25
Dateifreigabe unter Windows 7 Pro für Netzwerkzugriff - Authentifzierte Benutzer Problem
Hallo zusammen,
ich bin auf eure Hilfe angewiesen. (Google und Boardsuche habe ich bedient, aber meh..)
Kurz zum Szenario:
Ich bin HiWi an meiner Uni und soll dort die Rechteverwaltung des Datei-Servers auf ein vorübergehendes System umstellen.
Es soll wie folgt aussehen:
Es gibt eine virtuelle Maschine (Win7 Pro) mit mehreren Partitionen in unserer Rechenzentrale.
Jetzt soll auf dieser virtuellen Maschine jeder User ein lokales Konto bekommen und dann per Netzlaufwerk auf seine nur für Ihn vorgesehenen Ordner/Partitionen zugreifen können.
Idee war nach Rücksprache mit der ReZe:
Unter dem Reiter "Freigabe" "Vollzugriff" für "Jeder"
Die Einschränkung soll dann auf NTFS Ebene erfolgen, soweit noch klar.
Folgendes Problem ergibt sich aber bei mir gerade:
Jeder registrierter Benutzer ist ja automatisch "Authentifzierter Benutzer" und hat ergo auf alle Freigaben Rechte entsprechend der Gruppe Authentifizerte Benutzer. Die Gruppe kann ich aber nicht aus der NTFS Freigabe rauslöschen, dann hat der lokale Admin ja auch keinen Zugriff mehr ^^
Wie stelle ich das geschickt an, kann mir da jemand helfen? Ich vermute es ist rel. simpel, aber ich sehe gerade die Lösung nicht :/
Gruß
ele04
ich bin auf eure Hilfe angewiesen. (Google und Boardsuche habe ich bedient, aber meh..)
Kurz zum Szenario:
Ich bin HiWi an meiner Uni und soll dort die Rechteverwaltung des Datei-Servers auf ein vorübergehendes System umstellen.
Es soll wie folgt aussehen:
Es gibt eine virtuelle Maschine (Win7 Pro) mit mehreren Partitionen in unserer Rechenzentrale.
Jetzt soll auf dieser virtuellen Maschine jeder User ein lokales Konto bekommen und dann per Netzlaufwerk auf seine nur für Ihn vorgesehenen Ordner/Partitionen zugreifen können.
Idee war nach Rücksprache mit der ReZe:
Unter dem Reiter "Freigabe" "Vollzugriff" für "Jeder"
Die Einschränkung soll dann auf NTFS Ebene erfolgen, soweit noch klar.
Folgendes Problem ergibt sich aber bei mir gerade:
Jeder registrierter Benutzer ist ja automatisch "Authentifzierter Benutzer" und hat ergo auf alle Freigaben Rechte entsprechend der Gruppe Authentifizerte Benutzer. Die Gruppe kann ich aber nicht aus der NTFS Freigabe rauslöschen, dann hat der lokale Admin ja auch keinen Zugriff mehr ^^
Wie stelle ich das geschickt an, kann mir da jemand helfen? Ich vermute es ist rel. simpel, aber ich sehe gerade die Lösung nicht :/
Gruß
ele04
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 303982
Url: https://administrator.de/contentid/303982
Printed on: April 23, 2024 at 07:04 o'clock
25 Comments
Latest comment
Hi,
E.
Jeder registrierter Benutzer ist ja automatisch "Authentifzierter Benutzer" und hat ergo auf alle Freigaben Rechte entsprechend der Gruppe Authentifizerte Benutzer. Die Gruppe kann ich aber nicht aus der NTFS Freigabe rauslöschen, dann hat der lokale Admin ja auch keinen Zugriff mehr ^^
Indem Du das so machst und dem Admin dabei entsprechend Rechte gibsts?E.
Tut mir leid, die Antwort verstehe ich nicht. Ich möchte ja nicht die Rechte über diese Authentifizierte Benutzer verwalten, sondern über eigens eingerichtete Gruppen (z.B. Gruppe Studenten, Betreuer etc.)
Wenn ich jetzt einen Ordner habe, auf denen der Benutzer Student1, in der Gruppe Studenten keinen Zugriff haben soll, hat er aber dies trotzdem durch diese authentifizierte Benutzer Gruppe (er ist ja automatisch in dieser drinne).
Löschen darf ich diese aber ja nicht ^^
Wenn ich jetzt einen Ordner habe, auf denen der Benutzer Student1, in der Gruppe Studenten keinen Zugriff haben soll, hat er aber dies trotzdem durch diese authentifizierte Benutzer Gruppe (er ist ja automatisch in dieser drinne).
Löschen darf ich diese aber ja nicht ^^
Moin,
über wie viele zugreifende devices reden wir hier eigentlich?
LG, Thomas
über wie viele zugreifende devices reden wir hier eigentlich?
LG, Thomas
Nabend,
bis jetzt so um die 15. Kann aber mal mehr mal weniger sein je nachdem wie viele HiWis eingestellt sind oder Praktika laufen.
Das wird alles iwann mal in so nem Jahr schätzungsweise in ein vernünftiges AD migriert und von der Zentrale übernommen, nur bis dato war es so geregelt, dass beim Start von den Gruppen Skripts liefen, in denen PW und Benutzername drinnen standen zum automatischen einloggen.
Zudem gibts einen Benutzer den viele gleichzeitig nutzen, was bis zu dieser Umstellung aber nun nicht mehr sein soll.
bis jetzt so um die 15. Kann aber mal mehr mal weniger sein je nachdem wie viele HiWis eingestellt sind oder Praktika laufen.
Das wird alles iwann mal in so nem Jahr schätzungsweise in ein vernünftiges AD migriert und von der Zentrale übernommen, nur bis dato war es so geregelt, dass beim Start von den Gruppen Skripts liefen, in denen PW und Benutzername drinnen standen zum automatischen einloggen.
Zudem gibts einen Benutzer den viele gleichzeitig nutzen, was bis zu dieser Umstellung aber nun nicht mehr sein soll.
Moin nochmal,
Redmond beschränkt die Zugriffe auf ein W7 Pro lizenzrechtlich IMHO eh auf 20 Büchsen, die Du ohne AD ja eh nicht protegieren kannst. Was hindert Dich eigentlich daran, die Freigaben tatsächlich nur für den betreffenden user und einen oder mehrere wie auch immer geartete "admins" zu setzen?
LG, Thomas
Redmond beschränkt die Zugriffe auf ein W7 Pro lizenzrechtlich IMHO eh auf 20 Büchsen, die Du ohne AD ja eh nicht protegieren kannst. Was hindert Dich eigentlich daran, die Freigaben tatsächlich nur für den betreffenden user und einen oder mehrere wie auch immer geartete "admins" zu setzen?
LG, Thomas
Das mit den 20 Benutzern hatte ich garnicht mehr so präsent, guter Hinweis.
Naja ich glaube ich stelle mich wirklich gerade doof an ^^
Das Beispiel von weiter oben beschreibt eigentlich ziemlich gut mein (Verständnis) Problem:
"Wenn ich einen Ordner habe, auf denen der Benutzer Student1, in der Gruppe Studenten keinen Zugriff haben soll, hat er aber dies trotzdem durch diese authentifizierte Benutzer Gruppe (er ist ja automatisch in dieser drinne).
Löschen darf/kann ich diese aber ja nicht, weil der Admin ja auch Teil dieser Authentifizierten Benutzer ist."
Wenn ich könnte, würde ich auch die Ordnerstruktur anpassen damit man sowas einfacher umsetzen kann, denn im Moment laufen die Freigaben auf kompletten Partitionen, d.h. ich werd wohl auch noch mit Vererbung spielen dürfen.
Teste das gerade an 2 virtuellen Maschinen zuhause durch anstatt am laufenden System..
Naja ich glaube ich stelle mich wirklich gerade doof an ^^
Das Beispiel von weiter oben beschreibt eigentlich ziemlich gut mein (Verständnis) Problem:
"Wenn ich einen Ordner habe, auf denen der Benutzer Student1, in der Gruppe Studenten keinen Zugriff haben soll, hat er aber dies trotzdem durch diese authentifizierte Benutzer Gruppe (er ist ja automatisch in dieser drinne).
Löschen darf/kann ich diese aber ja nicht, weil der Admin ja auch Teil dieser Authentifizierten Benutzer ist."
Wenn ich könnte, würde ich auch die Ordnerstruktur anpassen damit man sowas einfacher umsetzen kann, denn im Moment laufen die Freigaben auf kompletten Partitionen, d.h. ich werd wohl auch noch mit Vererbung spielen dürfen.
Teste das gerade an 2 virtuellen Maschinen zuhause durch anstatt am laufenden System..
Moin nochmal,
ich bin jetzt nicht so der nerd in Sachen PC-Zugriffe ... aber wie willst Du ohne AD Gruppen bilden??
LG, Thomas
ich bin jetzt nicht so der nerd in Sachen PC-Zugriffe ... aber wie willst Du ohne AD Gruppen bilden??
LG, Thomas
Man erstellt lokale Gruppen / Benutzerkonten auf dem Dateiserver und lässt diese sich dann per Netzlaufwerk deren freigegebenen Ordner verbinden - soweit die Theorie.
Computerverwaltung -> Lokale Benutzer/Gruppen
Gruß
ele
Computerverwaltung -> Lokale Benutzer/Gruppen
Gruß
ele
Löschen darf/kann ich diese aber ja nicht, weil der Admin ja auch Teil dieser Authentifizierten Benutzer ist."
So ein Quark, natürlich kann man das. Ist doch ganz einfach:Man erstelle eine Gruppe und packe da die Accounts mit Ändern Rechten rein, dann noch den/die Admins mit FullAccess auf der Freigabe.
"Normalen Usern" sollte man nie FullAccess Zugriff auf der Freigabe geben da sie sonst in Rechte auf der Freigabe ändern können, und das willst du bestimmt nicht!
Die Gruppe Authentifizierte Benutzer brauchst du jetzt definitiv nicht mehr!!
In den ACLs bekommen die Admins FullAccess auf alle Ordner, jedoch die Gruppe je nach Anforderung andere Rechte. Will man User differenziertere Rechte geben legt man weitere Gruppen an und verpasst denen die Rechte (AGDLP-Prinzip).
Da steht jemand echt breit auf dem Schlauch, oder hat die Grundlagen der Rechtevergabe nicht verstanden.
Hallo,
Naja, fast. Es sind25 20 Verbindungen bzw. connections. MS lässt sich nicht darüber aus ob das Benutzer, Geräte, Rechner, Drucker, oder sonstwas ist. Auch wenn jemand mehrere Verbindungen gleichzeitig nutzt bleibt eher ein Geheimnis. Siehe passende EULA zum Windows OS.
Gruß,
Peter
Naja, fast. Es sind
Gruß,
Peter
@ele2004
DAS meinte ich.
DAS meinte ich.
Man erstelle eine Gruppe und packe da die Accounts mit Ändern Rechten rein, dann noch den/die Admins mit FullAccess auf der Freigabe.
"Normalen Usern" sollte man nie FullAccess Zugriff auf der Freigabe geben da sie sonst in Rechte auf der Freigabe ändern können, und das willst du bestimmt nicht!
Die Gruppe Authentifizierte Benutzer brauchst du jetzt definitiv nicht mehr!!
In den ACLs bekommen die Admins FullAccess auf alle Ordner, jedoch die Gruppe je nach Anforderung andere Rechte. Will man User differenziertere Rechte geben legt man weitere Gruppen an und verpasst denen die Rechte (AGDLP-Prinzip).
"Normalen Usern" sollte man nie FullAccess Zugriff auf der Freigabe geben da sie sonst in Rechte auf der Freigabe ändern können, und das willst du bestimmt nicht!
Die Gruppe Authentifizierte Benutzer brauchst du jetzt definitiv nicht mehr!!
In den ACLs bekommen die Admins FullAccess auf alle Ordner, jedoch die Gruppe je nach Anforderung andere Rechte. Will man User differenziertere Rechte geben legt man weitere Gruppen an und verpasst denen die Rechte (AGDLP-Prinzip).
Sowohl als auch. In der Uni wirds nicht beigebracht und derzeit wälze ich dazu diverse tuts, wikis und faqs^^
Learn by doing.. Ich schaue heute abend nochens, merci.
Learn by doing.. Ich schaue heute abend nochens, merci.
Zitat von @Pjordorf:
Naja, fast. Es sind 25 Verbindungen bzw. connections. MS lässt sich darüber aus ob das benutzer, Geräte, Rechner, Drucker, oder sonstwas ist. Auch wenn jemand mehrere Verbindungen gleichzeitig nutzt bleibt eher ein Geheimnis.
Meines Wissens ist das klar geregelt. Als Verbindung gilt hier die Kombination aus Client und Benutzer. Kommt ein Benutzer von mehreren Clients gleichzeitig, dann sind das mehrere Verbindungen. Kommen mehrere Benutzer von einem Client gleichzeitig, dann sind das auch mehrere Verbindungen.Naja, fast. Es sind 25 Verbindungen bzw. connections. MS lässt sich darüber aus ob das benutzer, Geräte, Rechner, Drucker, oder sonstwas ist. Auch wenn jemand mehrere Verbindungen gleichzeitig nutzt bleibt eher ein Geheimnis.
Hallo,
Ja, so meine ich auch, aber ich habe noch nichts von MS gelesen bzw. gefunden wo es im Einzelnen aufgeführt ist.Auszug aus meiner EULA (Windows 7 Ultimate) Ich berichtige mich oben auf 20. Sorry. Und es steht tatsächlich nur Geräte (Übersetzungsfehler?
Gruß,
Peter
Ja, so meine ich auch, aber ich habe noch nichts von MS gelesen bzw. gefunden wo es im Einzelnen aufgeführt ist.Auszug aus meiner EULA (Windows 7 Ultimate)
f. Geräteverbindungen.
Sie sind berechtigt, bis zu 20 anderen Geräten Zugriff auf die auf dem lizenzierten Computer installierte Software zu ermöglichen, um nur Dateidienste, Druckdienste, Internetinformationsdienste, Dienste für die gemeinsame Nutzung der Internetverbindung und Telefoniedienste zu verwenden.Gruß,
Peter
Moin,
.
LG, Thomas
Und es steht tatsächlich nur Geräte (Übersetzungsfehler?)
kommt drauf an, wie man devices übersetzt .LG, Thomas
Hallo,
Dachte tatsächlich an die Übersetzung der EULA seitens des Erstellers (Microsoft)
aber trotzdem danke fürs Korrekturlesen
Gruß,
Peter
Dachte tatsächlich an die Übersetzung der EULA seitens des Erstellers (Microsoft)
aber trotzdem danke fürs Korrekturlesen Gruß,
Peter
Zitat von @129148:
Man erstelle eine Gruppe und packe da die Accounts mit Ändern Rechten rein, dann noch den/die Admins mit FullAccess auf der Freigabe.
"Normalen Usern" sollte man nie FullAccess Zugriff auf der Freigabe geben da sie sonst in Rechte auf der Freigabe ändern können, und das willst du bestimmt nicht!
Die Gruppe Authentifizierte Benutzer brauchst du jetzt definitiv nicht mehr!!
In den ACLs bekommen die Admins FullAccess auf alle Ordner, jedoch die Gruppe je nach Anforderung andere Rechte. Will man User differenziertere Rechte geben legt man weitere Gruppen an und verpasst denen die Rechte (AGDLP-Prinzip).
Da steht jemand echt breit auf dem Schlauch, oder hat die Grundlagen der Rechtevergabe nicht verstanden.
Löschen darf/kann ich diese aber ja nicht, weil der Admin ja auch Teil dieser Authentifizierten Benutzer ist."
So ein Quark, natürlich kann man das. Ist doch ganz einfach:Man erstelle eine Gruppe und packe da die Accounts mit Ändern Rechten rein, dann noch den/die Admins mit FullAccess auf der Freigabe.
"Normalen Usern" sollte man nie FullAccess Zugriff auf der Freigabe geben da sie sonst in Rechte auf der Freigabe ändern können, und das willst du bestimmt nicht!
Die Gruppe Authentifizierte Benutzer brauchst du jetzt definitiv nicht mehr!!
In den ACLs bekommen die Admins FullAccess auf alle Ordner, jedoch die Gruppe je nach Anforderung andere Rechte. Will man User differenziertere Rechte geben legt man weitere Gruppen an und verpasst denen die Rechte (AGDLP-Prinzip).
Da steht jemand echt breit auf dem Schlauch, oder hat die Grundlagen der Rechtevergabe nicht verstanden.
Vielleicht wirds jetzt deutlicher? Sobald ich die Gruppe rauskille passiert, dass die Partition "verschwindet". Die Gruppe Betreuer hat Vollzugriff, sowie die Gruppe Administratoren natürlich.
Sorry Leute, ich muss es mir eben selber erarbeiten, jemanden fragen kann ich hier nicht :/
Gruß
ele
Ja nee, nicht die Authentifizierten Benutzer bei den NTFS-ACLs rausnehmen sondern nur bei den Freigabe-ACLs und in die kommt natürlich nicht das Jeder-Objekt X-) sondern wie oben geschrieben nur deine angelegten Gruppen und eine weitere Admin-Gruppe für die Fernverwaltung
1
Aso, die ReZe hat mir das anders mitgeteilt^^ Daher meine Verwirrung. Hab in einem microsoft tech artikel gelesen, dass man möglichst nur auf einer Ebene die Rechte verwalten möchte (was mir die Reze auch sagte) und daher nur mit NTFS arbeiten soll.
Ja aber die Freigabe würde ich trotzdem einschränken. Wie oben schon gesagt ist es keine gute Idee Vollzugriff für alle zu erteilen denn damit wird Rechteänderung und damit "Besitzübernahme" für alle Accounts des Rechners möglich...
So verhindert man auch schon im Vorhinein das User das Share mappen die es eigentlich nicht sollen.
Man muss hier die passende Balance finden. Ich will ja nicht jeden per se schon auf die Freigabe lassen der einen Account auf dem Rechner hat.
Beispiel:
Freigabe ACLs
NTFS ACLs
Wer bitte lässt jemanden der Null Ahnung in dem Gebiet hat sowas einrichten ?? Lass dich halt schulen oder lese dich detaillierter in die Materie ein. Oder lass da jemand ran der Ahnung hat.
So verhindert man auch schon im Vorhinein das User das Share mappen die es eigentlich nicht sollen.
Man muss hier die passende Balance finden. Ich will ja nicht jeden per se schon auf die Freigabe lassen der einen Account auf dem Rechner hat.
Beispiel:
Freigabe ACLs
NTFS ACLs
Wer bitte lässt jemanden der Null Ahnung in dem Gebiet hat sowas einrichten ?? Lass dich halt schulen oder lese dich detaillierter in die Materie ein. Oder lass da jemand ran der Ahnung hat.
Es ist bis jetzt noch schlimmer, also es kann nicht schlimmer werden, glaub es mir. Und ich sitze da erst seit ein paar Tagen dran - also gemach bitte. Es macht keiner der "Ahnung" hat, weil jeder Dozent für sein Lab selber zuständig ist. Muss man mich ja nicht gleich schief angehen 
, ist ja noch kein Meister vom Himmel gefallen und iwann muss ich es ja mal lernen. tzd danke.
, ist ja noch kein Meister vom Himmel gefallen und iwann muss ich es ja mal lernen. tzd danke.
Moin nochmal,
das mit den Freigaben habe ich mittlerweile raus. Danke nochmal.
Eine Frage aber zu den Max. Anzahl an Verbindungen:
Unter Computerverwaltung kann ich ja die aktiven Sitzungen einsehen (wovon ich max. 20 haben kann, egal in welcher Kombination), welche aktvi die Netzlaufwerke eingebunden haben.
Angenommen ich betreibe einen Matlab Lizenz Server auf dem gleichen Server, würde dies dann auch als Sitzung / Verbindung zählen?
Ansonsten möchte mein Chef das laufende System auf nen Windows Server umziehen, wenn dies Probleme geben könnte.
Grüße
ele
das mit den Freigaben habe ich mittlerweile raus. Danke nochmal.
Eine Frage aber zu den Max. Anzahl an Verbindungen:
Unter Computerverwaltung kann ich ja die aktiven Sitzungen einsehen (wovon ich max. 20 haben kann, egal in welcher Kombination), welche aktvi die Netzlaufwerke eingebunden haben.
Angenommen ich betreibe einen Matlab Lizenz Server auf dem gleichen Server, würde dies dann auch als Sitzung / Verbindung zählen?
Ansonsten möchte mein Chef das laufende System auf nen Windows Server umziehen, wenn dies Probleme geben könnte.
Grüße
ele
Moin,
was genau verstehst Du an den Lizenzbedingungen nicht?
2. Sind die genauen Dienste definiert, auf die diese Geräte zur gemeinsamen Nutzung Zugriff haben dürfen.
IMHO zählt zu Letzteren ein MathLab Lizenzserver (was immer das auch sein mag) eher nicht ... ??
LG, Thomas
was genau verstehst Du an den Lizenzbedingungen nicht?
Sie sind berechtigt, bis zu 20 anderen Geräten Zugriff auf die auf dem lizenzierten Computer installierte Software zu ermöglichen, um nur Dateidienste, Druckdienste, Internetinformationsdienste, Dienste für die gemeinsame Nutzung der Internetverbindung und Telefoniedienste zu verwenden.
1. Ist die genaue Anzahl der devices definiert, die konkurrrierend auf die Büchse zugreifen können.2. Sind die genauen Dienste definiert, auf die diese Geräte zur gemeinsamen Nutzung Zugriff haben dürfen.
IMHO zählt zu Letzteren ein MathLab Lizenzserver (was immer das auch sein mag) eher nicht ... ??
LG, Thomas
Hallo,
Einfach testen bzw. erstmal so laufen lassen, wenn es keine freien Verbindungen mehr gibt wirst du es als erster Erfahren. Damit würde sich für dich eindeutig klären wie viele Verbindungen ihr habt bzw. braucht und ob es definitiv ein Server OS sein muss.
https://technet.microsoft.com/en-us/library/cc755199%28v=ws.10%29.aspx
https://technet.microsoft.com/de-de/library/dd979563%28v=ws.10%29.aspx
https://technet.microsoft.com/en-us/library/dn303416%28v=ws.11%29.aspx
Gruß,
Peter
Einfach testen bzw. erstmal so laufen lassen, wenn es keine freien Verbindungen mehr gibt wirst du es als erster Erfahren. Damit würde sich für dich eindeutig klären wie viele Verbindungen ihr habt bzw. braucht und ob es definitiv ein Server OS sein muss.
Ansonsten möchte mein Chef das laufende System auf nen Windows Server umziehen, wenn dies Probleme geben könnte.
Win 7 upgraden nach Server 2012R2 ? Geht das oder muss dann alles neu..... Scheint das dann alles neu angesagt ist....https://technet.microsoft.com/en-us/library/cc755199%28v=ws.10%29.aspx
https://technet.microsoft.com/de-de/library/dd979563%28v=ws.10%29.aspx
https://technet.microsoft.com/en-us/library/dn303416%28v=ws.11%29.aspx
Gruß,
Peter
Ich sehe schon, einfach damit man auf der sicheren Seite ist, wird ein umziehen an nem Wochenende wohl ein muss sein.
Neu aufsetzen ist natürlich Pflicht^^ Nen W7 auf ne Server-Edition war mir auch nicht bekannt.
Danke euch
Neu aufsetzen ist natürlich Pflicht^^ Nen W7 auf ne Server-Edition war mir auch nicht bekannt.
Danke euch
