Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fragen zur Zentralen Netzverwaltung mit Freigaben und NTFS-Rechten in einer Windows Domäne mit und ohne Active Directory

Frage Microsoft Windows Server

Mitglied: tcprojekt

tcprojekt (Level 1) - Jetzt verbinden

21.06.2010 um 14:41 Uhr, 6601 Aufrufe, 7 Kommentare

Hallo
Ich bin zurzeit Student und habe demnächst eine mündliche Befragung zum Thema Freigaben unter Lokalen Benutzern auf einen zentralen Server und freigaben auf einem Server mit Active Directory.
Hier ein Szenario mit Bildern im Anhang:

Ich habe also Folgendes Szenario:
3 Computer mit Lokalen Benutzerkonten sollen auf einen Fileserver, freigaben bekommen. siehe Bild 1
Was ist der Nachteil? Bzw. unterschied zum Szenario 2 mit AD+DNS+DHCP?
ich habe also das ganze Praktisch aufgebaut und getestet.
- Damit Benutzer auf die Freigegeben Datenzugreifen dürfen, müssen diese vom Client aus den Benutzernamen des Servers und das Passwort wissen(dies ist ein Nachteil. Berechtigungen können nicht auf die Benutzer abgestimmt werden, da diese nur lokal vorhanden sind.)
- Damit auf die Freigaben zugegriffen werden kann muss Server und Clients in der gleichen Arbeitsgruppe sein.
-Daten können nicht für einzelne Personen Freigegeben werden oder für Gruppen
Bild 1:
45da424c78b70ddd5b275702ca8412f2 - Klicke auf das Bild, um es zu vergrößern

im Szenario 2:

Es gibt wieder 3 Computer und 3 Benutzer die ein Server gespeichertes Profil haben. siehe Bild 2
Der Server (Windows Server 2003) hat Active Directory+ DNS+DHCP und einen Fileserver um Dateien Freizugeben.
- Benutzer können gezielte Freigaben bekommen nach der ADGLP-Regel über Gruppen.
- Netzwerkfreigaben werden mit ihren Attributen vom NTFS-Freigaben übernommen, wenn diese nicht ausdrücklich verweigert sind

Bild 2:
da3c75579df060bfb6842911eab12e37 - Klicke auf das Bild, um es zu vergrößern

Meine Fragen sind:
wie ist das mit den Netzwerkfreigaben zu den NTFS-Freigaben?
Sind meine Ergebnisse richtig?
was muss ich noch beachten?

freue mich auf antworten
Mitglied: bankaifan
21.06.2010 um 15:08 Uhr
Hallo Tcprojekt und willkommen im Forum,

also ich versuch es mal an nem Beispiel zu erklären.

Du hast 3 Computer und einen Fileserver.

Auf deinem Fileserver sind 3 Ordner "Müller", "Meier" & "Huber".

Du hast im AD 3 User angelegt: "Müller", "Meier" & "Huber".

Jeder soll auf seinem Ordner volle Berechtigungen haben auf den anderen aber nur lese berechtigung.

Wir geben also auf dem Fileserver das Laufwerk mit den Ordnern via DNS frei (Wenn du dort die Freigaben anschaust ist standartmäßig "Jeder" eingetragen mit Vollzugriff und das lässt man auch so)

Jetzt zu den Ordnern. Wir gehen auch hier in den Reiter "Sicherheit" und sind geben jetzt den Usern jeweils vollzugriff via NTFS.

Anschließend noch das leserecht für die jeweils anderen beiden user.

Nun, was ist genau der Unterschied zwischen DNS und NTFS?

DNS ist ganz einfach "stärker" wenn im DNS der User "Müller" KEINE Berechtigung für das LAufwerk hat im NTFS jedoch schon, kann er trotzdem nicht auf den Ordner zugreifen.
Hat der User im DNS die Berechtigung und im NTFS keine hat er auch keine Berechtigung.

Merke also:
- DNS ist stärker als NTFS
- Verweigernrecht ist IMMER stärker
- Keine Rechtsangabe bei NTFS entspricht entweder dem Recht einer übergeordneten Gruppe oder dem DNS.



Zu deinen Ergebnissen habe ich keine Fehler gefunden.

Was du noch beachten musst kann ich dir leider nicht sagen.

Ich kann dir auch nicht versprechen, dass alles so passt, wie ich es geschrieben habe. Wäre mir recht wenn es noch jmd "abzeichnen" kann. Ist das was mir so spontan eingefallen ist, ist aber schon ne zeit her, dass ich mich das letzte mal mit dem Thema beschäftigt habe.

Gruß

Daniel
Bitte warten ..
Mitglied: tcprojekt
21.06.2010 um 15:21 Uhr
Hi danke Daniel

also DNS und NTFS kannst du so nicht vergleichen.
DNS ist ein dienst zur Namensauflösung...
ich glaube du meintest die Netzwerkfreigaben.

ja das ist mir auch aufgefallen.
Netzwerkfreigaben sind übergeordnet es seiden in den NTFS-Rechten ist eine Verweigerung gesetzt.
Bitte warten ..
Mitglied: bankaifan
21.06.2010 um 15:27 Uhr
Ja stimmt schon mit den Netzwerkfreigaben, aber wenn ich mich ned irre hat des i-wie was mit DNS zu tun. Hab da innerhalb von ner woche so viele infos zu eingebläut bekommen...da verwechsel ich des weng
Bitte warten ..
Mitglied: dog
21.06.2010 um 17:57 Uhr
Wir geben also auf dem Fileserver das Laufwerk mit den Ordnern via DNS frei

Dafür 0 Punkte.

und sind geben jetzt den Usern jeweils vollzugriff via NTFS.

Dafür auch 0 Punkte.

DNS ist ganz einfach "stärker" wenn im DNS der User "Müller" KEINE Berechtigung für das LAufwerk hat im NTFS jedoch schon, kann er trotzdem nicht auf den Ordner zugreifen.
Hat der User im DNS die Berechtigung und im NTFS keine hat er auch keine Berechtigung.

Und jetzt habe ich Kopfschmerzen.

DNS vergessen wir mal bitte ganz, dass hat mit den Sicherheitsberechtigungen nicht die Bohne zu tun.

Es gibt lediglich
  • Freigabeberechtigungen
  • Sicherheitsberechtigungen

Und die Regel dabei ist: Der kleinstmögliche Nenner ist das angewendete Ergebnis.

Da Freigaberechte aber eine Legacy-Funktion sind, gilt dort folgende Regel:
Ein Eintrag: Jeder Lesen+Ändern - nichts anderes.
Alles Andere wird über die NTFS-Rechte gemacht.

(dies ist ein Nachteil. Berechtigungen können nicht auf die Benutzer abgestimmt werden, da diese nur lokal vorhanden sind.)

Das ist falsch.
Du legst einfach auf dem Server für jeden Benutzer ein Konto mit eigenem Passwort an und schon kannst du es auch ohne AD individuell kontrollieren.

-Daten können nicht für einzelne Personen Freigegeben werden oder für Gruppen

Das ist natürlich auch falsch, siehe oben.

- Damit auf die Freigaben zugegriffen werden kann muss Server und Clients in der gleichen Arbeitsgruppe sein.

kA. Ich kriege schon Gänsehaut bei dem Wort Arbeitsgruppe.

- Netzwerkfreigaben werden mit ihren Attributen vom NTFS-Freigaben übernommen, wenn diese nicht ausdrücklich verweigert sind

Den Satz verstehe ich nicht.
Bitte warten ..
Mitglied: bankaifan
21.06.2010 um 18:44 Uhr
Jetzt fühl ich mich gedizzed XD ... nee spaß... tja.... ich würd sagen es war eindeutig zu viel Infos + Red Bull
Bitte warten ..
Mitglied: tcprojekt
21.06.2010 um 19:43 Uhr
Hi Dog,

danke für deine Antwort.
unter
          • Freigabeberechtigungen = Netzwerkfreigaben
          • Sicherheitsberechtigungen = NTFS-Rechte
das ist klar.
ich war mir eben nicht so sicher wo und wann die rechte übernommen werden...

wie sieht es mit den ou´s aus?
ich muss die ADGLP-Regel anwenden.
also mache ich unter AD(Benutzer und Gruppen): NEU>Gruppe> hinzufügen und dann lasse ich diese Gruppe als Global.
in diese füge ich nun meine Benutzer X und Y als Mitglieder hinzu.
Nun mache ich wieder eine neue Gruppe: NEU>Gruppe> hinzugfügen und setzte den haken auf lokal[ ODER ?????]
anschließend füge ich als Mitglied die Globale Gruppe hinzu und gebe bei der Freigabe nun nur noch diese Lokale Gruppe an!

ist das richtig?

und wenn ja wo setzte ich nun die Berechtigung für diese Gruppe? unter den Freigaberechten oder unter den Sicherheitsrechten?
Bitte warten ..
Mitglied: tcprojekt
29.06.2010 um 12:28 Uhr
Das Thema ist geklärt!
habe letzte Woche die Befragung gehabt und es ist alles sehr gut gelaufen.
Szenario 1:
kleine Lösung zu den Fragen(falls jemand die gleichen Fragen haben sollte):
Freigabeberechtigungen und Sicherheitsberechtigungen kann man sich als ein Gartentor und eine Haustür vorstellen.

Hat man eine Freigabe für eine Gruppe von Benutzern erstellt, so darf diese Gruppe in den Garten und kann dort evtl. die freigaben sehen.
Möchten die Benutzer nun auf die Daten die freigegeben sind zugreifen, so muss die Haustüre geöffnet werden. Die Haustür ist die Sicherheitsberechtigung.
Vollzugriff würde also nur gehen wenn beide Türen für die Entsprechenden Benutzergruppen freigeben sind.

Wichtig:
beim Szenario 1 gibt es keine Zentrale Benutzerverwaltung!
Damit Benutzer aber auf die Freigaben zugreifen dürfen müssen diese sich authentifizieren. Das geht mit einen Benutzer Konto das auf dem Server(fileserver)angelegt ist. Hat jeder Benutzer ein Konto auf dem Server mit dem gleichen Benutzernamen und Passwort, so authentifiziert sich der Benutzer beim Server automatisch. Wenn nicht, muss er Benutzernamen und das Passwort des Benutzers eingeben der auf dem Server ein Konto hat.

Das System hat natürlich Nachteile! es ist für kleine Netze aber dennoch geeignet.
Computer müssen hier in der gleichen Arbeitsgruppe sein.

Szenario 2:
Für die Freigaben sollte man aber die AGDLP-Regel benutzen um so mehr übersieht zu haben.
man Erstellt also eine Gruppe in AD und macht diese Gruppe zu einer Globalen Gruppe. Die Mitglieder sind dann z.B die Benutzer „der Verwaltung“ oder „des Supports“ …..
nun erstellt man eine Gruppe als Lokale Gruppe und nimmt als Mitglied die Globale Gruppe auf.
Nur die Lokale Gruppe bekommt die Freigabe Einträge bei der Freigabeberechtigung und bei den Sicherheitsberechtigungen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows-Domäne und CloudFlare für Webseite (7)

Frage von d4shoerncheN zum Thema Windows Server ...

Windows Server
Anmeldung an neuen Windows Domäne Client nicht möglich (16)

Frage von FlorianN zum Thema Windows Server ...

Sicherheits-Tools
gelöst 2 faktor authentifizierung windows domäne nur bestimmte benutzer (7)

Frage von kal10bach zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...