Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hierachische Verzeichnisstruktur mit Berechtigung je nach Ebene "X", oder "M" (entspricht "Linux Home-Logik")

Frage Microsoft Windows Userverwaltung

Mitglied: Heinrich20

Heinrich20 (Level 1) - Jetzt verbinden

30.06.2005, aktualisiert 06.07.2005, 6861 Aufrufe, 11 Kommentare

Komplexe Verzeichnisstruktur mit Berechtigung so gesetzt, das für Teil der Struktur Recht "eXecute" und weiter oben "Modify" gesetzt wird.

Hi all,

ich baue für einen Kunden eine komplexe Verzeichnisstruktur mit ca. 20.000 leeren Verzeichnissen auf. Der Grundgedanke der Rechtevergabe ist sehr einfach und entspricht der normalen Rechtesetzung von Linux Homedirectories mit einem geschützten Bereich und einem offenen Bereich:

<font class="code">
\Verzeichnis_A\Verzeichnis_B\[Dateien]

- Auf Verzeichnis A hat eine definierte lokale Berechtigungsgruppe "L_Lesende" das Recht "eXecute"" und eine weitere Gruppe "L_Schreibende" das Recht "eXecute"" (Admins aussen vor gelassen)

- Auf Verzeichnis B hat die definierte lokale Berechtigungsgruppe "L_Lesende" das Recht "eXecute"" und eine weitere Gruppe "L_Schreibende" das Recht "Modify""
</font>

In einfachen Worten gesagt: "L_Schreibende" darf ab der Verzeichnisebene .\Verzeichnis_B Verzeichnisse und Dateien anlegen, bearbeiten und löschen, oberhalb davon nur lesen (bzw. ausführen)

Hier ein Prinzipbild mit 2 Strukturästen. Rot ist geschützt, Grün ist offen, Gestreift ist die kritische Verzeichnisebene:

<img src='/images/articles/7eb9f035fe068bce594dfc2ee90a2e30-Prinzipstruktur.jpg' align='default' hspace='0' vspace='0' border='0'>

<font class="code">Wichtige Ergänzung:

Schon im letzten Verzeichnis des geschlossenen Bereichs, also im Bild im Verzeichnis "Modul" muss es für "L_Schreibende" möglich sein, neue Unterverzeichnisse einzurichten. Das bedeutet, dass der "normale User" an dieser Stelle bereits mehr Rechte besitzt!

Einen anderen Weg gibt es nicht, denn, wenn man bereits Modul "grün" macht, dann kann jeder User dieses Teil wiederum löschen, was ausgeschlossen werden muss!

</font>

Verwaltet wird die Rechtesetzung unter Nutzung des im Resource Kit enthaltenen Tools "xcacls".

Die Schwierigkeit ist definitiv das Recht auf VerzeichnisB, denn die normale Vorgehensweise unter Windows, die für mein Projekt nicht nutzbar ist, wäre, einen Share anzulegen. Ich brauche aber eine normale Rechtesetzung.

Die Vorgehensweise zum Festlegen der korrekten Rechte wären mehrere Skripte, mit denen erst das Grundrecht auf die gesamte Struktur eingestellt wird und dann der geschützte Bereich "verschlossen" wird. Somit könnte im Endergebnis der angehängte Bereich beliebig wachsen, die Grundstruktur bliebe erhalten.

Wer Linux kennt, dem ist klar, dass dies exakt der Unix Home-Directory - Logik entspricht.

Restriktionen:

- kein Samba-Server möglich, es handelt sich um Windows Server mit NTFS, Umstellung auf Active Directory geplant für Ende 2005

- Verwendung von Skripten ist ein Muss, da sonst nie mehr die geschützte Ebene wieder hergestellt werden kann.

- Mittelfristiges Ziel = Einsatz Dokumentenverwaltungssystem, z.Z. jedoch noch nicht möglich!


Offenbar gibt es keine vernünftige Lösung unter Windows! Ich habe mich für folgenden Workaround entschieden:


<img src='/images/articles/cb95c18b5a09a9b5d2fb9fea50783992-Berechtigung_verkleinert.jpg' align='default' hspace='0' vspace='0' border='0'>


Die Berechtigung wird via Skript so gesetzt:

<li> geschlossener Bereich (rot):
xcacls.vbs [DIR] /G "Domain Admins":F "[Server]\L_PRJ__Read":X "[Server]\L_PRJ__Change":X /server [Server]</li>

<li> offener Bereich (grün):
xcacls.vbs [DIR] /G "Domain Admins":F "[Server]\L_PRJ__Read":X "[Server]\L_PRJ__Change":M /server [Server]</li>

In Worten bedeutet das:

Die Verzeichnisse im grauen Bereich werden vom Administrator angelegt, erhalten aber das Recht Modify für Projektmitarbeiter. Damit können Unterverzeichnisse und Dateien erzeugt, bearbeitet und gelöscht werden. Löscht jemand ein Verzeichnis im grauen Bereich, dann ist es weg! Nur eine Administrator kann es dann wieder erzeugen.

Die Sache ist natürlich unschön und ärgerlich! Es zeigt doch ziemlich deutlich, das Windows (NTFS) noch nicht wirklich als Server-Betriebssystem für komplexe Verzeichnisstrukturen geeignet ist. Wobei dann meine Folgefrage ist: Läßt sich das Problem mit "Active Directory" lösen?

Gruß Martin
Mitglied: gooogix
30.06.2005 um 23:45 Uhr
Hallo!

In Anbetracht der Zeit empfehle ich, Dich mal mit der Blockieren-Funktion der Rechte-Vererbung zu beschäftigen. Auf dem Share würde ich nur READ geben, dann können alle lesen (was ja auch so sein soll). Über den Sicherheits-Reiter kannst Du dann die NTFS-Rechte vergeben und dort über "Erweitert" die Rechtevererbung abschalten.

Beachte: Die Rechte unter Windows sind kumulativ, d.h. READ auf dem Share und Schreibrecht weiter unten heisst Schreibrechte in dem betreffenden Ordner.

Es besteht auch die Möglichkeit ein spezielles Recht explizit zu Vergweigern, diese Verweigerung gilt dann vor allem!

Auf jeden fall solltest Du aufpassen, dass Du Dich beim Rechte setzen nicht verzettelst.

Ansonsten gerne morgen nochmal ne Antwort, wenn Du noch Fragen hast

Gruss
Udo
Bitte warten ..
Mitglied: Heinrich20
01.07.2005 um 08:34 Uhr
Hallo Udo,
Hallo!

In Anbetracht der Zeit empfehle ich,
Dich mal mit der Blockieren-Funktion der
Rechte-Vererbung zu beschäftigen. Auf
dem Share würde ich nur READ geben,
dann können alle lesen (was ja auch so
sein soll).

Da bin ich im Moment überfragt, was überhaupt eingestellt ist. Ich arbeite ja auf einer existiernden Verzeichnisstruktur. Ich kann mir aber im Moment nicht vorstellen, was sonst eingestellt sein sollte, denn ich kann die Rechte ja weiter hinten sowohl völlig einschränken als auch völlig aufmachen.

Über den Sicherheits-Reiter
kannst Du dann die NTFS-Rechte vergeben und
dort über "Erweitert" die
Rechtevererbung abschalten.

Das ist klar! Ich arbeite aber normalerweise gar nicht mit diesem Tool sondern verwende gleich xcacls.


Beachte: Die Rechte unter Windows sind
kumulativ, d.h. READ auf dem Share und
Schreibrecht weiter unten heisst
Schreibrechte in dem betreffenden Ordner.

Hmmh, danke für die Klarstellung!


Es besteht auch die Möglichkeit ein
spezielles Recht explizit zu Vergweigern,
diese Verweigerung gilt dann vor allem!

Werde ich testen! Allerdings ist mir noch nicht ganz klar geworden, wozu ich die Verweigerung überhaupt brauche. Mir kommt das irgendwie komisch vor, denn, wenn ich die Berechtigung sauber "positiv" vergebe, dann frage ich mich, wozu ich dann noch eine Verweigerung brauche.


Auf jeden fall solltest Du aufpassen, dass
Du Dich beim Rechte setzen nicht
verzettelst.

Korrekt! Insbesondere kann die Dauer der Setzung bei der Länge des Pfades ganz schön lange dauern!


Ansonsten gerne morgen nochmal ne Antwort,
wenn Du noch Fragen hast

Na ja, was ich mich eigentlich frage, ist ob denn noch nie jemand auf den Gedanken gekommen ist, so etwas Naheliegendes umzusetzen! Ich bin hier Projektleiter für dieses recht umfangreiche Migrationsprojekt und möchte mich gar nicht mit der Rechtevergabe beschäftigen. Ein normal ausgebildeter Windows-Admin müsste mir hier doch eine Lösung bauen können oder zumindest sagen können, ob es geht oder nicht.

Gruß Martin
Bitte warten ..
Mitglied: gooogix
01.07.2005 um 09:20 Uhr
Werde ich testen! Allerdings ist mir noch
nicht ganz klar geworden, wozu ich die
Verweigerung überhaupt brauche. Mir
kommt das irgendwie komisch vor, denn, wenn
ich die Berechtigung sauber
"positiv" vergebe, dann frage ich
mich, wozu ich dann noch eine Verweigerung
brauche.

Das ist dann erforderlich, wenn für einen User, der z.B. in zwei Gruppen ist, an einer Stelle nicht diese Berechtigung haben darf, die die Gruppe im Normalfall hat (gleiches gilt auch für Gruppen). Ist etwas verworren, zugegeben, und im "normalen" Leben würde man es auch nicht so machen, aber MS bietet eben die Möglichkeit.

Ein normal ausgebildeter
Windows-Admin müsste mir hier doch eine
Lösung bauen können oder zumindest
sagen können, ob es geht oder nicht.

Das ist korrekt Wobei bzgl. der Rechtevergabe es nicht immer gleich einfach ist. Falls Du also einen zur Hand hast, dann lass das ihn erledigen.


Zu Deiner Grafik:

Die "Module" sind geshared, oder? Dann würde ich dort READ setzen und darunter für die entsprechenden Gruppen das "Ändern" setzen, somit können die User auch Dateien löschen in dem Verzeichnis bzw. Unterordner anlegen und diese wieder löschen.

Gruss
Udo
Bitte warten ..
Mitglied: Heinrich20
01.07.2005 um 10:42 Uhr
Hallo Udo,

Zu Deiner Grafik:

Die "Module" sind geshared, oder?
Dann würde ich dort READ setzen und
darunter für die entsprechenden Gruppen
das "Ändern" setzen, somit
können die User auch Dateien
löschen in dem Verzeichnis bzw.
Unterordner anlegen und diese wieder
löschen.

Leider ist es nicht wirklich so einfach!

1. Geshared ist ein Verzeichnis viel weiter vorne im Ast bzw. an der Wurzel.

2. Richtig kritisch ist das Verzeichnis "Modul". Da gibt es zwei Möglichkeiten:

a. Direkt ACL, so dass im Verzeichnis Modul

a1. folgendes erlaubt ist:

- Neues Verzeichnis aufmachen und ändern
- Neue Datei aufmachen und ändern

a2. folgendes untersagt ist:

Das führende Verzeichnis "Modul" zu ändern oder löschen.

b. ACL, so dass

b1. folgendes erlaubt ist:

- Neues Verzeichnis aufmachen und ändern
- Unterhalb neuer Verzeichnisse Dateien aufmachen und ändern

b2. folgendes untersagt ist:

- Das führende Verzeichnis "Modul" zu ändern oder löschen.
- Im Verzeichnis Modul neue Datei aufmachen und ändern

Ich kann durchaus mit Lösung b. leben, auch wenn das nicht ideal ist. Die Sache hört sich völlig trivial an, ist es aber nicht! Z.B. ist zu berücksichtigen, dass Office eine Datei in einem Verzeichnis öffnet und sofort im selben Verzeichnis eine Kopie anleget, also schreibt.

Gruß Martin

PS: Kennst Du Linux? Da wäre sowas trivial weil völlig normal!
Bitte warten ..
Mitglied: gooogix
01.07.2005 um 10:47 Uhr
Windows kommt vom Desktop und leider nicht von der Netzwerkseite, darum werden wir uns hier wohl noch einige Zeit mit rumschlagen.

Linux kenne ich leider nicht so gut, aber ich weiss, das vieles einfacher ist, genauso wie es mit Netware ist
Bitte warten ..
Mitglied: Heinrich20
01.07.2005 um 11:03 Uhr
Windows kommt vom Desktop und leider nicht
von der Netzwerkseite, darum werden wir uns
hier wohl noch einige Zeit mit rumschlagen.

Linux kenne ich leider nicht so gut, aber
ich weiss, das vieles einfacher ist, genauso
wie es mit Netware ist

Oh!

Bitte keine "politische Diskussion" an dieser Stelle! Es wäre ja nett aber es hilft mir gar nicht weiter! Die Linux-Sache habe ich eigentlich nur erwähnt, weil sie jedem Linuxaner ziemlich klar sagt, was ich hier eigentlich haben will.

Wobei im Grunde es inzwischen auch unter Windows ein "home-Directory" gibt und da die Mimik dieselbe sein sollte!

Gruß Martin
Bitte warten ..
Mitglied: Heinrich20
05.07.2005 um 19:06 Uhr
Auf der Suche nach einem Workaround sind mir folgende Optionen eingefallen:

1. Verzeichnis mit dem Attribut "schreibgeschützt" versehen und normalen Usern das Recht zum Schreiben von Attributen entziehen.

Ergebnis: Es scheint nur so, wie wenn das Verzeichnis schreibgeschützt wird, in Wirklichkeit passiert gar nichts, d.h., das Verzeichnis kann problemlos wieder gelöscht werden. Hmmpf!

2. Verzeichnis verschlüsseln. Ja, sowas gibt es inzwischen auch! Was das allerdings bewirkt, weiss ich nicht, da die Verschlüsselung nicht möglich ist, weil auf dem Rechner gar kein Schlüssel existiert. Nun ja, Verschlüsselung ist ja nicht gerade das, was ich will aber mir ist schon fast jeder Weg Recht, um zum Ziel zu kommen und irgendwie kann man nie wissen, was der allseits bekannte Hersteller da wirklich vor hatte...

Gruß Martin
Bitte warten ..
Mitglied: gooogix
06.07.2005 um 16:13 Uhr
Der Schlüssel zur Verschlüsselung wird generiert, sobald Du das erste Mal etwas verschlüsselt. Du kannst Ihn über den IE, Sicherheit auslesen, dort wo auch die anderen Zertifikate (Verisign etc.) sind.

Diese Schlüssel solltest Du aber exportieren, da bei einem Crash etc. Du die Dateien nur wiederherstellen kannst, wenn Du den Key dazu hast.
Bitte warten ..
Mitglied: Heinrich20
06.07.2005 um 16:52 Uhr
Danke! Wobei natürlich immer noch die Frage ist, ob mir das Verfahren in irgend einer Form weiter hilft - eher nicht, wie es scheint! Martin
Bitte warten ..
Mitglied: gooogix
06.07.2005 um 19:14 Uhr
Wie war das? Es hat keiner gesagt, dass es einfach ist??
Bitte warten ..
Mitglied: Heinrich20
06.07.2005 um 20:27 Uhr
Schwierig ist bei MS vor allem, dass man herumeiern muss, weil die Dinge nicht wirklich sauber dokumentiert sind oder gar unlogisch - zumindest empfinde ich es teilweise so!

Martin
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
Kein Internet: Nach Windows-Update weltweit Computer offline (7)

Link von transocean zum Thema Windows 10 ...

VB for Applications
Druckvorschau verliert nach dem Drucken Fokus

Frage von greatmgm zum Thema VB for Applications ...

LAN, WAN, Wireless
Internetverbindung funktioniert erst nach ipconfig renew (6)

Frage von Joshh1 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...