Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Freigaben vs. Vererbung von NTFS-Berechtigungen

Frage Microsoft Windows Server

Mitglied: Kaffeepause

Kaffeepause (Level 1) - Jetzt verbinden

21.02.2007, aktualisiert 28.08.2008, 16287 Aufrufe, 7 Kommentare

Der übergeordnete Freigabeordner soll für die ganze Abteilung verfügbar sein, die Unterordner nur jeweils für spezielle Mitarbeiter. Wie kann ich das (in den NTFS-Zugriffsrechten) festlegen, ohne die Vererbung auszuschalten.

Hallo zusammen.

Habe eine Frage, die zumindest so noch nicht beantwortet worden ist, deshalb eröffne ich hier einen neuen Beitrag.

Wir haben verschiedene Abteilungen mit verschiedenen Fachbereichen.
Gewünschte Lösung wäre folgende:
Auf dem Fileserver im Ordner "Buchhaltung" (beispielsweise) liegen die einzelnen Unterordner, für die es verschiedene Zugriffsrechte gibt. Der Ordner "Buchhaltung" selbst ist nicht freigegeben und hat auch nur die vom Laufwerk vererbten Standardfreigaben (Admin, System). Freigegeben ist jeder der Unterordner (z.B. als "Buchhaltung-Verwaltung"). Bei diesen Unterordnern werden auch zusätzliche Zugriffsrechte (NTFS) vergeben (z.B. die Gruppe "DL-BH-VW-lesen" kriegt Vollzugriff).
D.h., ich habe eine klare Ordnerstruktur auf dem Server, bei dem alle Freigaben jeweils andere Zugriffsrechte haben, was auch mit der Vererbung prima geht. Nachteil: Ich habe zig Freigaben, die ich entweder alle mappen muss (nicht praktikabel), oder die alle in meinem Netzwerk angezeigt werden (nicht gut für die DAUs, die dann nichts mehr finden).

Ändere ich dieses System, so dass die Freigabe auf dem Überordner "Buchhaltung" liegt, so muss ich hier auch NTFS-Zugriffsrechte setzen und zwar für die ganze Abteilung. Diese Rechte würden sich aber nach unten Vererben, so dass entweder jedes Mitglied der Gruppe Buchhaltung einen verebten (mindestens Lese-)Zugriff auf alles hat (was geheimniskrämerischerweise nicht gewollt ist), oder aber ich die Vererbung ausschalten muss, was ich auch nicht will, weil ich meine Zugriffsrechte im Active Directory verwalten und nicht auf allen Ordnern rumklicken will.

Daher wäre es für uns bei der Einrichtung optimal, wenn für jeden Netzwerkbenutzer einfach nur die Freigaben sichtbar wären, die er auch nutzen darf. Es gab hierzu einen Link auf Microsoft ABE (Access-based Enumeration), was mir allerdings nicht hilft, da dieses Tool nicht die Freigaben selbst ausblendet, sondern nur deren Unterordner. D.h. für mich bleibt entweder das Problem mit der Vererbung (die oberste Freigabe muss für jeden Benutzer zugänglich sein, so dass ich untergeordnete Ordner nur durch Ausschalten der Vererbung sperren kann), oder es bleibt das Problem, dass trotzdem zig Freigaben im Netz erscheinen, weil diese durch MS ABE nicht versteckt werden.

Hat hier schon jemand Erfahrungen gesammelt?

Viele Grüße,
die Kaffeepause (momentan eher pausenlos)
Mitglied: 16409
21.02.2007 um 17:13 Uhr
Auch wenn das vielleicht nicht ganz dein Problem löst, aber was ist denn mit versteckten Freigaben. Die kann man im Netzwerk nicht sehen und jeder User bekommt nur die Pfade zu den Freigaben, auf denen er Zugriff hat.

so umgehst du das Problem der Vererbung und es sind nicht alle Frigaben sichtbar.
Bitte warten ..
Mitglied: Kaffeepause
21.02.2007 um 17:41 Uhr
Hallo und danke für die Antwort.

Freigabe$ löst das Problem -denke ich- nicht. Denn so ist eine Freigabe ja für alle unsichtbar, nicht nur für diejenigen, die keinen Zugriff haben. Das hieße, damit ein Benutzer seine entsprechenden Ordner auf dem Server findet, muss ich entweder alle Ordner mappen (und das sind zu viele), oder ich muss ganz banal mit Verknüpfungen arbeiten, was ich total unprofessionell fände. Auf jeden Fall könnte ich nicht einfach den Usern sagen: Klickt auf den Server, dort seht ihr alles, was ihr braucht (und auch nicht mehr).
Bitte warten ..
Mitglied: Dynadrate
21.02.2007 um 17:50 Uhr
Leider schreibst du, das du "nicht in den Ordner rumklicken möchtest". Es gibt jedoch diverse Kommandozeilen basierende Tools, mit denen NTFS Berechtigungen verwaltet werden können. Wenn man das ganze per Script abfeuert, hat das ganze auch Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis Buchhaltung zu mappen, die Berechtigungen per NTFS zu setzen und an gegebenen Stellen die Vererbung zu kappen für sinnvoller.
Bitte warten ..
Mitglied: Kaffeepause
21.02.2007 um 18:27 Uhr
Leider schreibst du, das du "nicht in
den Ordner rumklicken möchtest". Es
gibt jedoch diverse Kommandozeilen basierende
Tools, mit denen NTFS Berechtigungen
verwaltet werden können. Wenn man das
ganze per Script abfeuert, hat das ganze auch
Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis
Buchhaltung zu mappen, die Berechtigungen per
NTFS zu setzen und an gegebenen Stellen die
Vererbung zu kappen für sinnvoller.

Für mich sind die Domänen-lokalen Gruppen im Active Directory das Werkzeug, um Zugriffe auf Ordner, basierend auf der Organisationsstruktur, zu verwalten. Es wäre ein doppelter Aufwand, wenn ich erst meine Organisation im Active Directory abbilde, dann aber extra Tools brauche, um die tatsächlichen Zugriffe auf meinen Fileserver zu regeln. So schlecht kann MS doch nicht sein! ;)
Dokumentation habe ich auch über Active Directory. Hier kann ich auch mit DOS-Befehlen, also mit ganz einfachen Skripten un Batchdateien arbeiten.

Trotzdem: Welche Tools (NTFS Berechtigungen) sind denn empfehlenswert?
Bitte warten ..
Mitglied: Kaffeepause
27.08.2008 um 12:14 Uhr
Ich betrachte diesen Punkt als ungelöst-gelöst. Das soll heißen: es gibt hierzu keine mustergültige Lösung, aber dessen bin ich mir jetzt sicher. Ich habe die Vererbung unterbrochen, weil ich denke, dass das noch am besten ist.
Bitte warten ..
Mitglied: 16409
27.08.2008 um 21:38 Uhr
Und was ist, wenn du einen Ordner, z.B. Freigaben, erstellst und dort alle Ordner hinterlegst. Wenn du dann Microsoft ABE installierst und die Berechtigungen setzt, können alle diesen Ordner mappen und jeder sieht nur die für ihn bestimmten Ordner.
So habe ich es jetzt bei einem Kunden gelöst.
Bitte warten ..
Mitglied: Kaffeepause
28.08.2008 um 10:16 Uhr
Hallo,

wenn ich einen Ordner "Freigaben" erstelle, dann muss darauf für jeden mindestens der Lesezugriff eingerichtet sein, damit er/sie den Einstiegspunkt erreichen kann.
Um dann verschiedene Ordner "unsichtbar" zu machen, muss ich die Vererbungsrechte dann doch wieder kappen und den Lesezugriff wieder entfernen.

Oder man arbeitet mit Verweigerungen.
Aber das ist bei der Einrichtung dann einmalig ein größerer Aufwand, weil ich allen Gruppen außer der genehmigten den Zugriff verweigern muss. Ich kann ja nicht einfach "Jeder" verweigern, weil da diejenigen, die tatsächlich authentifiziert sind, mit enthalten sind.
D.h., will ich den Zugriff nur für "DL-BH-VW-schreiben" setzen, muss ich alle anderen Benutzer sperren/verweigern.
Das geht ohne Kappung der Vererbung (weil ja nur ein Recht hinzukommt und nicht weggenommen wird), aber ist - wie geschrieben - ein mordsaufwand. Noch schwieriger: ist beispielsweise ein Benutzer in mehreren Gruppen, wird die Verweigerung nahezu unmöglich, es sei denn, ich wende die Verweigerung nicht auf Gruppen, sondern auf einzelne Benutzer-Accounts an und das entspricht nicht dem A-GG-DL-P-Prinzip und verlangsamt der Zugriff, weil bei jedem Zugriff auf die Ressource die komplette ACL (alle gesetzten rechte) abgefragt wird.

(Hmmmm... Oder man erstellt Verweigerungsgruppen... hmmm...*grübelt*...)

Mehr Möglichkeiten habe ich ja nicht, die Unterordner über Microsoft ABE tatsächlich unsichtbar zu machen:
a) Vererbung kappen und Lesezugriff (vom übergeordneten Einstiegspunkt) entfernen
b) spezielle Verweigerung für alle anderen Benutzer, außer den gewollten, hinzufügen

*grübelt*

Das mit den Verweigerungsgruppen müsste prinzipiell gehen. Ich hätte dann DL-BH-VW-schreiben [alle Benutzer, die auf den Buchhaltung-Verwaltungs-Ordner schreiben können] mit Vollzugriff, DL-BH-VW-lesen [alle Benutzer mit Lesezugriff] und DL-BH-VW-verweigern [alle Benutzer, die keinen Zugriff haben sollen]. Auf dem Überordner stünde das NTFS-Recht "Authentifizierte Benutzer - lesen" und darunter würden explizit nicht nur die Rechte, sondern auch die Verweigerungen gesetzt. Hmmm. Das ginge.
Bitte warten ..
Ähnliche Inhalte
Microsoft
gelöst NTFS Berechtigungen - Vererbung (11)

Frage von Bierkasten zum Thema Microsoft ...

Windows Userverwaltung
Performance bei NTFS-Berechtigungen in Fileserver (11)

Frage von BleppSatter zum Thema Windows Userverwaltung ...

Exchange Server
gelöst Vererbung von Berechtigungen auf Unterordner in Outlook verhindern (6)

Frage von touro411 zum Thema Exchange Server ...

Windows Server
Freigaben, Berechtigung Problem nach Deaktivierung von Vererbung (7)

Frage von opc123 zum Thema Windows Server ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (52)

Frage von sabines zum Thema Internet ...

Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

Router & Routing
PFsense - Netzverbindung steht, aber kein Internet vorhanden (24)

Frage von aschmid zum Thema Router & Routing ...

Windows Server
gelöst Windows 2016 Hyper-V und VHDS (19)

Frage von emeriks zum Thema Windows Server ...