Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Freigaben vs. Vererbung von NTFS-Berechtigungen

Frage Microsoft Windows Server

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

21.02.2007, aktualisiert 28.08.2008, 16072 Aufrufe, 7 Kommentare

Der übergeordnete Freigabeordner soll für die ganze Abteilung verfügbar sein, die Unterordner nur jeweils für spezielle Mitarbeiter. Wie kann ich das (in den NTFS-Zugriffsrechten) festlegen, ohne die Vererbung auszuschalten.

Hallo zusammen.

Habe eine Frage, die zumindest so noch nicht beantwortet worden ist, deshalb eröffne ich hier einen neuen Beitrag.

Wir haben verschiedene Abteilungen mit verschiedenen Fachbereichen.
Gewünschte Lösung wäre folgende:
Auf dem Fileserver im Ordner "Buchhaltung" (beispielsweise) liegen die einzelnen Unterordner, für die es verschiedene Zugriffsrechte gibt. Der Ordner "Buchhaltung" selbst ist nicht freigegeben und hat auch nur die vom Laufwerk vererbten Standardfreigaben (Admin, System). Freigegeben ist jeder der Unterordner (z.B. als "Buchhaltung-Verwaltung"). Bei diesen Unterordnern werden auch zusätzliche Zugriffsrechte (NTFS) vergeben (z.B. die Gruppe "DL-BH-VW-lesen" kriegt Vollzugriff).
D.h., ich habe eine klare Ordnerstruktur auf dem Server, bei dem alle Freigaben jeweils andere Zugriffsrechte haben, was auch mit der Vererbung prima geht. Nachteil: Ich habe zig Freigaben, die ich entweder alle mappen muss (nicht praktikabel), oder die alle in meinem Netzwerk angezeigt werden (nicht gut für die DAUs, die dann nichts mehr finden).

Ändere ich dieses System, so dass die Freigabe auf dem Überordner "Buchhaltung" liegt, so muss ich hier auch NTFS-Zugriffsrechte setzen und zwar für die ganze Abteilung. Diese Rechte würden sich aber nach unten Vererben, so dass entweder jedes Mitglied der Gruppe Buchhaltung einen verebten (mindestens Lese-)Zugriff auf alles hat (was geheimniskrämerischerweise nicht gewollt ist), oder aber ich die Vererbung ausschalten muss, was ich auch nicht will, weil ich meine Zugriffsrechte im Active Directory verwalten und nicht auf allen Ordnern rumklicken will.

Daher wäre es für uns bei der Einrichtung optimal, wenn für jeden Netzwerkbenutzer einfach nur die Freigaben sichtbar wären, die er auch nutzen darf. Es gab hierzu einen Link auf Microsoft ABE (Access-based Enumeration), was mir allerdings nicht hilft, da dieses Tool nicht die Freigaben selbst ausblendet, sondern nur deren Unterordner. D.h. für mich bleibt entweder das Problem mit der Vererbung (die oberste Freigabe muss für jeden Benutzer zugänglich sein, so dass ich untergeordnete Ordner nur durch Ausschalten der Vererbung sperren kann), oder es bleibt das Problem, dass trotzdem zig Freigaben im Netz erscheinen, weil diese durch MS ABE nicht versteckt werden.

Hat hier schon jemand Erfahrungen gesammelt?

Viele Grüße,
die Kaffeepause (momentan eher pausenlos)
Mitglied: uemmel
21.02.2007 um 17:13 Uhr
Auch wenn das vielleicht nicht ganz dein Problem löst, aber was ist denn mit versteckten Freigaben. Die kann man im Netzwerk nicht sehen und jeder User bekommt nur die Pfade zu den Freigaben, auf denen er Zugriff hat.

so umgehst du das Problem der Vererbung und es sind nicht alle Frigaben sichtbar.
Bitte warten ..
Mitglied: Kaffeepause
21.02.2007 um 17:41 Uhr
Hallo und danke für die Antwort.

Freigabe$ löst das Problem -denke ich- nicht. Denn so ist eine Freigabe ja für alle unsichtbar, nicht nur für diejenigen, die keinen Zugriff haben. Das hieße, damit ein Benutzer seine entsprechenden Ordner auf dem Server findet, muss ich entweder alle Ordner mappen (und das sind zu viele), oder ich muss ganz banal mit Verknüpfungen arbeiten, was ich total unprofessionell fände. Auf jeden Fall könnte ich nicht einfach den Usern sagen: Klickt auf den Server, dort seht ihr alles, was ihr braucht (und auch nicht mehr).
Bitte warten ..
Mitglied: Dynadrate
21.02.2007 um 17:50 Uhr
Leider schreibst du, das du "nicht in den Ordner rumklicken möchtest". Es gibt jedoch diverse Kommandozeilen basierende Tools, mit denen NTFS Berechtigungen verwaltet werden können. Wenn man das ganze per Script abfeuert, hat das ganze auch Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis Buchhaltung zu mappen, die Berechtigungen per NTFS zu setzen und an gegebenen Stellen die Vererbung zu kappen für sinnvoller.
Bitte warten ..
Mitglied: Kaffeepause
21.02.2007 um 18:27 Uhr
Leider schreibst du, das du "nicht in
den Ordner rumklicken möchtest". Es
gibt jedoch diverse Kommandozeilen basierende
Tools, mit denen NTFS Berechtigungen
verwaltet werden können. Wenn man das
ganze per Script abfeuert, hat das ganze auch
Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis
Buchhaltung zu mappen, die Berechtigungen per
NTFS zu setzen und an gegebenen Stellen die
Vererbung zu kappen für sinnvoller.

Für mich sind die Domänen-lokalen Gruppen im Active Directory das Werkzeug, um Zugriffe auf Ordner, basierend auf der Organisationsstruktur, zu verwalten. Es wäre ein doppelter Aufwand, wenn ich erst meine Organisation im Active Directory abbilde, dann aber extra Tools brauche, um die tatsächlichen Zugriffe auf meinen Fileserver zu regeln. So schlecht kann MS doch nicht sein! ;)
Dokumentation habe ich auch über Active Directory. Hier kann ich auch mit DOS-Befehlen, also mit ganz einfachen Skripten un Batchdateien arbeiten.

Trotzdem: Welche Tools (NTFS Berechtigungen) sind denn empfehlenswert?
Bitte warten ..
Mitglied: Kaffeepause
27.08.2008 um 12:14 Uhr
Ich betrachte diesen Punkt als ungelöst-gelöst. Das soll heißen: es gibt hierzu keine mustergültige Lösung, aber dessen bin ich mir jetzt sicher. Ich habe die Vererbung unterbrochen, weil ich denke, dass das noch am besten ist.
Bitte warten ..
Mitglied: uemmel
27.08.2008 um 21:38 Uhr
Und was ist, wenn du einen Ordner, z.B. Freigaben, erstellst und dort alle Ordner hinterlegst. Wenn du dann Microsoft ABE installierst und die Berechtigungen setzt, können alle diesen Ordner mappen und jeder sieht nur die für ihn bestimmten Ordner.
So habe ich es jetzt bei einem Kunden gelöst.
Bitte warten ..
Mitglied: Kaffeepause
28.08.2008 um 10:16 Uhr
Hallo,

wenn ich einen Ordner "Freigaben" erstelle, dann muss darauf für jeden mindestens der Lesezugriff eingerichtet sein, damit er/sie den Einstiegspunkt erreichen kann.
Um dann verschiedene Ordner "unsichtbar" zu machen, muss ich die Vererbungsrechte dann doch wieder kappen und den Lesezugriff wieder entfernen.

Oder man arbeitet mit Verweigerungen.
Aber das ist bei der Einrichtung dann einmalig ein größerer Aufwand, weil ich allen Gruppen außer der genehmigten den Zugriff verweigern muss. Ich kann ja nicht einfach "Jeder" verweigern, weil da diejenigen, die tatsächlich authentifiziert sind, mit enthalten sind.
D.h., will ich den Zugriff nur für "DL-BH-VW-schreiben" setzen, muss ich alle anderen Benutzer sperren/verweigern.
Das geht ohne Kappung der Vererbung (weil ja nur ein Recht hinzukommt und nicht weggenommen wird), aber ist - wie geschrieben - ein mordsaufwand. Noch schwieriger: ist beispielsweise ein Benutzer in mehreren Gruppen, wird die Verweigerung nahezu unmöglich, es sei denn, ich wende die Verweigerung nicht auf Gruppen, sondern auf einzelne Benutzer-Accounts an und das entspricht nicht dem A-GG-DL-P-Prinzip und verlangsamt der Zugriff, weil bei jedem Zugriff auf die Ressource die komplette ACL (alle gesetzten rechte) abgefragt wird.

(Hmmmm... Oder man erstellt Verweigerungsgruppen... hmmm...*grübelt*...)

Mehr Möglichkeiten habe ich ja nicht, die Unterordner über Microsoft ABE tatsächlich unsichtbar zu machen:
a) Vererbung kappen und Lesezugriff (vom übergeordneten Einstiegspunkt) entfernen
b) spezielle Verweigerung für alle anderen Benutzer, außer den gewollten, hinzufügen

*grübelt*

Das mit den Verweigerungsgruppen müsste prinzipiell gehen. Ich hätte dann DL-BH-VW-schreiben [alle Benutzer, die auf den Buchhaltung-Verwaltungs-Ordner schreiben können] mit Vollzugriff, DL-BH-VW-lesen [alle Benutzer mit Lesezugriff] und DL-BH-VW-verweigern [alle Benutzer, die keinen Zugriff haben sollen]. Auf dem Überordner stünde das NTFS-Recht "Authentifizierte Benutzer - lesen" und darunter würden explizit nicht nur die Rechte, sondern auch die Verweigerungen gesetzt. Hmmm. Das ginge.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft
NTFS Berechtigungen - Vererbung (10)

Frage von Bierkasten zum Thema Microsoft ...

Exchange Server
gelöst Vererbung von Berechtigungen auf Unterordner in Outlook verhindern (6)

Frage von touro411 zum Thema Exchange Server ...

Netzwerkgrundlagen
gelöst Vlan Routing Pfsense APU2 vs L3 (6)

Frage von TimMayer zum Thema Netzwerkgrundlagen ...

Windows Netzwerk
Windows SCCM vs Puppet + Chocolatey (6)

Frage von eglipeter zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...