daten. Der hat viele Unterordner mit wichtigen Geschäftsdaten, daher möchte ich ihn grundsätzlich für Maschinen aus der Produktion sperren. Allerdings gibt es darin auch die Unterordner d:\daten\trumatic und d:\daten\trumpf wo die Produktion Lese- und Schreibrecht braucht.
Ich würde jetzt so vorgehen, dass ich der Gruppe Maschinen für d:\daten den Vollzugriff verweigere und das nach unten vererbe. Anschließend würde ich dann für die beiden Ordner wieder Vollzugriff geben.
Ist das der richtige Weg oder macht man das normalerweise anders?
Viele Grüße
crack
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 211794
Url: https://administrator.de/contentid/211794
Printed on: April 19, 2024 at 20:04 o'clock
9 Comments
Latest comment
falsche Strategie.
Wenn etwas oben in der Struktur verweigert wird, kann man niemals unten dran kommen.
Verweigern sollte man nur, wenn man ganz sicher ist. Nicht berechtigen ist eine andere Aussage.
Gruß
Netman
Wenn etwas oben in der Struktur verweigert wird, kann man niemals unten dran kommen.
Verweigern sollte man nur, wenn man ganz sicher ist. Nicht berechtigen ist eine andere Aussage.
Gruß
Netman
Zitat von @MrNetman:
falsche Strategie.
Wenn etwas oben in der Struktur verweigert wird, kann man niemals unten dran kommen.
Verweigern sollte man nur, wenn man ganz sicher ist. Nicht berechtigen ist eine andere Aussage.
Gruß
Netman
falsche Strategie.
Wenn etwas oben in der Struktur verweigert wird, kann man niemals unten dran kommen.
Verweigern sollte man nur, wenn man ganz sicher ist. Nicht berechtigen ist eine andere Aussage.
Gruß
Netman
Ok, wieder was gelernt. D.h. ich würde bei "Zulassen" für die Maschinen die Haken entfernen und bei den Unterordnern wieder setzen?
Eine Berechtigung für d:\daten anlegen, die nur für den Ordner das Auflisten erlaubt und erst die beiden benötigten Ordner wieder mit Schreibrechten belegen. Am besten auch noch die Access Based Enumerations einschalten, dann sieht man nur die Objekte, für die man Berechtigungen hat.
Ok vielen Dank.
Wenn etwas oben in der Struktur verweigert wird, kann man niemals unten dran kommen.
Stimmt nicht. Direkt gewährtes Zulassen hat Vorrang vor vererbtem Verweigern.
Ich wollte die oberste Berechtigung folgendermaßen setzen
http://img19.imageshack.us/img19/8867/gwe3.jpg
Die Gruppe Produktion-eingeschränkt soll nur den Ordnerinhalt auflisten können und unterhalb von D:\Share\Daten würde ich dann wieder auf bestimmte Ordner Lese oder Schreibrecht geben. Die Rechner in der Produktion sind sowohl Mitglied in der Gruppe Produktion-eingeschränkt als auch in Domäne\Benutzer. Letztere haben auf D:\Share\Daten Lese- und Schreibrecht.
Die Rechner in der Produktion können momentan in D:\Share\Daten auch Lesen und Schreiben, selbst wenn ich sie aus der Gruppe der Domänen Benutzer rausnehme. Woran kann das denn liegen?
http://img19.imageshack.us/img19/8867/gwe3.jpg
Die Gruppe Produktion-eingeschränkt soll nur den Ordnerinhalt auflisten können und unterhalb von D:\Share\Daten würde ich dann wieder auf bestimmte Ordner Lese oder Schreibrecht geben. Die Rechner in der Produktion sind sowohl Mitglied in der Gruppe Produktion-eingeschränkt als auch in Domäne\Benutzer. Letztere haben auf D:\Share\Daten Lese- und Schreibrecht.
Die Rechner in der Produktion können momentan in D:\Share\Daten auch Lesen und Schreiben, selbst wenn ich sie aus der Gruppe der Domänen Benutzer rausnehme. Woran kann das denn liegen?
Du sprichst immer von Rechnern - greifen da wirklich COMPUTER zu oder doch eher Benutzer, die sich an bestimmten Computern anmelden? Und Du weißt, daß du für Änderungen von Gruppenmitgliedschaften bei Computern neu booten bzw. bei Benutzern neu anmelden mußt?
Korrekt wäre natürlich der Ausdruck Benutzer. Aber da sich jeder immer nur an seinem Rechner anmeldet, war das für mich gedanklich synonym.
An- und abgemeldet habe ich die Benutzer jeweils zum Testen. Daran lags wohl nicht.
An- und abgemeldet habe ich die Benutzer jeweils zum Testen. Daran lags wohl nicht.
Naja, solange die Gruppe "Benutzer" Zugriff hat -> Works as designed. Da mußt der Gruppe PRODUKTION schon den entsprechenden Zugriff explizit verweigern...
