6
Erweiterte Rechte im Unterordner einer Freigabe möglich?
Hallo Leute!
Ich habe wieder einmal eine kleine Frage: Ist es möglich, eine Ordnerfreigabe auf dem Server (Windows Server 2003) so zu gestalten, dass alle Ordner und Unterordner nur Lesezugriff über Netzwerk gestatten, aber bei einem Unterordner auch Schreibrechte gesetzt werden können (XP Pro-Clients in einer Arbeitsgruppe)?
Es geht um eine Freigabe, welche an JEDER nur Leserechte vergibt. Hier habe ich schon die Vererbung deaktiviert und an jenem Ordner mit den gewünschten erweiterten Rechen der Benutzergruppe JEDER das Recht ÄNDERN vergeben, dennoch Zugriffsverweigerung beim Erstellen von Dateien.
Weiß jemand einen Kniff, dieses Problem zu lösen? Anders herum scheint es ja zu gehen, also einem Unterordner weniger Rechte zu geben:
http://www.msxfaq.de/verschiedenes/datenhaltung.htm
Danke, UU
Es geht um eine Freigabe, welche an JEDER nur Leserechte vergibt. Hier habe ich schon die Vererbung deaktiviert und an jenem Ordner mit den gewünschten erweiterten Rechen der Benutzergruppe JEDER das Recht ÄNDERN vergeben, dennoch Zugriffsverweigerung beim Erstellen von Dateien.
Weiß jemand einen Kniff, dieses Problem zu lösen? Anders herum scheint es ja zu gehen, also einem Unterordner weniger Rechte zu geben:
http://www.msxfaq.de/verschiedenes/datenhaltung.htm
Danke, UU
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 177603
Url: https://administrator.de/contentid/177603
Printed on: April 20, 2024 at 07:04 o'clock
6 Comments
Latest comment
Hallo UselessUser!
Beim Zusammenwirken von Freigabeberechtigungen und Sicherheitseinstellungen wirkt die restriktivere Einstellung ...
Spricht etwas dagegen, als Freigabeberechtigung "Ändern" zu setzen, aber in den Sicherheitseinstellungen (mit Ausnahme des einen speziellen Ordners) nur "Lesen" zu erlauben? Für eine Gruppe, welche lokale Schreib- oder höhere Rechte benötigt, kann das in den Sicherheitseinstellungen zusätzlich festgelegt werden.
Grüße
bastla
Beim Zusammenwirken von Freigabeberechtigungen und Sicherheitseinstellungen wirkt die restriktivere Einstellung ...
Spricht etwas dagegen, als Freigabeberechtigung "Ändern" zu setzen, aber in den Sicherheitseinstellungen (mit Ausnahme des einen speziellen Ordners) nur "Lesen" zu erlauben? Für eine Gruppe, welche lokale Schreib- oder höhere Rechte benötigt, kann das in den Sicherheitseinstellungen zusätzlich festgelegt werden.
Grüße
bastla
Moin
mache es doch grundsätzlich so, dass du auf einer Freigabe das Recht "Ändern" setzt und die wirklichen Zugriffsrechte ausschließlich über NTFS-Rechte setzt.
Da hättest du das ganze Problem nicht einmal. Du würdest einfach auf den betreffenden Unterordner gehen und dort die Rechte erweitern.
Da braucht es keinen Kniff oder Trick...
Gruß
mache es doch grundsätzlich so, dass du auf einer Freigabe das Recht "Ändern" setzt und die wirklichen Zugriffsrechte ausschließlich über NTFS-Rechte setzt.
Da hättest du das ganze Problem nicht einmal. Du würdest einfach auf den betreffenden Unterordner gehen und dort die Rechte erweitern.
Da braucht es keinen Kniff oder Trick...
Gruß
@bastla @hubertn
Werde es heute Abend einmal ausprobieren, mit der Wechselwirkung von Freigabe- und NTFS-Rechten kann man aber wirklich ins Schleudern geraten. So habe ich gestern auch noch Folgendes erlebt:
Anlegen einer weiteren Freigabe mit Schreibrechten (Freigabe A). Verknüpfung zu dieser Freigabe in den freigegebenen Ordner (um den es hier geht, siehe oben, nenne ich Freigabe B), in dem nur Leserechte gesetzt sind. Aber ein Benutzer hat hier auch Schreibrecht, sobald er sich über Netzlaufwerk mit einem Passwort verbindet (ich wollte die Einrichtung eines weiteren Benutzerkontos auf der zugreifenden Arbeitsstation verhindern). Wenn sich dieser nun über Netzlaufwerk mit Freigabe B verbindet und auf die darin enthaltene Verknüpfung von Freigabe A klickt und dann eine Datei aus aus diesem Ordner in Freigabe B zieht, verliert er sofort die Schreibrechte in Freigabe B! Keine Datei kann mehr editiert oder gelöscht werden. Erst wenn sich dieser Benutzer (über Netzlaufwerk) NEU mit Freigabe B verbindet, kann er wieder in diesem Ordner schreiben. Verrückt, oder?
Melde mich heute Abend wieder, um zu berichten ....
Grüße, UU
Werde es heute Abend einmal ausprobieren, mit der Wechselwirkung von Freigabe- und NTFS-Rechten kann man aber wirklich ins Schleudern geraten. So habe ich gestern auch noch Folgendes erlebt:
Anlegen einer weiteren Freigabe mit Schreibrechten (Freigabe A). Verknüpfung zu dieser Freigabe in den freigegebenen Ordner (um den es hier geht, siehe oben, nenne ich Freigabe B), in dem nur Leserechte gesetzt sind. Aber ein Benutzer hat hier auch Schreibrecht, sobald er sich über Netzlaufwerk mit einem Passwort verbindet (ich wollte die Einrichtung eines weiteren Benutzerkontos auf der zugreifenden Arbeitsstation verhindern). Wenn sich dieser nun über Netzlaufwerk mit Freigabe B verbindet und auf die darin enthaltene Verknüpfung von Freigabe A klickt und dann eine Datei aus aus diesem Ordner in Freigabe B zieht, verliert er sofort die Schreibrechte in Freigabe B! Keine Datei kann mehr editiert oder gelöscht werden. Erst wenn sich dieser Benutzer (über Netzlaufwerk) NEU mit Freigabe B verbindet, kann er wieder in diesem Ordner schreiben. Verrückt, oder?
Melde mich heute Abend wieder, um zu berichten ....
Grüße, UU
So, hier bin ich noch einmal ... ich bedanke mich für die Hinweise, es hat funktioniert!!!
Allerdings erst, nachdem ich auch der Gruppe der Administratoren nur Leserechte eingeräumt habe, sonst können plötzlich alle auf den eigentlich eingeschränkten Ordner zugreifen, da die Benutzerkonten der zugreifenden Arbeitsstationen auch alles Admin-Kontos sind ... ja, ich weiß, ich habe dieses Netzwerk aber nicht gebastelt! So habe ich mich zwar als Server-Admin erst einmal (schreibend) von diesem Ordner ausgesperrt, aber das kann ich verschmerzen.
Einen schönen Abend noch ... UU
Allerdings erst, nachdem ich auch der Gruppe der Administratoren nur Leserechte eingeräumt habe, sonst können plötzlich alle auf den eigentlich eingeschränkten Ordner zugreifen, da die Benutzerkonten der zugreifenden Arbeitsstationen auch alles Admin-Kontos sind ... ja, ich weiß, ich habe dieses Netzwerk aber nicht gebastelt! So habe ich mich zwar als Server-Admin erst einmal (schreibend) von diesem Ordner ausgesperrt, aber das kann ich verschmerzen.
Einen schönen Abend noch ... UU
Schön wenn's nun funktioniert aber:
Adminrechte auf einem Computer hat man, weil man in der lokalen Gruppe "Administratoren" enthalten ist. Dass du als Domänenadmin auf den Clients administrieren kannst, liegt nur daran, dass diese Gruppe zur lokalen Administratorengruppe hinzugefügt wird, wenn man einen rechenr zur Domäne hinzufügt.
Es gibt normalerweise noch nicht einmal einen einleuchtenden Grund dafür, dass normale Benutzer auf ihren Arbeitsplätzen Admins sind. So wie sich das hier darstellt, sind deine Benutzer aber alle auf dem Server Administratoren. Das ist nun wirklich das absolute NO-GO !!! Wie sollst du einen Server administrieren, wenn du so viele Administratoren in der Firma hast, wie dieselbe auch Mitarbeiter hat ? Wie willst du den Datenschutz gewährleisten, wenn alle deine Admins auf alles zugreifen können ? Also auch z.B. auf die Abmahnung im Personalordner ?
Nebenbei bringt das Entfernen der Rechte unterm Strich so garnichts, weil man sich als Admin die Rechte auch mal schnell wieder setzen kann !
Gruß
Hubert
Adminrechte auf einem Computer hat man, weil man in der lokalen Gruppe "Administratoren" enthalten ist. Dass du als Domänenadmin auf den Clients administrieren kannst, liegt nur daran, dass diese Gruppe zur lokalen Administratorengruppe hinzugefügt wird, wenn man einen rechenr zur Domäne hinzufügt.
Es gibt normalerweise noch nicht einmal einen einleuchtenden Grund dafür, dass normale Benutzer auf ihren Arbeitsplätzen Admins sind. So wie sich das hier darstellt, sind deine Benutzer aber alle auf dem Server Administratoren. Das ist nun wirklich das absolute NO-GO !!! Wie sollst du einen Server administrieren, wenn du so viele Administratoren in der Firma hast, wie dieselbe auch Mitarbeiter hat ? Wie willst du den Datenschutz gewährleisten, wenn alle deine Admins auf alles zugreifen können ? Also auch z.B. auf die Abmahnung im Personalordner ?
Nebenbei bringt das Entfernen der Rechte unterm Strich so garnichts, weil man sich als Admin die Rechte auch mal schnell wieder setzen kann !
Gruß
Hubert
Hallo Hubert,
es handelt sich um eine Arbeitsgruppe, nicht um eine Domäne und die Benutzer sind nur auf ihren Arbeitsplätzen Admins. Wie gesagt, ich habe das Netzwerk so übernommen, es ist vermutlich früher von einem Mini-Netzwerk auf diese Größe mit 15 Clients gewachsen und immer wieder geflickt worden, ohne dass irgendwann ein Schnitt gemacht wurde. Vielleicht werde ich einmal die Chance erhalten, es auf Domänenbetrieb und "lehrbuchmäßige" Rechtevergabe umzustellen.
Grüße, UU
es handelt sich um eine Arbeitsgruppe, nicht um eine Domäne und die Benutzer sind nur auf ihren Arbeitsplätzen Admins. Wie gesagt, ich habe das Netzwerk so übernommen, es ist vermutlich früher von einem Mini-Netzwerk auf diese Größe mit 15 Clients gewachsen und immer wieder geflickt worden, ohne dass irgendwann ein Schnitt gemacht wurde. Vielleicht werde ich einmal die Chance erhalten, es auf Domänenbetrieb und "lehrbuchmäßige" Rechtevergabe umzustellen.
Grüße, UU
