ukulele-7
Goto Top

Windows Datei-Freigaben

Es ist Freitag, es ist heiß, und ich kriegs nicht hin.

Fall #A

Ich habe einen Ordner der bei allen Usern als Netzlaufwerk eingebunden wird. Auf diesen Ordner sollen alle lesenden Zugriff bekommen. Auf Unterordner in diesem Hauptordner sollen manche Gruppen Vollzugriff und der Rest nur lesenden Zugriff bekommen.

Ich hab mir gedacht ich mache eine Freigabe mit Vollzugriff für alle Domänen-Benutzer. Dann nehme ich den Hauptordner und entziehe auf Dateisystemebene die Schreibrechte für die Domänen-Benutzer. Auf den Unterordnern füge ich dann auch auf Dateisystemebene diverse Gruppen mit Vollzugriff hinzu.

Erstmal wundert mich, das ich auf dem Dateisystem überhaupt keine Berechtigungen auf den Hauptordner für die Gruppe Domänen-Benutzer habe. Hier habe ich nur Rechte für:
ERSTELLER-BESITZER
SYSTEM
Administrator@domain
COMPUTER\Administratoren
COMPUTER\Benutzer

Finden hier nur die Rechte der Freigabe Anwendung?

Wenn ich jetzt meiner Gruppe Domänen-Benutzer auf der Dateisystemebene auf den Hauptordner das Recht Schreiben gezielt verweigere, klappt das für Hauptordner und wird auf die Unterordner vererbt. Wenn ich einer Gruppe auf einen Unterordner jetzt zusätzlich Vollzugriff gewähre, gelten diese nachrangig. Ich habe aber nicht zu jeder Gruppe eine Gruppe für alle nicht Mitglieder, so das ich Domänen-Benutzern schreiben verweigern vererben muss.

Gehe ich hier den falschen Weg, kann man Rechte priorisieren oder muss ich tatsächlich mehr Gruppen erstellen?


Fall #B

Mein Hauptdatenpfad ist total zugemüllt. Ich habe viele Dateien und Ordner von denen ich glaube das sie gelöscht werden können, ich kann das aber nicht mit Sicherheit sagen. Ich möchte alle diese aussortieren Objekte auf einen eigenen Pfad verschieben. Auf diesem Pfad soll jeder LESEN und LÖSCHEN dürfen, aber nicht neue Dateien erstellen oder bestehende Dateien neu abspeichern. Gibt es da irgendeine Möglichkeit das sinnvoll umzusetzen (Jetzt nicht gleich mit einer Killerlösung)?

Danke für Ideen.

Content-Key: 276373

Url: https://administrator.de/contentid/276373

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: 114757
Lösung 114757 03.07.2015 aktualisiert um 14:22:21 Uhr
Goto Top
Moin,
Gehe ich hier den falschen Weg, kann man Rechte priorisieren oder muss ich tatsächlich mehr Gruppen erstellen?
Verweigern ist hier der falsche Weg. Du gibst den Domain-Usern auf den Root-Ordner allgemeine Leserechte, und bei den direkten Unterordnern unterbrichst du bei Bedarf jeweils die Vererbung (falls Lesezugriff auch verhindert werden soll) und packst dort nur die User oder besser Gruppen rein die in den jeweiligen Ordner schreiben sollen.

Gruß jodel32
Mitglied: ukulele-7
ukulele-7 03.07.2015 aktualisiert um 13:27:03 Uhr
Goto Top
Okay ich habe es an einen frischen Ordner getestet. Ich gebe ihn Frei mit folgenden Einstellungen:

Hauptordner und Freigabe
Berechtigungen (Dateisystem) = Domänen-Benutzer Lesen/Ausführen
Freigabe = Domänen-Benutzer Vollzugriff

Unterordner (Vererbung deaktiviert und vererbte Rechte entfernt)
Berechtigungen (Dateisystem) = Domänen-Benutzer Vollzugriff

Ich darf dann sowohl im Hauptordner als auch im Unterordner schreiben. Ändere ich das auf:

Hauptordner und Freigabe
Berechtigungen (Dateisystem) = Domänen-Benutzer Lesen/Ausführen
Freigabe = Domänen-Benutzer Lesen/Ausführen

Unterordner (Vererbung deaktiviert und vererbte Rechte entfernt)
Berechtigungen (Dateisystem) = Domänen-Benutzer Vollzugriff

darf ich in beiden Ordnern nicht schreiben nur lesen.
Mitglied: ukulele-7
ukulele-7 03.07.2015 aktualisiert um 13:39:20 Uhr
Goto Top
Okay jetzt hab ich es.

Hauptordner und Freigabe
Berechtigungen (Dateisystem) = Domänen-Benutzer Schreiben verweigern
Freigabe = Domänen-Benutzer Volzugriff

Unterordner (Vererbung deaktiviert und vererbte Rechte entfernt)
Berechtigungen (Dateisystem) = Domänen-Benutzer Vollzugriff

so darf ich im Hauptordner Lesen und im Unterordner schreiben. Verdreht aber funktioniert.

Mein Fall #B läßt sich damit aber noch nicht abbilden.
Mitglied: 114757
114757 03.07.2015 aktualisiert um 13:41:19 Uhr
Goto Top
Zitat von @ukulele-7:
so darf ich im Hauptordner Lesen und im Unterordner schreiben. Verdreht aber funktioniert.
Quatsch, du brauchst keine Verweigerung auf dem Hauptordner. Dann hast du noch eine ACL drin in der die Domain-User Mitglied sind und dort Schreibrechte haben oder du hast was anderes verbogen!

Fall B: Du verweigerst Daten schreiben/ anhängen
Mitglied: ukulele-7
ukulele-7 03.07.2015 um 13:43:25 Uhr
Goto Top
Ich habe die Gruppe Domänen-Benutzer bisher nicht angefasst, sie dient mir nur für Freigaben allgemeiner Art. Die Ordner habe ich auch extra für diesen Zweck mehrfach neu erstellt um zu testen.

Die Freigabe Einstellungen scheinen die Rechte auf dem Dateisystem für den Hauptordner außer Kraft zu setzen. Meine Beobachtung ganz am Anfang war ja auch das auf dem Dateisystem überhaupt keine Berechtigungen gesetzt wurden, mein Benutzer also eigentlich keine Rechte haben dürfte.
Mitglied: 114757
114757 03.07.2015 aktualisiert um 14:06:22 Uhr
Goto Top
Die Freigabe Einstellungen scheinen die Rechte auf dem Dateisystem für den Hauptordner außer Kraft zu setzen.
Niemals. ACLs im NTFS Dateisystem haben immer das letzte Wort.
Mitglied: ukulele-7
ukulele-7 03.07.2015 um 14:12:47 Uhr
Goto Top
Okay sie setzen sie nicht außer Kraft.

Die Gruppe DOMAIN\Domänen-Benutzer ist Mitglied der Gruppe COMPUTER\Benutzer und die wird auf den Hauptordner vererbt, unter anderem mit "Speziellen Berechtigungen" wie Dateien schreiben.

Ich muss also nicht verweigern aber ich darf auch auf den Hauptordner nichts vererben.
Mitglied: ukulele-7
ukulele-7 03.07.2015 um 14:22:13 Uhr
Goto Top
Mit Verweigern ließe sich tatsächlich auch Fall #B lösen allerdings macht die Gruppe Domänen-Benutzer wieder Ärger da auch der Domänen-Admin Mitglied ist und ider natürlich die Dokumente dahin verschieben soll. Aber dann machen wir eben eine eigene Gruppe für diesen Zweck.