Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Freigaben vs. Vererbung von NTFS-Berechtigungen

Frage Microsoft Windows Server

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

21.02.2007, aktualisiert 28.08.2008, 16516 Aufrufe, 7 Kommentare

Der übergeordnete Freigabeordner soll für die ganze Abteilung verfügbar sein, die Unterordner nur jeweils für spezielle Mitarbeiter. Wie kann ich das (in den NTFS-Zugriffsrechten) festlegen, ohne die Vererbung auszuschalten.

Hallo zusammen.

Habe eine Frage, die zumindest so noch nicht beantwortet worden ist, deshalb eröffne ich hier einen neuen Beitrag.

Wir haben verschiedene Abteilungen mit verschiedenen Fachbereichen.
Gewünschte Lösung wäre folgende:
Auf dem Fileserver im Ordner "Buchhaltung" (beispielsweise) liegen die einzelnen Unterordner, für die es verschiedene Zugriffsrechte gibt. Der Ordner "Buchhaltung" selbst ist nicht freigegeben und hat auch nur die vom Laufwerk vererbten Standardfreigaben (Admin, System). Freigegeben ist jeder der Unterordner (z.B. als "Buchhaltung-Verwaltung"). Bei diesen Unterordnern werden auch zusätzliche Zugriffsrechte (NTFS) vergeben (z.B. die Gruppe "DL-BH-VW-lesen" kriegt Vollzugriff).
D.h., ich habe eine klare Ordnerstruktur auf dem Server, bei dem alle Freigaben jeweils andere Zugriffsrechte haben, was auch mit der Vererbung prima geht. Nachteil: Ich habe zig Freigaben, die ich entweder alle mappen muss (nicht praktikabel), oder die alle in meinem Netzwerk angezeigt werden (nicht gut für die DAUs, die dann nichts mehr finden).

Ändere ich dieses System, so dass die Freigabe auf dem Überordner "Buchhaltung" liegt, so muss ich hier auch NTFS-Zugriffsrechte setzen und zwar für die ganze Abteilung. Diese Rechte würden sich aber nach unten Vererben, so dass entweder jedes Mitglied der Gruppe Buchhaltung einen verebten (mindestens Lese-)Zugriff auf alles hat (was geheimniskrämerischerweise nicht gewollt ist), oder aber ich die Vererbung ausschalten muss, was ich auch nicht will, weil ich meine Zugriffsrechte im Active Directory verwalten und nicht auf allen Ordnern rumklicken will.

Daher wäre es für uns bei der Einrichtung optimal, wenn für jeden Netzwerkbenutzer einfach nur die Freigaben sichtbar wären, die er auch nutzen darf. Es gab hierzu einen Link auf Microsoft ABE (Access-based Enumeration), was mir allerdings nicht hilft, da dieses Tool nicht die Freigaben selbst ausblendet, sondern nur deren Unterordner. D.h. für mich bleibt entweder das Problem mit der Vererbung (die oberste Freigabe muss für jeden Benutzer zugänglich sein, so dass ich untergeordnete Ordner nur durch Ausschalten der Vererbung sperren kann), oder es bleibt das Problem, dass trotzdem zig Freigaben im Netz erscheinen, weil diese durch MS ABE nicht versteckt werden.

Hat hier schon jemand Erfahrungen gesammelt?

Viele Grüße,
die Kaffeepause (momentan eher pausenlos)
Mitglied: 16409
21.02.2007 um 17:13 Uhr
Auch wenn das vielleicht nicht ganz dein Problem löst, aber was ist denn mit versteckten Freigaben. Die kann man im Netzwerk nicht sehen und jeder User bekommt nur die Pfade zu den Freigaben, auf denen er Zugriff hat.

so umgehst du das Problem der Vererbung und es sind nicht alle Frigaben sichtbar.
Bitte warten ..
Mitglied: Kaffeepause
21.02.2007 um 17:41 Uhr
Hallo und danke für die Antwort.

Freigabe$ löst das Problem -denke ich- nicht. Denn so ist eine Freigabe ja für alle unsichtbar, nicht nur für diejenigen, die keinen Zugriff haben. Das hieße, damit ein Benutzer seine entsprechenden Ordner auf dem Server findet, muss ich entweder alle Ordner mappen (und das sind zu viele), oder ich muss ganz banal mit Verknüpfungen arbeiten, was ich total unprofessionell fände. Auf jeden Fall könnte ich nicht einfach den Usern sagen: Klickt auf den Server, dort seht ihr alles, was ihr braucht (und auch nicht mehr).
Bitte warten ..
Mitglied: Dynadrate
21.02.2007 um 17:50 Uhr
Leider schreibst du, das du "nicht in den Ordner rumklicken möchtest". Es gibt jedoch diverse Kommandozeilen basierende Tools, mit denen NTFS Berechtigungen verwaltet werden können. Wenn man das ganze per Script abfeuert, hat das ganze auch Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis Buchhaltung zu mappen, die Berechtigungen per NTFS zu setzen und an gegebenen Stellen die Vererbung zu kappen für sinnvoller.
Bitte warten ..
Mitglied: Kaffeepause
21.02.2007 um 18:27 Uhr
Leider schreibst du, das du "nicht in
den Ordner rumklicken möchtest". Es
gibt jedoch diverse Kommandozeilen basierende
Tools, mit denen NTFS Berechtigungen
verwaltet werden können. Wenn man das
ganze per Script abfeuert, hat das ganze auch
Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis
Buchhaltung zu mappen, die Berechtigungen per
NTFS zu setzen und an gegebenen Stellen die
Vererbung zu kappen für sinnvoller.

Für mich sind die Domänen-lokalen Gruppen im Active Directory das Werkzeug, um Zugriffe auf Ordner, basierend auf der Organisationsstruktur, zu verwalten. Es wäre ein doppelter Aufwand, wenn ich erst meine Organisation im Active Directory abbilde, dann aber extra Tools brauche, um die tatsächlichen Zugriffe auf meinen Fileserver zu regeln. So schlecht kann MS doch nicht sein! ;)
Dokumentation habe ich auch über Active Directory. Hier kann ich auch mit DOS-Befehlen, also mit ganz einfachen Skripten un Batchdateien arbeiten.

Trotzdem: Welche Tools (NTFS Berechtigungen) sind denn empfehlenswert?
Bitte warten ..
Mitglied: Kaffeepause
27.08.2008 um 12:14 Uhr
Ich betrachte diesen Punkt als ungelöst-gelöst. Das soll heißen: es gibt hierzu keine mustergültige Lösung, aber dessen bin ich mir jetzt sicher. Ich habe die Vererbung unterbrochen, weil ich denke, dass das noch am besten ist.
Bitte warten ..
Mitglied: 16409
27.08.2008 um 21:38 Uhr
Und was ist, wenn du einen Ordner, z.B. Freigaben, erstellst und dort alle Ordner hinterlegst. Wenn du dann Microsoft ABE installierst und die Berechtigungen setzt, können alle diesen Ordner mappen und jeder sieht nur die für ihn bestimmten Ordner.
So habe ich es jetzt bei einem Kunden gelöst.
Bitte warten ..
Mitglied: Kaffeepause
28.08.2008 um 10:16 Uhr
Hallo,

wenn ich einen Ordner "Freigaben" erstelle, dann muss darauf für jeden mindestens der Lesezugriff eingerichtet sein, damit er/sie den Einstiegspunkt erreichen kann.
Um dann verschiedene Ordner "unsichtbar" zu machen, muss ich die Vererbungsrechte dann doch wieder kappen und den Lesezugriff wieder entfernen.

Oder man arbeitet mit Verweigerungen.
Aber das ist bei der Einrichtung dann einmalig ein größerer Aufwand, weil ich allen Gruppen außer der genehmigten den Zugriff verweigern muss. Ich kann ja nicht einfach "Jeder" verweigern, weil da diejenigen, die tatsächlich authentifiziert sind, mit enthalten sind.
D.h., will ich den Zugriff nur für "DL-BH-VW-schreiben" setzen, muss ich alle anderen Benutzer sperren/verweigern.
Das geht ohne Kappung der Vererbung (weil ja nur ein Recht hinzukommt und nicht weggenommen wird), aber ist - wie geschrieben - ein mordsaufwand. Noch schwieriger: ist beispielsweise ein Benutzer in mehreren Gruppen, wird die Verweigerung nahezu unmöglich, es sei denn, ich wende die Verweigerung nicht auf Gruppen, sondern auf einzelne Benutzer-Accounts an und das entspricht nicht dem A-GG-DL-P-Prinzip und verlangsamt der Zugriff, weil bei jedem Zugriff auf die Ressource die komplette ACL (alle gesetzten rechte) abgefragt wird.

(Hmmmm... Oder man erstellt Verweigerungsgruppen... hmmm...*grübelt*...)

Mehr Möglichkeiten habe ich ja nicht, die Unterordner über Microsoft ABE tatsächlich unsichtbar zu machen:
a) Vererbung kappen und Lesezugriff (vom übergeordneten Einstiegspunkt) entfernen
b) spezielle Verweigerung für alle anderen Benutzer, außer den gewollten, hinzufügen

*grübelt*

Das mit den Verweigerungsgruppen müsste prinzipiell gehen. Ich hätte dann DL-BH-VW-schreiben [alle Benutzer, die auf den Buchhaltung-Verwaltungs-Ordner schreiben können] mit Vollzugriff, DL-BH-VW-lesen [alle Benutzer mit Lesezugriff] und DL-BH-VW-verweigern [alle Benutzer, die keinen Zugriff haben sollen]. Auf dem Überordner stünde das NTFS-Recht "Authentifizierte Benutzer - lesen" und darunter würden explizit nicht nur die Rechte, sondern auch die Verweigerungen gesetzt. Hmmm. Das ginge.
Bitte warten ..
Ähnliche Inhalte
Microsoft
NTFS Berechtigungen - Vererbung
gelöst Frage von BierkastenMicrosoft11 Kommentare

Hallo liebe Community, so langsam bin ich echt ratlos mit dem Vergeben von Berechtigungen. Deswegen Frage an euch liebe ...

Windows Server
Freigaben, Berechtigung Problem nach Deaktivierung von Vererbung
Frage von opc123Windows Server7 Kommentare

Hallo, ich habe folgendes Problem mit Berechtigungen bei einer Ordner Struktur. Ein Ordner mit darunterliegenden Ordnern sollte geändert werden. ...

Windows Server
NTFS-Berechtigungen mit vielen Unterordnern, Vererbung unklar
Frage von PhilzipWindows Server6 Kommentare

Hallo zusammen, auf einem Windows Server 2008 R2 habe ich eine Freigabe mit über 10.000 Unterordnern. Die Vererbung ist ...

Windows Server
Setzen bzw. Vererbung von NTFS Berechtigungen in verschachtelten Ordnerstrukturen
Frage von mhappeWindows Server2 Kommentare

Hallo, ich habe aktuell ein paar Probleme mit dem korrekten Setzen von NTFS Berechtigungen auf einem Windows Server 2012 ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 16 MinutenWindows 10

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 16 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 19 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...