7
Freigaben vs. Vererbung von NTFS-Berechtigungen
Der übergeordnete Freigabeordner soll für die ganze Abteilung verfügbar sein, die Unterordner nur jeweils für spezielle Mitarbeiter. Wie kann ich das (in den NTFS-Zugriffsrechten) festlegen, ohne die Vererbung auszuschalten.
Hallo zusammen.
Habe eine Frage, die zumindest so noch nicht beantwortet worden ist, deshalb eröffne ich hier einen neuen Beitrag.
Wir haben verschiedene Abteilungen mit verschiedenen Fachbereichen.
Gewünschte Lösung wäre folgende:
Auf dem Fileserver im Ordner "Buchhaltung" (beispielsweise) liegen die einzelnen Unterordner, für die es verschiedene Zugriffsrechte gibt. Der Ordner "Buchhaltung" selbst ist nicht freigegeben und hat auch nur die vom Laufwerk vererbten Standardfreigaben (Admin, System). Freigegeben ist jeder der Unterordner (z.B. als "Buchhaltung-Verwaltung"). Bei diesen Unterordnern werden auch zusätzliche Zugriffsrechte (NTFS) vergeben (z.B. die Gruppe "DL-BH-VW-lesen" kriegt Vollzugriff).
D.h., ich habe eine klare Ordnerstruktur auf dem Server, bei dem alle Freigaben jeweils andere Zugriffsrechte haben, was auch mit der Vererbung prima geht. Nachteil: Ich habe zig Freigaben, die ich entweder alle mappen muss (nicht praktikabel), oder die alle in meinem Netzwerk angezeigt werden (nicht gut für die DAUs, die dann nichts mehr finden).
Ändere ich dieses System, so dass die Freigabe auf dem Überordner "Buchhaltung" liegt, so muss ich hier auch NTFS-Zugriffsrechte setzen und zwar für die ganze Abteilung. Diese Rechte würden sich aber nach unten Vererben, so dass entweder jedes Mitglied der Gruppe Buchhaltung einen verebten (mindestens Lese-)Zugriff auf alles hat (was geheimniskrämerischerweise nicht gewollt ist), oder aber ich die Vererbung ausschalten muss, was ich auch nicht will, weil ich meine Zugriffsrechte im Active Directory verwalten und nicht auf allen Ordnern rumklicken will.
Daher wäre es für uns bei der Einrichtung optimal, wenn für jeden Netzwerkbenutzer einfach nur die Freigaben sichtbar wären, die er auch nutzen darf. Es gab hierzu einen Link auf Microsoft ABE (Access-based Enumeration), was mir allerdings nicht hilft, da dieses Tool nicht die Freigaben selbst ausblendet, sondern nur deren Unterordner. D.h. für mich bleibt entweder das Problem mit der Vererbung (die oberste Freigabe muss für jeden Benutzer zugänglich sein, so dass ich untergeordnete Ordner nur durch Ausschalten der Vererbung sperren kann), oder es bleibt das Problem, dass trotzdem zig Freigaben im Netz erscheinen, weil diese durch MS ABE nicht versteckt werden.
Hat hier schon jemand Erfahrungen gesammelt?
Viele Grüße,
die Kaffeepause (momentan eher pausenlos)
Habe eine Frage, die zumindest so noch nicht beantwortet worden ist, deshalb eröffne ich hier einen neuen Beitrag.
Wir haben verschiedene Abteilungen mit verschiedenen Fachbereichen.
Gewünschte Lösung wäre folgende:
Auf dem Fileserver im Ordner "Buchhaltung" (beispielsweise) liegen die einzelnen Unterordner, für die es verschiedene Zugriffsrechte gibt. Der Ordner "Buchhaltung" selbst ist nicht freigegeben und hat auch nur die vom Laufwerk vererbten Standardfreigaben (Admin, System). Freigegeben ist jeder der Unterordner (z.B. als "Buchhaltung-Verwaltung"). Bei diesen Unterordnern werden auch zusätzliche Zugriffsrechte (NTFS) vergeben (z.B. die Gruppe "DL-BH-VW-lesen" kriegt Vollzugriff).
D.h., ich habe eine klare Ordnerstruktur auf dem Server, bei dem alle Freigaben jeweils andere Zugriffsrechte haben, was auch mit der Vererbung prima geht. Nachteil: Ich habe zig Freigaben, die ich entweder alle mappen muss (nicht praktikabel), oder die alle in meinem Netzwerk angezeigt werden (nicht gut für die DAUs, die dann nichts mehr finden).
Ändere ich dieses System, so dass die Freigabe auf dem Überordner "Buchhaltung" liegt, so muss ich hier auch NTFS-Zugriffsrechte setzen und zwar für die ganze Abteilung. Diese Rechte würden sich aber nach unten Vererben, so dass entweder jedes Mitglied der Gruppe Buchhaltung einen verebten (mindestens Lese-)Zugriff auf alles hat (was geheimniskrämerischerweise nicht gewollt ist), oder aber ich die Vererbung ausschalten muss, was ich auch nicht will, weil ich meine Zugriffsrechte im Active Directory verwalten und nicht auf allen Ordnern rumklicken will.
Daher wäre es für uns bei der Einrichtung optimal, wenn für jeden Netzwerkbenutzer einfach nur die Freigaben sichtbar wären, die er auch nutzen darf. Es gab hierzu einen Link auf Microsoft ABE (Access-based Enumeration), was mir allerdings nicht hilft, da dieses Tool nicht die Freigaben selbst ausblendet, sondern nur deren Unterordner. D.h. für mich bleibt entweder das Problem mit der Vererbung (die oberste Freigabe muss für jeden Benutzer zugänglich sein, so dass ich untergeordnete Ordner nur durch Ausschalten der Vererbung sperren kann), oder es bleibt das Problem, dass trotzdem zig Freigaben im Netz erscheinen, weil diese durch MS ABE nicht versteckt werden.
Hat hier schon jemand Erfahrungen gesammelt?
Viele Grüße,
die Kaffeepause (momentan eher pausenlos)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 52281
Url: https://administrator.de/contentid/52281
Printed on: April 25, 2024 at 17:04 o'clock
7 Comments
Latest comment
Auch wenn das vielleicht nicht ganz dein Problem löst, aber was ist denn mit versteckten Freigaben. Die kann man im Netzwerk nicht sehen und jeder User bekommt nur die Pfade zu den Freigaben, auf denen er Zugriff hat.
so umgehst du das Problem der Vererbung und es sind nicht alle Frigaben sichtbar.
so umgehst du das Problem der Vererbung und es sind nicht alle Frigaben sichtbar.
Hallo und danke für die Antwort.
Freigabe$ löst das Problem -denke ich- nicht. Denn so ist eine Freigabe ja für alle unsichtbar, nicht nur für diejenigen, die keinen Zugriff haben. Das hieße, damit ein Benutzer seine entsprechenden Ordner auf dem Server findet, muss ich entweder alle Ordner mappen (und das sind zu viele), oder ich muss ganz banal mit Verknüpfungen arbeiten, was ich total unprofessionell fände. Auf jeden Fall könnte ich nicht einfach den Usern sagen: Klickt auf den Server, dort seht ihr alles, was ihr braucht (und auch nicht mehr).
Freigabe$ löst das Problem -denke ich- nicht. Denn so ist eine Freigabe ja für alle unsichtbar, nicht nur für diejenigen, die keinen Zugriff haben. Das hieße, damit ein Benutzer seine entsprechenden Ordner auf dem Server findet, muss ich entweder alle Ordner mappen (und das sind zu viele), oder ich muss ganz banal mit Verknüpfungen arbeiten, was ich total unprofessionell fände. Auf jeden Fall könnte ich nicht einfach den Usern sagen: Klickt auf den Server, dort seht ihr alles, was ihr braucht (und auch nicht mehr).
Leider schreibst du, das du "nicht in den Ordner rumklicken möchtest". Es gibt jedoch diverse Kommandozeilen basierende Tools, mit denen NTFS Berechtigungen verwaltet werden können. Wenn man das ganze per Script abfeuert, hat das ganze auch Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis Buchhaltung zu mappen, die Berechtigungen per NTFS zu setzen und an gegebenen Stellen die Vererbung zu kappen für sinnvoller.
Ich halte die Lösung, das Verzeichnis Buchhaltung zu mappen, die Berechtigungen per NTFS zu setzen und an gegebenen Stellen die Vererbung zu kappen für sinnvoller.
Leider schreibst du, das du "nicht in
den Ordner rumklicken möchtest". Es
gibt jedoch diverse Kommandozeilen basierende
Tools, mit denen NTFS Berechtigungen
verwaltet werden können. Wenn man das
ganze per Script abfeuert, hat das ganze auch
Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis
Buchhaltung zu mappen, die Berechtigungen per
NTFS zu setzen und an gegebenen Stellen die
Vererbung zu kappen für sinnvoller.
den Ordner rumklicken möchtest". Es
gibt jedoch diverse Kommandozeilen basierende
Tools, mit denen NTFS Berechtigungen
verwaltet werden können. Wenn man das
ganze per Script abfeuert, hat das ganze auch
Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis
Buchhaltung zu mappen, die Berechtigungen per
NTFS zu setzen und an gegebenen Stellen die
Vererbung zu kappen für sinnvoller.
Für mich sind die Domänen-lokalen Gruppen im Active Directory das Werkzeug, um Zugriffe auf Ordner, basierend auf der Organisationsstruktur, zu verwalten. Es wäre ein doppelter Aufwand, wenn ich erst meine Organisation im Active Directory abbilde, dann aber extra Tools brauche, um die tatsächlichen Zugriffe auf meinen Fileserver zu regeln. So schlecht kann MS doch nicht sein! ;)
Dokumentation habe ich auch über Active Directory. Hier kann ich auch mit DOS-Befehlen, also mit ganz einfachen Skripten un Batchdateien arbeiten.
Trotzdem: Welche Tools (NTFS Berechtigungen) sind denn empfehlenswert?
Ich betrachte diesen Punkt als ungelöst-gelöst. Das soll heißen: es gibt hierzu keine mustergültige Lösung, aber dessen bin ich mir jetzt sicher. Ich habe die Vererbung unterbrochen, weil ich denke, dass das noch am besten ist.
Und was ist, wenn du einen Ordner, z.B. Freigaben, erstellst und dort alle Ordner hinterlegst. Wenn du dann Microsoft ABE installierst und die Berechtigungen setzt, können alle diesen Ordner mappen und jeder sieht nur die für ihn bestimmten Ordner.
So habe ich es jetzt bei einem Kunden gelöst.
So habe ich es jetzt bei einem Kunden gelöst.
Hallo,
wenn ich einen Ordner "Freigaben" erstelle, dann muss darauf für jeden mindestens der Lesezugriff eingerichtet sein, damit er/sie den Einstiegspunkt erreichen kann.
Um dann verschiedene Ordner "unsichtbar" zu machen, muss ich die Vererbungsrechte dann doch wieder kappen und den Lesezugriff wieder entfernen.
Oder man arbeitet mit Verweigerungen.
Aber das ist bei der Einrichtung dann einmalig ein größerer Aufwand, weil ich allen Gruppen außer der genehmigten den Zugriff verweigern muss. Ich kann ja nicht einfach "Jeder" verweigern, weil da diejenigen, die tatsächlich authentifiziert sind, mit enthalten sind.
D.h., will ich den Zugriff nur für "DL-BH-VW-schreiben" setzen, muss ich alle anderen Benutzer sperren/verweigern.
Das geht ohne Kappung der Vererbung (weil ja nur ein Recht hinzukommt und nicht weggenommen wird), aber ist - wie geschrieben - ein mordsaufwand. Noch schwieriger: ist beispielsweise ein Benutzer in mehreren Gruppen, wird die Verweigerung nahezu unmöglich, es sei denn, ich wende die Verweigerung nicht auf Gruppen, sondern auf einzelne Benutzer-Accounts an und das entspricht nicht dem A-GG-DL-P-Prinzip und verlangsamt der Zugriff, weil bei jedem Zugriff auf die Ressource die komplette ACL (alle gesetzten rechte) abgefragt wird.
(Hmmmm... Oder man erstellt Verweigerungsgruppen... hmmm...*grübelt*...)
Mehr Möglichkeiten habe ich ja nicht, die Unterordner über Microsoft ABE tatsächlich unsichtbar zu machen:
a) Vererbung kappen und Lesezugriff (vom übergeordneten Einstiegspunkt) entfernen
b) spezielle Verweigerung für alle anderen Benutzer, außer den gewollten, hinzufügen
*grübelt*
Das mit den Verweigerungsgruppen müsste prinzipiell gehen. Ich hätte dann DL-BH-VW-schreiben [alle Benutzer, die auf den Buchhaltung-Verwaltungs-Ordner schreiben können] mit Vollzugriff, DL-BH-VW-lesen [alle Benutzer mit Lesezugriff] und DL-BH-VW-verweigern [alle Benutzer, die keinen Zugriff haben sollen]. Auf dem Überordner stünde das NTFS-Recht "Authentifizierte Benutzer - lesen" und darunter würden explizit nicht nur die Rechte, sondern auch die Verweigerungen gesetzt. Hmmm. Das ginge.
wenn ich einen Ordner "Freigaben" erstelle, dann muss darauf für jeden mindestens der Lesezugriff eingerichtet sein, damit er/sie den Einstiegspunkt erreichen kann.
Um dann verschiedene Ordner "unsichtbar" zu machen, muss ich die Vererbungsrechte dann doch wieder kappen und den Lesezugriff wieder entfernen.
Oder man arbeitet mit Verweigerungen.
Aber das ist bei der Einrichtung dann einmalig ein größerer Aufwand, weil ich allen Gruppen außer der genehmigten den Zugriff verweigern muss. Ich kann ja nicht einfach "Jeder" verweigern, weil da diejenigen, die tatsächlich authentifiziert sind, mit enthalten sind.
D.h., will ich den Zugriff nur für "DL-BH-VW-schreiben" setzen, muss ich alle anderen Benutzer sperren/verweigern.
Das geht ohne Kappung der Vererbung (weil ja nur ein Recht hinzukommt und nicht weggenommen wird), aber ist - wie geschrieben - ein mordsaufwand. Noch schwieriger: ist beispielsweise ein Benutzer in mehreren Gruppen, wird die Verweigerung nahezu unmöglich, es sei denn, ich wende die Verweigerung nicht auf Gruppen, sondern auf einzelne Benutzer-Accounts an und das entspricht nicht dem A-GG-DL-P-Prinzip und verlangsamt der Zugriff, weil bei jedem Zugriff auf die Ressource die komplette ACL (alle gesetzten rechte) abgefragt wird.
(Hmmmm... Oder man erstellt Verweigerungsgruppen... hmmm...*grübelt*...)
Mehr Möglichkeiten habe ich ja nicht, die Unterordner über Microsoft ABE tatsächlich unsichtbar zu machen:
a) Vererbung kappen und Lesezugriff (vom übergeordneten Einstiegspunkt) entfernen
b) spezielle Verweigerung für alle anderen Benutzer, außer den gewollten, hinzufügen
*grübelt*
Das mit den Verweigerungsgruppen müsste prinzipiell gehen. Ich hätte dann DL-BH-VW-schreiben [alle Benutzer, die auf den Buchhaltung-Verwaltungs-Ordner schreiben können] mit Vollzugriff, DL-BH-VW-lesen [alle Benutzer mit Lesezugriff] und DL-BH-VW-verweigern [alle Benutzer, die keinen Zugriff haben sollen]. Auf dem Überordner stünde das NTFS-Recht "Authentifizierte Benutzer - lesen" und darunter würden explizit nicht nur die Rechte, sondern auch die Verweigerungen gesetzt. Hmmm. Das ginge.
