Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Freigaben und Zugriffsrechte

Frage Microsoft Windows Netzwerk

Mitglied: Mineralwasser

Mineralwasser (Level 1) - Jetzt verbinden

12.07.2014, aktualisiert 13.07.2014, 3803 Aufrufe, 18 Kommentare

Hallo Leute

Es gibt immer wieder Situationen da müssen Freigaben eingerichtet werden für verschiedene Dienste und es steht nirgendwo geschrieben mit welchem User dies geschen soll. Viele Admins verwenden dann Jeder mit Vollzugriff, was natürlich ganz schlecht ist und die anderen Domain Users. Dies ist zwar schon ein wenig besser, aber auch nicht unbedingt das Wahre.
Gibt es eine Möglichkeit herauszufinden, wenn ein Dienst oder User versucht auf eine Freigabe zuzugreifen und es verweigert wurde? Dann könnte ich dies Monitoren und dann nur dem spezifischen User/Dienst die Berechtigung erteilen. Ich habe schon in den Windows Logs gesucht, jedoch bin ich dort nicht fündig geworden.

Ausserdem habe ich noch folgendes versucht und dies ist mir auch nicht gelungen.

Hosts
Computer1
Computer2
Computer3

Gruppe mit Computer erstellt
grpHosts = Computer1, Computer2, Computer3

Share
Computer3\Freigabe mit grpHosts freigeben

Nun kann ich doch nicht mit Computer1 darauf zugreifen. Sollte ich nicht nun mit jedem beliebigen User von Computer1 darauf zugreifen können?

Vielen Dank
Mitglied: keine-ahnung
13.07.2014 um 00:50 Uhr
?????????????????????

LG, Thomas
Bitte warten ..
Mitglied: Mineralwasser
13.07.2014 um 01:03 Uhr
Was ist das denn für eine Antwort?
Bitte warten ..
Mitglied: keine-ahnung
13.07.2014 um 01:31 Uhr
Was war das für eine Frage? Server-OS? Client-OS? Domäne? Arbeitsgruppe? Wer wird morgen Weltmeister ? Lottozahlen vom nächsten Samstag ...?

LG, Thomas
Bitte warten ..
Mitglied: Mineralwasser
13.07.2014 um 02:16 Uhr
Also hier die Infos:
Server OS: Win2k12 R2
Client: Windows 7/8.1
Domäne

Dies war eine allgemein zu Windows Freigaberechten gestellte Frage. Es sollte daher keinen Unterschied zu welcher aktuelleren Windows Version es sich handelt.
Und morgen wird Deutschland WM Die Lottozahlen zu nennen wird ein wenig schwieriger.

lg
Bitte warten ..
Mitglied: colinardo
LÖSUNG 13.07.2014, aktualisiert 15.07.2014
Moin Mineralwasser,
Viele Admins verwenden dann Jeder mit Vollzugriff, was natürlich ganz schlecht ist und die anderen Domain Users.
Wieso soll das schlecht sein? Die meisten unter uns Admins regeln den expliziten Filezugriff sowieso mit den NTFS-ACLs und nicht mit den Freigabeberechtigungen! D.h. wenn jemand auf dem Share in den Freigabeberechtigungen Vollzugriff hat, heißt das noch lange nicht, dass er dort machen kann was er will wenn er in den NTFS-ACLs dort keine Rechte besitzt! Trotzdem sollte man hier für "Authenticated Users" nicht "Vollzugriff" sondern "Ändern" wählen.

Und dein Versuch die Computer-Accounts in die Freigabeberechtigungen zu packen ist auch Quark, denn mit seinem Computer-Account (Machine-SID) authentifiziert sich ein Rechner in diesem Fall nur wenn auf dem System selber kein User eingeloggt ist, z.B. bei einem Startscript, welches auf ein Share zugreifen will.

Also mein Tipp, regele es unbedingt mit den NTFS-ACLs, alles andere bedeutet doppelte Pflege von Berechtigungen (Share und NTFS-ACLs) und ist Fehleranfälliger.

Und was das Logging von Zugriffsversuchen angeht, ist das Zauberwort "Ordnerüberwachung" zu finden in den erweiterten Sicherheitseinstellungen jedes Ordners.

Grüße Uwe
Bitte warten ..
Mitglied: Mineralwasser
13.07.2014 um 09:20 Uhr
Moin Uwe,

Super, das bringt mich einen guten Schritt weiter. Vielen Dank

Also bei dem Beispiel hier mit den Computer Acccounts ging es eigentlich um User Profile Disks für RDS und das wirdja von einem Dienst ersellt, ohne Computerzugriff. Trotzdem muss ich wahrscheinlich dort mindestens Domain Users mit den Rechten geben, da die in der Laufzeit gemappt werden. Aber es mit NTFS-ACLs zu regeln wie du schreibst finde eigentlich sehr gut.
Ich würde es trotzdem nicht auf jeder setzen, sonder mindestens auf Domain Users, da schnell einmal vergessen wird eine NTFS-ACL richtig zu setzen. Dies kommt auf die Orginization darauf an. Bei einer Pizzeria spielt dies wohl sicherlich nicht eine grosse Rolle, aber bei einer Anwaltskanzlei schon eher

Danke für das Zauberwort... ist genau das wonach ich gesucht habe.

Gruss
Bitte warten ..
Mitglied: jsysde
13.07.2014 um 10:31 Uhr
Moin.
Zitat von Mineralwasser:
Dies war eine allgemein zu Windows Freigaberechten gestellte Frage. Es sollte daher keinen Unterschied zu welcher aktuelleren
Windows Version es sich handelt.

Macht es aber - so unterstützt die Server-Version ab 2008 von Hause aus ABE, während man das früher manuell installieren musste. Auch die File Classification & Co. sind erst seit 2008 direkt mit an Board. Serverseitig macht es also schon einen immensen Unterschied....

Anyway, back2topic:
Die Share-Permissions sind bei mir immer (ausser, wenn explizit anders verlangt) auf "Full Access" für "Authenticated Users" gesetzt - und damit sind sowhl die User- als auch die Computerkonten aus dem AD inkludiert, denn "Authenticated Users" beinhaltet tatsächlich alle im AD angemeldeten User- und Computerkonten (auch wenn der Name verwirrend ist, "Authenticated Objects" wäre hier treffender).

Die tatsächlichen Zugriffsrechte setze ich immer via NTFS-ACL, denn nur so greifen auch Features wie ABE & Co.

Cheers,
jsysde
Bitte warten ..
Mitglied: Mineralwasser
13.07.2014 um 11:31 Uhr
Stimmt authenticated user ist immer das welches ich verwende und nicht domain users. Wir haben erst kürzlich die Server auf Englisch migriert. Danke... muss ich gleich ändern.
Bitte warten ..
Mitglied: DerWoWusste
14.07.2014, aktualisiert um 23:45 Uhr
Hi.

My 3,5c:

Everyone:full macht man nicht bei Freigabeberechtigungen. Auch nicht auth users:full. Auch nicht domain users: full. Full hat den Sinn, dass der Berechtigte Rechte ändern kann - willst Du das? Nein. Und wenn dann Admins sagen, dass sie es mit den NTFS-Berechtigungen beschränken können, dann irren sie leider. Gebt everyone:full auf eine Freigabe und User A Schreibzugriff (nicht Vollzugriff)...nun lasst User A dort einen Ordner erstellen - ihr werdet nun nicht mehr verhindern können, dass er die ACL dieses Ordners umschreiben kann, denn er ist der Besitzer. Um dies zu verhindern, MUSS in den Freigabeberechtigungen "everyone/auth/dom...:full" vermieden werden, sonst geht es nicht einmal mit NTFS denials. Deswegen: jeder:ändern und Rest mit NTFS.

Desweiteren: everyone ist doch gar nicht so böse. Lies Dir mal im TechNet durch, wer da drin ist. Anonymous Logons jedenfalls nicht.
Und zur Frage:
Gibt es eine Möglichkeit herauszufinden, wenn ein Dienst oder User versucht auf eine Freigabe zuzugreifen und es verweigert wurde? Dann könnte ich dies Monitoren und dann nur dem spezifischen User/Dienst die Berechtigung erteilen
Du kannst doch ablesen unter welchem Konto der Dienst läuft, was willst Du denn noch herausfinden, schreib das Konto einfach in die ACL rein und fertig.
Bitte warten ..
Mitglied: Mineralwasser
15.07.2014 um 00:02 Uhr
Du kannst doch ablesen unter welchem Konto der Dienst läuft, was willst Du denn noch herausfinden, schreib das Konto einfach
in die ACL rein und fertig.
Nein, leider geht das nicht immer. Wenn es unter Services aufgeführt ist sicherlich ersichtlich und klar. Aber dies ist leider nicht immer der Fall.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014 um 00:34 Uhr
Erklär mal genauer. Von welchem Dienst redest Du und was steht da als Anmeldekonto?
Bitte warten ..
Mitglied: Mineralwasser
15.07.2014 um 07:11 Uhr
Also meistens ist es nicht ersichtlich, wenn eine Installation durchgeführt wird und eine Freigabe angegeben werden muss. Mir ist schon klar, dass es später wahrscheinlich ein Dienst sein wird, der darauf zugreift. Nur weiss ist es im vorneherein nicht klar, welcher es denn nun sein wird. Dann sucht man also nach Installationsdokus und Bestpraxis... aber wenn man dann nach einer halben Stund nicht fündig wird, wäre der Weg über ein Monitoring schneller gewesen. Klar birgt es noch die Gefahr in sich, dass während der Ausführung noch andere Berechtigungen zusätzlich gesetzt werden müssen.

Okay... vileleicht ist meine Vorgehensweise falsch und ich lasse mich gerne etwas besseres belernen, aber hier das letzte Beispiel wo ich hatte:
Was ist die mindeste Berechtigung die ich setzen muss damit Windows 2012 R2 User Profile Disks funktionieren?

Es wird in allen Foren und Installationsdokus geschrieben, dass ein Share angegeben werden muss, jedoch habe ich leider nirgendwo gefunden, was denn nun für Berechtigungen gesetzt werden müssen. Für mich wäre es am logischsten gewesen, dass ich eine Gruppe erstelle enthält, welche alle RDS Hosts enthält und gebe der Gruppe volle Berechtigungen auf den Share. Dies könnte in der Tat bei der Ausführung wirklich funktionieren, da ich festgestellt habe, dass der Owner einer der Server ist, jedoch bei der Installation reichen die Rechte leider nicht aus.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014 um 09:05 Uhr
Hi.

Ich kann Dir nicht helfen, wenn Du keine definierte Ausgangslage hast.
Zu Deinem konkreten Beispiel: "User Profile Disks" wird eine Doku bei Microsoft haben. Beim besten Willen glaube ich nicht, dass es da nicht deutlich steht.
Bitte warten ..
Mitglied: Mineralwasser
15.07.2014, aktualisiert um 09:45 Uhr
Hallo

Ich kann Dir nicht helfen, wenn Du keine definierte Ausgangslage hast.
Mir wurde doch schon geholfen Siehe Post als gelöst markiert. Ich wollte eine allgemeine Lösung wie man es sonst angehen kann ohne das es spezifisch irgendwo geschrieben steht.

Zu Deinem konkreten Beispiel: "User Profile Disks" wird eine Doku bei Microsoft haben. Beim besten Willen glaube ich
nicht, dass es da nicht deutlich steht.
Wie schon oben erwähnt, habe ich schon lange danach gesucht und bin eben nicht fündig geworden. Ich habe diverse Anleitungen im Internet angeschaut und auch hier ein Buch über Win2k12 und es steht leider nichts darüber drin. Nun könnte ich natürlich ins Microsoft Forum posten und einen halben Tag auf eine Antwort hoffen, dann kriege ich eventuell eine Antwort spezifisch für das Problem, bin jedoch abhängig bis jemand mir auf die Frage antwortet. Wenn ich es monitoren kann, so in etwa wie ich ein Port bei der Firewall freigebe, geht doch das viel schneller und effizienter.

Gruss und Danke für die Lösungsansätze
Bitte warten ..
Mitglied: jsysde
15.07.2014, aktualisiert um 09:58 Uhr
Moin.

Zitat von DerWoWusste:
Everyone:full macht man nicht bei Freigabeberechtigungen. Auch nicht auth users:full. Auch nicht domain users: full. Full hat den
Sinn, dass der Berechtigte Rechte ändern kann - willst Du das? Nein. Und wenn dann Admins sagen, dass sie es mit den
NTFS-Berechtigungen beschränken können, dann irren sie leider. Gebt everyone:full auf eine Freigabe und User A
Schreibzugriff (nicht Vollzugriff)...nun lasst User A dort einen Ordner erstellen - ihr werdet nun nicht mehr verhindern
können, dass er die ACL dieses Ordners umschreiben kann, denn er ist der Besitzer. Um dies zu verhindern, MUSS in den
Freigabeberechtigungen "everyone/auth/dom...:full" vermieden werden, sonst geht es nicht einmal mit NTFS denials.
Deswegen: jeder:ändern und Rest mit NTFS.

Einspruch:
Share Permission auf "Authenticated User: Full" und in den NTFS-ACLs "CREATOR-OWNER" rausnehmen!
Stattdessen bekommen die User (gruppiert, natürlich) "Modify" in den ACLs und schon ist der Drops gelutscht. Auf diesem Weg ändert der User, der schreiben/umbenennen/löschen darf keine ACLs mehr.

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014 um 10:41 Uhr
Hi jsysde.

Steht in den NTFS-ACLS denn Creator-Owner drin? Meines Wissens nicht.
Bitte warten ..
Mitglied: jsysde
15.07.2014, aktualisiert um 14:25 Uhr
Mahlzeit.
Zitat von DerWoWusste:

Hi jsysde.

Steht in den NTFS-ACLS denn Creator-Owner drin? Meines Wissens nicht.

Sicher steht der drin.

http://1drv.ms/1mGhcY3


Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014 um 16:11 Uhr
Es steht drin bei Ordnern, die dieses erben (wie hier von c: geerbt wurde), aber das sind ja nicht alle Ordner. Insofern probiere es einfach aus und wundere Dich (die Diskussion hatten wir hier schon oft )
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
Zugriffsprobleme von neuen AD Benutzern auf Freigaben und Richtlinen (2)

Frage von Morilec469 zum Thema Windows Server ...

Netzwerkmanagement
gelöst Welche Freigaben haben welche Rechner im Netzwerk und welche User ist angemeldet? (5)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Linux Netzwerk
gelöst Keine Freigaben sichtbar über smb (2)

Frage von Peter007 zum Thema Linux Netzwerk ...

Windows 10
Administrative Freigaben - keine Schreibrechte (2)

Frage von redhorse zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...