Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Freigaben und Zugriffsrechte

Frage Microsoft Windows Netzwerk

Mitglied: Mineralwasser

Mineralwasser (Level 1) - Jetzt verbinden

12.07.2014, aktualisiert 13.07.2014, 4210 Aufrufe, 18 Kommentare

Hallo Leute

Es gibt immer wieder Situationen da müssen Freigaben eingerichtet werden für verschiedene Dienste und es steht nirgendwo geschrieben mit welchem User dies geschen soll. Viele Admins verwenden dann Jeder mit Vollzugriff, was natürlich ganz schlecht ist und die anderen Domain Users. Dies ist zwar schon ein wenig besser, aber auch nicht unbedingt das Wahre.
Gibt es eine Möglichkeit herauszufinden, wenn ein Dienst oder User versucht auf eine Freigabe zuzugreifen und es verweigert wurde? Dann könnte ich dies Monitoren und dann nur dem spezifischen User/Dienst die Berechtigung erteilen. Ich habe schon in den Windows Logs gesucht, jedoch bin ich dort nicht fündig geworden.

Ausserdem habe ich noch folgendes versucht und dies ist mir auch nicht gelungen.

Hosts
Computer1
Computer2
Computer3

Gruppe mit Computer erstellt
grpHosts = Computer1, Computer2, Computer3

Share
Computer3\Freigabe mit grpHosts freigeben

Nun kann ich doch nicht mit Computer1 darauf zugreifen. Sollte ich nicht nun mit jedem beliebigen User von Computer1 darauf zugreifen können?

Vielen Dank
Mitglied: keine-ahnung
13.07.2014 um 00:50 Uhr
?????????????????????

LG, Thomas
Bitte warten ..
Mitglied: Mineralwasser
13.07.2014 um 01:03 Uhr
Was ist das denn für eine Antwort?
Bitte warten ..
Mitglied: keine-ahnung
13.07.2014 um 01:31 Uhr
Was war das für eine Frage? Server-OS? Client-OS? Domäne? Arbeitsgruppe? Wer wird morgen Weltmeister ? Lottozahlen vom nächsten Samstag ...?

LG, Thomas
Bitte warten ..
Mitglied: Mineralwasser
13.07.2014 um 02:16 Uhr
Also hier die Infos:
Server OS: Win2k12 R2
Client: Windows 7/8.1
Domäne

Dies war eine allgemein zu Windows Freigaberechten gestellte Frage. Es sollte daher keinen Unterschied zu welcher aktuelleren Windows Version es sich handelt.
Und morgen wird Deutschland WM Die Lottozahlen zu nennen wird ein wenig schwieriger.

lg
Bitte warten ..
Mitglied: colinardo
LÖSUNG 13.07.2014, aktualisiert 15.07.2014
Moin Mineralwasser,
Viele Admins verwenden dann Jeder mit Vollzugriff, was natürlich ganz schlecht ist und die anderen Domain Users.
Wieso soll das schlecht sein? Die meisten unter uns Admins regeln den expliziten Filezugriff sowieso mit den NTFS-ACLs und nicht mit den Freigabeberechtigungen! D.h. wenn jemand auf dem Share in den Freigabeberechtigungen Vollzugriff hat, heißt das noch lange nicht, dass er dort machen kann was er will wenn er in den NTFS-ACLs dort keine Rechte besitzt! Trotzdem sollte man hier für "Authenticated Users" nicht "Vollzugriff" sondern "Ändern" wählen.

Und dein Versuch die Computer-Accounts in die Freigabeberechtigungen zu packen ist auch Quark, denn mit seinem Computer-Account (Machine-SID) authentifiziert sich ein Rechner in diesem Fall nur wenn auf dem System selber kein User eingeloggt ist, z.B. bei einem Startscript, welches auf ein Share zugreifen will.

Also mein Tipp, regele es unbedingt mit den NTFS-ACLs, alles andere bedeutet doppelte Pflege von Berechtigungen (Share und NTFS-ACLs) und ist Fehleranfälliger.

Und was das Logging von Zugriffsversuchen angeht, ist das Zauberwort "Ordnerüberwachung" zu finden in den erweiterten Sicherheitseinstellungen jedes Ordners.

Grüße Uwe
Bitte warten ..
Mitglied: Mineralwasser
13.07.2014 um 09:20 Uhr
Moin Uwe,

Super, das bringt mich einen guten Schritt weiter. Vielen Dank

Also bei dem Beispiel hier mit den Computer Acccounts ging es eigentlich um User Profile Disks für RDS und das wirdja von einem Dienst ersellt, ohne Computerzugriff. Trotzdem muss ich wahrscheinlich dort mindestens Domain Users mit den Rechten geben, da die in der Laufzeit gemappt werden. Aber es mit NTFS-ACLs zu regeln wie du schreibst finde eigentlich sehr gut.
Ich würde es trotzdem nicht auf jeder setzen, sonder mindestens auf Domain Users, da schnell einmal vergessen wird eine NTFS-ACL richtig zu setzen. Dies kommt auf die Orginization darauf an. Bei einer Pizzeria spielt dies wohl sicherlich nicht eine grosse Rolle, aber bei einer Anwaltskanzlei schon eher

Danke für das Zauberwort... ist genau das wonach ich gesucht habe.

Gruss
Bitte warten ..
Mitglied: jsysde
13.07.2014 um 10:31 Uhr
Moin.
Zitat von Mineralwasser:
Dies war eine allgemein zu Windows Freigaberechten gestellte Frage. Es sollte daher keinen Unterschied zu welcher aktuelleren
Windows Version es sich handelt.

Macht es aber - so unterstützt die Server-Version ab 2008 von Hause aus ABE, während man das früher manuell installieren musste. Auch die File Classification & Co. sind erst seit 2008 direkt mit an Board. Serverseitig macht es also schon einen immensen Unterschied....

Anyway, back2topic:
Die Share-Permissions sind bei mir immer (ausser, wenn explizit anders verlangt) auf "Full Access" für "Authenticated Users" gesetzt - und damit sind sowhl die User- als auch die Computerkonten aus dem AD inkludiert, denn "Authenticated Users" beinhaltet tatsächlich alle im AD angemeldeten User- und Computerkonten (auch wenn der Name verwirrend ist, "Authenticated Objects" wäre hier treffender).

Die tatsächlichen Zugriffsrechte setze ich immer via NTFS-ACL, denn nur so greifen auch Features wie ABE & Co.

Cheers,
jsysde
Bitte warten ..
Mitglied: Mineralwasser
13.07.2014 um 11:31 Uhr
Stimmt authenticated user ist immer das welches ich verwende und nicht domain users. Wir haben erst kürzlich die Server auf Englisch migriert. Danke... muss ich gleich ändern.
Bitte warten ..
Mitglied: DerWoWusste
14.07.2014, aktualisiert um 23:45 Uhr
Hi.

My 3,5c:

Everyone:full macht man nicht bei Freigabeberechtigungen. Auch nicht auth users:full. Auch nicht domain users: full. Full hat den Sinn, dass der Berechtigte Rechte ändern kann - willst Du das? Nein. Und wenn dann Admins sagen, dass sie es mit den NTFS-Berechtigungen beschränken können, dann irren sie leider. Gebt everyone:full auf eine Freigabe und User A Schreibzugriff (nicht Vollzugriff)...nun lasst User A dort einen Ordner erstellen - ihr werdet nun nicht mehr verhindern können, dass er die ACL dieses Ordners umschreiben kann, denn er ist der Besitzer. Um dies zu verhindern, MUSS in den Freigabeberechtigungen "everyone/auth/dom...:full" vermieden werden, sonst geht es nicht einmal mit NTFS denials. Deswegen: jeder:ändern und Rest mit NTFS.

Desweiteren: everyone ist doch gar nicht so böse. Lies Dir mal im TechNet durch, wer da drin ist. Anonymous Logons jedenfalls nicht.
Und zur Frage:
Gibt es eine Möglichkeit herauszufinden, wenn ein Dienst oder User versucht auf eine Freigabe zuzugreifen und es verweigert wurde? Dann könnte ich dies Monitoren und dann nur dem spezifischen User/Dienst die Berechtigung erteilen
Du kannst doch ablesen unter welchem Konto der Dienst läuft, was willst Du denn noch herausfinden, schreib das Konto einfach in die ACL rein und fertig.
Bitte warten ..
Mitglied: Mineralwasser
15.07.2014 um 00:02 Uhr
Du kannst doch ablesen unter welchem Konto der Dienst läuft, was willst Du denn noch herausfinden, schreib das Konto einfach
in die ACL rein und fertig.
Nein, leider geht das nicht immer. Wenn es unter Services aufgeführt ist sicherlich ersichtlich und klar. Aber dies ist leider nicht immer der Fall.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014 um 00:34 Uhr
Erklär mal genauer. Von welchem Dienst redest Du und was steht da als Anmeldekonto?
Bitte warten ..
Mitglied: Mineralwasser
15.07.2014 um 07:11 Uhr
Also meistens ist es nicht ersichtlich, wenn eine Installation durchgeführt wird und eine Freigabe angegeben werden muss. Mir ist schon klar, dass es später wahrscheinlich ein Dienst sein wird, der darauf zugreift. Nur weiss ist es im vorneherein nicht klar, welcher es denn nun sein wird. Dann sucht man also nach Installationsdokus und Bestpraxis... aber wenn man dann nach einer halben Stund nicht fündig wird, wäre der Weg über ein Monitoring schneller gewesen. Klar birgt es noch die Gefahr in sich, dass während der Ausführung noch andere Berechtigungen zusätzlich gesetzt werden müssen.

Okay... vileleicht ist meine Vorgehensweise falsch und ich lasse mich gerne etwas besseres belernen, aber hier das letzte Beispiel wo ich hatte:
Was ist die mindeste Berechtigung die ich setzen muss damit Windows 2012 R2 User Profile Disks funktionieren?

Es wird in allen Foren und Installationsdokus geschrieben, dass ein Share angegeben werden muss, jedoch habe ich leider nirgendwo gefunden, was denn nun für Berechtigungen gesetzt werden müssen. Für mich wäre es am logischsten gewesen, dass ich eine Gruppe erstelle enthält, welche alle RDS Hosts enthält und gebe der Gruppe volle Berechtigungen auf den Share. Dies könnte in der Tat bei der Ausführung wirklich funktionieren, da ich festgestellt habe, dass der Owner einer der Server ist, jedoch bei der Installation reichen die Rechte leider nicht aus.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014 um 09:05 Uhr
Hi.

Ich kann Dir nicht helfen, wenn Du keine definierte Ausgangslage hast.
Zu Deinem konkreten Beispiel: "User Profile Disks" wird eine Doku bei Microsoft haben. Beim besten Willen glaube ich nicht, dass es da nicht deutlich steht.
Bitte warten ..
Mitglied: Mineralwasser
15.07.2014, aktualisiert um 09:45 Uhr
Hallo

Ich kann Dir nicht helfen, wenn Du keine definierte Ausgangslage hast.
Mir wurde doch schon geholfen Siehe Post als gelöst markiert. Ich wollte eine allgemeine Lösung wie man es sonst angehen kann ohne das es spezifisch irgendwo geschrieben steht.

Zu Deinem konkreten Beispiel: "User Profile Disks" wird eine Doku bei Microsoft haben. Beim besten Willen glaube ich
nicht, dass es da nicht deutlich steht.
Wie schon oben erwähnt, habe ich schon lange danach gesucht und bin eben nicht fündig geworden. Ich habe diverse Anleitungen im Internet angeschaut und auch hier ein Buch über Win2k12 und es steht leider nichts darüber drin. Nun könnte ich natürlich ins Microsoft Forum posten und einen halben Tag auf eine Antwort hoffen, dann kriege ich eventuell eine Antwort spezifisch für das Problem, bin jedoch abhängig bis jemand mir auf die Frage antwortet. Wenn ich es monitoren kann, so in etwa wie ich ein Port bei der Firewall freigebe, geht doch das viel schneller und effizienter.

Gruss und Danke für die Lösungsansätze
Bitte warten ..
Mitglied: jsysde
15.07.2014, aktualisiert um 09:58 Uhr
Moin.

Zitat von DerWoWusste:
Everyone:full macht man nicht bei Freigabeberechtigungen. Auch nicht auth users:full. Auch nicht domain users: full. Full hat den
Sinn, dass der Berechtigte Rechte ändern kann - willst Du das? Nein. Und wenn dann Admins sagen, dass sie es mit den
NTFS-Berechtigungen beschränken können, dann irren sie leider. Gebt everyone:full auf eine Freigabe und User A
Schreibzugriff (nicht Vollzugriff)...nun lasst User A dort einen Ordner erstellen - ihr werdet nun nicht mehr verhindern
können, dass er die ACL dieses Ordners umschreiben kann, denn er ist der Besitzer. Um dies zu verhindern, MUSS in den
Freigabeberechtigungen "everyone/auth/dom...:full" vermieden werden, sonst geht es nicht einmal mit NTFS denials.
Deswegen: jeder:ändern und Rest mit NTFS.

Einspruch:
Share Permission auf "Authenticated User: Full" und in den NTFS-ACLs "CREATOR-OWNER" rausnehmen!
Stattdessen bekommen die User (gruppiert, natürlich) "Modify" in den ACLs und schon ist der Drops gelutscht. Auf diesem Weg ändert der User, der schreiben/umbenennen/löschen darf keine ACLs mehr.

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014 um 10:41 Uhr
Hi jsysde.

Steht in den NTFS-ACLS denn Creator-Owner drin? Meines Wissens nicht.
Bitte warten ..
Mitglied: jsysde
15.07.2014, aktualisiert um 14:25 Uhr
Mahlzeit.
Zitat von DerWoWusste:

Hi jsysde.

Steht in den NTFS-ACLS denn Creator-Owner drin? Meines Wissens nicht.

Sicher steht der drin.

http://1drv.ms/1mGhcY3


Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014 um 16:11 Uhr
Es steht drin bei Ordnern, die dieses erben (wie hier von c: geerbt wurde), aber das sind ja nicht alle Ordner. Insofern probiere es einfach aus und wundere Dich (die Diskussion hatten wir hier schon oft )
Bitte warten ..
Ähnliche Inhalte
Ubuntu
Freigaben fuer Windows Clients und Zugriffsrechte
Frage von mike7050Ubuntu3 Kommentare

Hallo zusammen, ich teile einfach einmal mit was z.Z. eingerichtet ist, was ich dann vorhabe und was schon neu ...

Windows Netzwerk
Freigabe und Zugriffsrechte auf Server 2008 R2
Frage von Xaero1982Windows Netzwerk11 Kommentare

Hallo Zusammen, es geht um folgendes Problem: Wir haben eine Verzeichnisstruktur, die wie folgt aufgebaut ist: -Server - Freigegebens ...

Windows Installation
Unterschiedliche Zugriffsrechte ?
Frage von RitchieFWindows Installation7 Kommentare

Hallo Gemeinde ! Mein erster Post hier und gleich ein Problem ! Ich bin an meinem PC mit Windows ...

Windows Userverwaltung
Zugriffsrechte für Basisordner
Frage von Noob80Windows Userverwaltung2 Kommentare

Hallo! Ich bin hier neu und auch in meiner Tätigkeit im Job relativ neu. Folgendes Problem: In meinem Unternehmen ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 10 StundenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 10 StundenMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 18 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Windows Server
Kann man im KMS nachschauen , wieviele Clients den Key in Anspruch genommen haben
gelöst Frage von rainergugusWindows Server15 Kommentare

Hallo, wir haben einen KMS Windows 10 Key. Dieser ist ja W7 kompatibel. Aber unser Windows 7 Pool registriert ...

Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...