Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Allgemeine Frage zu Freigaben und Rechten in einem AD

Frage Microsoft

Mitglied: SamTrex

SamTrex (Level 1) - Jetzt verbinden

13.10.2009 um 13:32 Uhr, 3808 Aufrufe, 6 Kommentare

Sicherheiten bei Netzwerkfreigaben einstellen per Freigaberechte oder per Sicherheitsrechte?

Hallo Gemeinde,
wie oben geschrieben interessiert mich der Punkt der "richtigen" Freigabemöglichkeit.

Zur Zeit halte ich es so, das ich Freigaben auf dem Server (W2k3 SBS) mit in den Freigabeoptionen mit Vollzugriff laufen habe.
Alle User des AD haben das Recht "Auflisten".
Für die jeweiligen Gruppen stelle ich alles über die Sicherheitsrechte ein.
Ist jemand dem AD nicht bekannt sieht er gar nichts.

Das ist für mich die logischste Lösung, da ich in Freigaben nicht wirklich detailiert einstellen kann....

Wie seht ihr das? Wie macht ihr es bei euren Netzen?

Danke im Voraus!

Gruß Sam
Mitglied: CarstenKoepp
13.10.2009 um 14:07 Uhr
Hallo Sam,
du kannst mit eine Freigabe sehr genau die NTFS Rechte vergeben. Was machst du zb. wenn dein Chef einen Ordner haben möchte, der nur für ihn und der PA zugänglich sein soll?

Hier bietet es sich an, die User in OU (Organisationseinheiten/Benutzergruppen) aufzuteilen, wo du nun ganz genau bestimmte Rechte vergeben kannst.
Wie du siehst ist das ein wirklich sehr komplexes Thema und würde dir empfehlen in div Büchern mal nachzulesen.
Für den Anfang kannst du ja mal hier nach schauen.

Besten Gruß
Carsten
Bitte warten ..
Mitglied: SamTrex
13.10.2009 um 14:33 Uhr
Hallo Carsten,
danke für die schnelle Antwort.

Zu deiner Frage:
Da ich z.B.: \\Server\Archiv\ als Freigabe - Vollzugriff - Gruppe alle MA; NTFS - Auflisten - Gruppe alle MA habe würde ich folgendes tun.

Die PA ist für mich eine Sicherheitsgruppe im AD. Der Chef ist auch in einer Sicherheitsgruppe (Von mir aus Chefetage)
Nun würde ich die NTFS Rechte für die Sicherheitsgruppe PA im entsprechnenden Ordner anpassen (z.B. ändern) und seperat für den Chef. bzw. dem Chef noch eine Spezielle SG und den Ordner für diesen dann anpassen.
Wenn der Chef dann noch will das der Ordner nicht mal aufgelistet werden darf würde ich noch eine SG einrichten in der alle Nicht PA Gruppen sind, und explizit verweigern.

In einer Freigabe habe ich doch nur die Möglichkeit
lesen - ändern - vollzugriff

Den Rest mache ich doch grundsätzlich über die NTFS Rechte.... Nichtoder?!
So habe ich das oben auf jeden Fall gemeind.

Gruß Sam
Bitte warten ..
Mitglied: dog
13.10.2009 um 14:43 Uhr
Grundstruktur mache ich immer so:

- Auf dem Server nur eine einzige Freigabe (\\server\share$) - die wiederum wird per DFS veröffentlicht (\\domain\share)
- Freigabeberechtigung: Jeder: Lesen, Ändern (Niemals Vollzugriff - Wichtig!)
- Sicherheitsberechtigung: Alles raus außer SYSTEM und Domänen-Administratoren

Danach fange ich da drin an die Ordner aufzubauen und zwar immer so, dass ich das Attribut "Verweigern" niemals benutzen muss.

Grüße

Max
Bitte warten ..
Mitglied: SamTrex
13.10.2009 um 14:59 Uhr
Hallo Max,
DFS sagt mir noch nichts, werde das gleich mal Googlen.
Worin besteht der Unterschied zwischen Ändern und Vollzugriff bei der Freigabe?

Wie würdest du denn die Aufgabe von Carsten lösen?

Angenommen ich habe folgendes:

- Freigabe
| - Für alle 1
| - Für alle 2
| - PA & Chef

Wenn das NTFS Recht im Root der Freigabe nur Admins/System zulässt sieht der Client ja gar nichts.
Daher die Auflisten Option.
Da ich das nicht auf dem Ordner Chef nicht setzen darf... Setzt du das dann für Für alle 1 und 2 seperat?

Oder würdest du die Ordner eher so aufbauen?

- Freigabe <Freigabe alle ändern
| - Für alle < NTFS Auflisten alle
| - Für alle 1 < geerbt
| - Für alle 2 < geerbt
| - PA & Chef < NTFS nur PA & Chef


Gruß Sam
Bitte warten ..
Mitglied: dog
13.10.2009 um 15:10 Uhr
DFS sagt mir noch nichts

Das erspart dir nur eine Menge ärger falls sich mal irgendwann der Name eines Fileservers ändert

Ändern und Vollzugriff bei der Freigabe?

Bei Vollzugriff können dir die User auf dem Kopf rumtanzen, obwohl es in den NTFS-Berechtigungen nicht so aussieht.
Da kann man stundenlang Suchen wieso das Sicherheitskonzept nicht klappt...

sieht der Client ja gar nichts.

Stimmt, das ist aus meiner Sicht auch gut so.
Bei dem Beispiel von Carsten würde ich für Chef & PA einfach ein Netzlaufwerk verbinden (Die Struktur wäre ähnlich der in deinem zweiten Ansatz).

Es gibt aber auch noch einen anderen Trick:
Dazu brauchst du folgende Struktur:

\\domain\share\common\Nur Für Cheffe

Den common Ordner verbindest du bei allen Mitarbeitern als Netzlaufwerk.
Jetzt gehst du bei den NTFS-Rechten über Erweitert, fügst "Alle Authentifizierten Benutzer" hinzu und wählst bei "Übernehmen für": "Nur diesen Ordner", dann hakst du alles an was ein "lesen" enthält.

Jetzt nimmst du dir den Ordner "Nur Für Cheffe" und fügst dort Lesen, Ändern Rechte für die Gruppe mit Chef und PA hinzu.

Damit das ganze jetzt funktioniert musst du zum Schluss noch ABE auf dem Server installieren:

http://www.microsoft.com/downloads/details.aspx?FamilyID=04A563D9-78D9- ...

Somit können alle Mitarbeiter den Ordner Common auflisten (und ggf. auf Unterordner zugreifen), aber den Chef Ordner sehen sie erst garnicht.

Grüße

Max
Bitte warten ..
Mitglied: SamTrex
13.10.2009 um 15:23 Uhr
Hallo Max,
das ist doch mal eine Aussage
Ich denke ich werde mir mal die Freigaben ansehen - in Bezug auf Vollzugriff / Ändern.

Vielen Dank für die Infos!
Werde mich nun mal mit DFS und ABE beschäftigen....

Gruß Sam
Bitte warten ..
Ähnliche Inhalte
Debian
Verständnis Frage zur Linux Rechten + Samba Freigabe
gelöst Frage von suB2010Debian2 Kommentare

Hallo Community, Ich bitte um Eure Hilfe! Hautproblem: Ganz klar mir Fehlt es an Erfahrung. Ich habe mich viel ...

LAN, WAN, Wireless
Switchkonfiguration Allgemeine Frage
gelöst Frage von YannoschLAN, WAN, Wireless4 Kommentare

Hallo liebe Community :) habe eine kurze Frage bezüglich einer Switchkonfiguratio - ich hoffe diese Frage lässt sich allgemein ...

LAN, WAN, Wireless
Allgemeine Frage zu dem Routing auf Switchen
gelöst Frage von RalphTLAN, WAN, Wireless5 Kommentare

Moin, wenn man einen redundanten Aufbau von Core-Switchen und Clientswitchen hat (ich meine die Skizze von aqui, die ich ...

DNS
DNS Domain - Allgemeine Frage
Frage von staybbDNS9 Kommentare

Hallo, ich habe eher eine allgemeine Frage zur Funktion von DNS mit Top Level Domains. Wenn ich zum Beispiel ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 6 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 10 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware8 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...