Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fragen zur Zentralen Netzverwaltung mit Freigaben und NTFS-Rechten in einer Windows Domäne mit und ohne Active Directory

Frage Microsoft Windows Server

Mitglied: tcprojekt

tcprojekt (Level 1) - Jetzt verbinden

21.06.2010 um 14:41 Uhr, 6762 Aufrufe, 7 Kommentare

Hallo
Ich bin zurzeit Student und habe demnächst eine mündliche Befragung zum Thema Freigaben unter Lokalen Benutzern auf einen zentralen Server und freigaben auf einem Server mit Active Directory.
Hier ein Szenario mit Bildern im Anhang:

Ich habe also Folgendes Szenario:
3 Computer mit Lokalen Benutzerkonten sollen auf einen Fileserver, freigaben bekommen. siehe Bild 1
Was ist der Nachteil? Bzw. unterschied zum Szenario 2 mit AD+DNS+DHCP?
ich habe also das ganze Praktisch aufgebaut und getestet.
- Damit Benutzer auf die Freigegeben Datenzugreifen dürfen, müssen diese vom Client aus den Benutzernamen des Servers und das Passwort wissen(dies ist ein Nachteil. Berechtigungen können nicht auf die Benutzer abgestimmt werden, da diese nur lokal vorhanden sind.)
- Damit auf die Freigaben zugegriffen werden kann muss Server und Clients in der gleichen Arbeitsgruppe sein.
-Daten können nicht für einzelne Personen Freigegeben werden oder für Gruppen
Bild 1:
45da424c78b70ddd5b275702ca8412f2 - Klicke auf das Bild, um es zu vergrößern

im Szenario 2:

Es gibt wieder 3 Computer und 3 Benutzer die ein Server gespeichertes Profil haben. siehe Bild 2
Der Server (Windows Server 2003) hat Active Directory+ DNS+DHCP und einen Fileserver um Dateien Freizugeben.
- Benutzer können gezielte Freigaben bekommen nach der ADGLP-Regel über Gruppen.
- Netzwerkfreigaben werden mit ihren Attributen vom NTFS-Freigaben übernommen, wenn diese nicht ausdrücklich verweigert sind

Bild 2:
da3c75579df060bfb6842911eab12e37 - Klicke auf das Bild, um es zu vergrößern

Meine Fragen sind:
wie ist das mit den Netzwerkfreigaben zu den NTFS-Freigaben?
Sind meine Ergebnisse richtig?
was muss ich noch beachten?

freue mich auf antworten
Mitglied: bankaifan
21.06.2010 um 15:08 Uhr
Hallo Tcprojekt und willkommen im Forum,

also ich versuch es mal an nem Beispiel zu erklären.

Du hast 3 Computer und einen Fileserver.

Auf deinem Fileserver sind 3 Ordner "Müller", "Meier" & "Huber".

Du hast im AD 3 User angelegt: "Müller", "Meier" & "Huber".

Jeder soll auf seinem Ordner volle Berechtigungen haben auf den anderen aber nur lese berechtigung.

Wir geben also auf dem Fileserver das Laufwerk mit den Ordnern via DNS frei (Wenn du dort die Freigaben anschaust ist standartmäßig "Jeder" eingetragen mit Vollzugriff und das lässt man auch so)

Jetzt zu den Ordnern. Wir gehen auch hier in den Reiter "Sicherheit" und sind geben jetzt den Usern jeweils vollzugriff via NTFS.

Anschließend noch das leserecht für die jeweils anderen beiden user.

Nun, was ist genau der Unterschied zwischen DNS und NTFS?

DNS ist ganz einfach "stärker" wenn im DNS der User "Müller" KEINE Berechtigung für das LAufwerk hat im NTFS jedoch schon, kann er trotzdem nicht auf den Ordner zugreifen.
Hat der User im DNS die Berechtigung und im NTFS keine hat er auch keine Berechtigung.

Merke also:
- DNS ist stärker als NTFS
- Verweigernrecht ist IMMER stärker
- Keine Rechtsangabe bei NTFS entspricht entweder dem Recht einer übergeordneten Gruppe oder dem DNS.



Zu deinen Ergebnissen habe ich keine Fehler gefunden.

Was du noch beachten musst kann ich dir leider nicht sagen.

Ich kann dir auch nicht versprechen, dass alles so passt, wie ich es geschrieben habe. Wäre mir recht wenn es noch jmd "abzeichnen" kann. Ist das was mir so spontan eingefallen ist, ist aber schon ne zeit her, dass ich mich das letzte mal mit dem Thema beschäftigt habe.

Gruß

Daniel
Bitte warten ..
Mitglied: tcprojekt
21.06.2010 um 15:21 Uhr
Hi danke Daniel

also DNS und NTFS kannst du so nicht vergleichen.
DNS ist ein dienst zur Namensauflösung...
ich glaube du meintest die Netzwerkfreigaben.

ja das ist mir auch aufgefallen.
Netzwerkfreigaben sind übergeordnet es seiden in den NTFS-Rechten ist eine Verweigerung gesetzt.
Bitte warten ..
Mitglied: bankaifan
21.06.2010 um 15:27 Uhr
Ja stimmt schon mit den Netzwerkfreigaben, aber wenn ich mich ned irre hat des i-wie was mit DNS zu tun. Hab da innerhalb von ner woche so viele infos zu eingebläut bekommen...da verwechsel ich des weng
Bitte warten ..
Mitglied: dog
21.06.2010 um 17:57 Uhr
Wir geben also auf dem Fileserver das Laufwerk mit den Ordnern via DNS frei

Dafür 0 Punkte.

und sind geben jetzt den Usern jeweils vollzugriff via NTFS.

Dafür auch 0 Punkte.

DNS ist ganz einfach "stärker" wenn im DNS der User "Müller" KEINE Berechtigung für das LAufwerk hat im NTFS jedoch schon, kann er trotzdem nicht auf den Ordner zugreifen.
Hat der User im DNS die Berechtigung und im NTFS keine hat er auch keine Berechtigung.

Und jetzt habe ich Kopfschmerzen.

DNS vergessen wir mal bitte ganz, dass hat mit den Sicherheitsberechtigungen nicht die Bohne zu tun.

Es gibt lediglich
  • Freigabeberechtigungen
  • Sicherheitsberechtigungen

Und die Regel dabei ist: Der kleinstmögliche Nenner ist das angewendete Ergebnis.

Da Freigaberechte aber eine Legacy-Funktion sind, gilt dort folgende Regel:
Ein Eintrag: Jeder Lesen+Ändern - nichts anderes.
Alles Andere wird über die NTFS-Rechte gemacht.

(dies ist ein Nachteil. Berechtigungen können nicht auf die Benutzer abgestimmt werden, da diese nur lokal vorhanden sind.)

Das ist falsch.
Du legst einfach auf dem Server für jeden Benutzer ein Konto mit eigenem Passwort an und schon kannst du es auch ohne AD individuell kontrollieren.

-Daten können nicht für einzelne Personen Freigegeben werden oder für Gruppen

Das ist natürlich auch falsch, siehe oben.

- Damit auf die Freigaben zugegriffen werden kann muss Server und Clients in der gleichen Arbeitsgruppe sein.

kA. Ich kriege schon Gänsehaut bei dem Wort Arbeitsgruppe.

- Netzwerkfreigaben werden mit ihren Attributen vom NTFS-Freigaben übernommen, wenn diese nicht ausdrücklich verweigert sind

Den Satz verstehe ich nicht.
Bitte warten ..
Mitglied: bankaifan
21.06.2010 um 18:44 Uhr
Jetzt fühl ich mich gedizzed XD ... nee spaß... tja.... ich würd sagen es war eindeutig zu viel Infos + Red Bull
Bitte warten ..
Mitglied: tcprojekt
21.06.2010 um 19:43 Uhr
Hi Dog,

danke für deine Antwort.
unter
          • Freigabeberechtigungen = Netzwerkfreigaben
          • Sicherheitsberechtigungen = NTFS-Rechte
das ist klar.
ich war mir eben nicht so sicher wo und wann die rechte übernommen werden...

wie sieht es mit den ou´s aus?
ich muss die ADGLP-Regel anwenden.
also mache ich unter AD(Benutzer und Gruppen): NEU>Gruppe> hinzufügen und dann lasse ich diese Gruppe als Global.
in diese füge ich nun meine Benutzer X und Y als Mitglieder hinzu.
Nun mache ich wieder eine neue Gruppe: NEU>Gruppe> hinzugfügen und setzte den haken auf lokal[ ODER ?????]
anschließend füge ich als Mitglied die Globale Gruppe hinzu und gebe bei der Freigabe nun nur noch diese Lokale Gruppe an!

ist das richtig?

und wenn ja wo setzte ich nun die Berechtigung für diese Gruppe? unter den Freigaberechten oder unter den Sicherheitsrechten?
Bitte warten ..
Mitglied: tcprojekt
29.06.2010 um 12:28 Uhr
Das Thema ist geklärt!
habe letzte Woche die Befragung gehabt und es ist alles sehr gut gelaufen.
Szenario 1:
kleine Lösung zu den Fragen(falls jemand die gleichen Fragen haben sollte):
Freigabeberechtigungen und Sicherheitsberechtigungen kann man sich als ein Gartentor und eine Haustür vorstellen.

Hat man eine Freigabe für eine Gruppe von Benutzern erstellt, so darf diese Gruppe in den Garten und kann dort evtl. die freigaben sehen.
Möchten die Benutzer nun auf die Daten die freigegeben sind zugreifen, so muss die Haustüre geöffnet werden. Die Haustür ist die Sicherheitsberechtigung.
Vollzugriff würde also nur gehen wenn beide Türen für die Entsprechenden Benutzergruppen freigeben sind.

Wichtig:
beim Szenario 1 gibt es keine Zentrale Benutzerverwaltung!
Damit Benutzer aber auf die Freigaben zugreifen dürfen müssen diese sich authentifizieren. Das geht mit einen Benutzer Konto das auf dem Server(fileserver)angelegt ist. Hat jeder Benutzer ein Konto auf dem Server mit dem gleichen Benutzernamen und Passwort, so authentifiziert sich der Benutzer beim Server automatisch. Wenn nicht, muss er Benutzernamen und das Passwort des Benutzers eingeben der auf dem Server ein Konto hat.

Das System hat natürlich Nachteile! es ist für kleine Netze aber dennoch geeignet.
Computer müssen hier in der gleichen Arbeitsgruppe sein.

Szenario 2:
Für die Freigaben sollte man aber die AGDLP-Regel benutzen um so mehr übersieht zu haben.
man Erstellt also eine Gruppe in AD und macht diese Gruppe zu einer Globalen Gruppe. Die Mitglieder sind dann z.B die Benutzer „der Verwaltung“ oder „des Supports“ …..
nun erstellt man eine Gruppe als Lokale Gruppe und nimmt als Mitglied die Globale Gruppe auf.
Nur die Lokale Gruppe bekommt die Freigabe Einträge bei der Freigabeberechtigung und bei den Sicherheitsberechtigungen.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Fragen zum Einstieg in Netzverwaltung
Frage von 120167Netzwerke3 Kommentare

Hallo zusammen, vielleicht kann mir ja geholfen werden. Folgendes Problem: Ich muss ein kleines Netzwerk mit etwa 10 Clients ...

Windows Server
Active Directory Domäne und Druckserver
Frage von haashaaspWindows Server8 Kommentare

Hallo! Bin Anfänger also bitte nicht verwundern Habe einen Windows Server 2008, einen Client-PC und eine Domäne. Erstens: Möchte ...

Linux Netzwerk
Linux als Active Directory Domäne
gelöst Frage von 134408Linux Netzwerk7 Kommentare

Hallo, wir würden zu experimentellen Zwecken gerne in unserem Testlabor ein Linux als Active Directory Domäne einrichten. Routing, DHCP, ...

Windows Server
Active Directory Benutzer ohne Login-Recht
Frage von gubbeldigubWindows Server4 Kommentare

Hallo, ich habe relativ wenig Erfahrung im Umgang mit AD. Also habe ich anhand eines Lehrbuches versucht ein Beispiel-Directory ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 13 MinutenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 29 MinutenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 12 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 19 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...