Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Userverwaltung

Hierachische Verzeichnisstruktur mit Berechtigung je nach Ebene "X", oder "M" (entspricht "Linux Home-Logik")

Mitglied: Heinrich20

Heinrich20 (Level 1) - Jetzt verbinden

30.06.2005, aktualisiert 06.07.2005, 6906 Aufrufe, 11 Kommentare

Komplexe Verzeichnisstruktur mit Berechtigung so gesetzt, das für Teil der Struktur Recht "eXecute" und weiter oben "Modify" gesetzt wird.

Hi all,

ich baue für einen Kunden eine komplexe Verzeichnisstruktur mit ca. 20.000 leeren Verzeichnissen auf. Der Grundgedanke der Rechtevergabe ist sehr einfach und entspricht der normalen Rechtesetzung von Linux Homedirectories mit einem geschützten Bereich und einem offenen Bereich:

<font class="code">
\Verzeichnis_A\Verzeichnis_B\[Dateien]

- Auf Verzeichnis A hat eine definierte lokale Berechtigungsgruppe "L_Lesende" das Recht "eXecute"" und eine weitere Gruppe "L_Schreibende" das Recht "eXecute"" (Admins aussen vor gelassen)

- Auf Verzeichnis B hat die definierte lokale Berechtigungsgruppe "L_Lesende" das Recht "eXecute"" und eine weitere Gruppe "L_Schreibende" das Recht "Modify""
</font>

In einfachen Worten gesagt: "L_Schreibende" darf ab der Verzeichnisebene .\Verzeichnis_B Verzeichnisse und Dateien anlegen, bearbeiten und löschen, oberhalb davon nur lesen (bzw. ausführen)

Hier ein Prinzipbild mit 2 Strukturästen. Rot ist geschützt, Grün ist offen, Gestreift ist die kritische Verzeichnisebene:

<img src='/images/articles/7eb9f035fe068bce594dfc2ee90a2e30-Prinzipstruktur.jpg' align='default' hspace='0' vspace='0' border='0'>

<font class="code">Wichtige Ergänzung:

Schon im letzten Verzeichnis des geschlossenen Bereichs, also im Bild im Verzeichnis "Modul" muss es für "L_Schreibende" möglich sein, neue Unterverzeichnisse einzurichten. Das bedeutet, dass der "normale User" an dieser Stelle bereits mehr Rechte besitzt!

Einen anderen Weg gibt es nicht, denn, wenn man bereits Modul "grün" macht, dann kann jeder User dieses Teil wiederum löschen, was ausgeschlossen werden muss!

</font>

Verwaltet wird die Rechtesetzung unter Nutzung des im Resource Kit enthaltenen Tools "xcacls".

Die Schwierigkeit ist definitiv das Recht auf VerzeichnisB, denn die normale Vorgehensweise unter Windows, die für mein Projekt nicht nutzbar ist, wäre, einen Share anzulegen. Ich brauche aber eine normale Rechtesetzung.

Die Vorgehensweise zum Festlegen der korrekten Rechte wären mehrere Skripte, mit denen erst das Grundrecht auf die gesamte Struktur eingestellt wird und dann der geschützte Bereich "verschlossen" wird. Somit könnte im Endergebnis der angehängte Bereich beliebig wachsen, die Grundstruktur bliebe erhalten.

Wer Linux kennt, dem ist klar, dass dies exakt der Unix Home-Directory - Logik entspricht.

Restriktionen:

- kein Samba-Server möglich, es handelt sich um Windows Server mit NTFS, Umstellung auf Active Directory geplant für Ende 2005

- Verwendung von Skripten ist ein Muss, da sonst nie mehr die geschützte Ebene wieder hergestellt werden kann.

- Mittelfristiges Ziel = Einsatz Dokumentenverwaltungssystem, z.Z. jedoch noch nicht möglich!


Offenbar gibt es keine vernünftige Lösung unter Windows! Ich habe mich für folgenden Workaround entschieden:


<img src='/images/articles/cb95c18b5a09a9b5d2fb9fea50783992-Berechtigung_verkleinert.jpg' align='default' hspace='0' vspace='0' border='0'>


Die Berechtigung wird via Skript so gesetzt:

<li> geschlossener Bereich (rot):
xcacls.vbs [DIR] /G "Domain Admins":F "[Server]\L_PRJ__Read":X "[Server]\L_PRJ__Change":X /server [Server]</li>

<li> offener Bereich (grün):
xcacls.vbs [DIR] /G "Domain Admins":F "[Server]\L_PRJ__Read":X "[Server]\L_PRJ__Change":M /server [Server]</li>

In Worten bedeutet das:

Die Verzeichnisse im grauen Bereich werden vom Administrator angelegt, erhalten aber das Recht Modify für Projektmitarbeiter. Damit können Unterverzeichnisse und Dateien erzeugt, bearbeitet und gelöscht werden. Löscht jemand ein Verzeichnis im grauen Bereich, dann ist es weg! Nur eine Administrator kann es dann wieder erzeugen.

Die Sache ist natürlich unschön und ärgerlich! Es zeigt doch ziemlich deutlich, das Windows (NTFS) noch nicht wirklich als Server-Betriebssystem für komplexe Verzeichnisstrukturen geeignet ist. Wobei dann meine Folgefrage ist: Läßt sich das Problem mit "Active Directory" lösen?

Gruß Martin
Mitglied: gooogix
30.06.2005 um 23:45 Uhr
Hallo!

In Anbetracht der Zeit empfehle ich, Dich mal mit der Blockieren-Funktion der Rechte-Vererbung zu beschäftigen. Auf dem Share würde ich nur READ geben, dann können alle lesen (was ja auch so sein soll). Über den Sicherheits-Reiter kannst Du dann die NTFS-Rechte vergeben und dort über "Erweitert" die Rechtevererbung abschalten.

Beachte: Die Rechte unter Windows sind kumulativ, d.h. READ auf dem Share und Schreibrecht weiter unten heisst Schreibrechte in dem betreffenden Ordner.

Es besteht auch die Möglichkeit ein spezielles Recht explizit zu Vergweigern, diese Verweigerung gilt dann vor allem!

Auf jeden fall solltest Du aufpassen, dass Du Dich beim Rechte setzen nicht verzettelst.

Ansonsten gerne morgen nochmal ne Antwort, wenn Du noch Fragen hast

Gruss
Udo
Bitte warten ..
Mitglied: Heinrich20
01.07.2005 um 08:34 Uhr
Hallo Udo,
Hallo!

In Anbetracht der Zeit empfehle ich,
Dich mal mit der Blockieren-Funktion der
Rechte-Vererbung zu beschäftigen. Auf
dem Share würde ich nur READ geben,
dann können alle lesen (was ja auch so
sein soll).

Da bin ich im Moment überfragt, was überhaupt eingestellt ist. Ich arbeite ja auf einer existiernden Verzeichnisstruktur. Ich kann mir aber im Moment nicht vorstellen, was sonst eingestellt sein sollte, denn ich kann die Rechte ja weiter hinten sowohl völlig einschränken als auch völlig aufmachen.

Über den Sicherheits-Reiter
kannst Du dann die NTFS-Rechte vergeben und
dort über "Erweitert" die
Rechtevererbung abschalten.

Das ist klar! Ich arbeite aber normalerweise gar nicht mit diesem Tool sondern verwende gleich xcacls.


Beachte: Die Rechte unter Windows sind
kumulativ, d.h. READ auf dem Share und
Schreibrecht weiter unten heisst
Schreibrechte in dem betreffenden Ordner.

Hmmh, danke für die Klarstellung!


Es besteht auch die Möglichkeit ein
spezielles Recht explizit zu Vergweigern,
diese Verweigerung gilt dann vor allem!

Werde ich testen! Allerdings ist mir noch nicht ganz klar geworden, wozu ich die Verweigerung überhaupt brauche. Mir kommt das irgendwie komisch vor, denn, wenn ich die Berechtigung sauber "positiv" vergebe, dann frage ich mich, wozu ich dann noch eine Verweigerung brauche.


Auf jeden fall solltest Du aufpassen, dass
Du Dich beim Rechte setzen nicht
verzettelst.

Korrekt! Insbesondere kann die Dauer der Setzung bei der Länge des Pfades ganz schön lange dauern!


Ansonsten gerne morgen nochmal ne Antwort,
wenn Du noch Fragen hast

Na ja, was ich mich eigentlich frage, ist ob denn noch nie jemand auf den Gedanken gekommen ist, so etwas Naheliegendes umzusetzen! Ich bin hier Projektleiter für dieses recht umfangreiche Migrationsprojekt und möchte mich gar nicht mit der Rechtevergabe beschäftigen. Ein normal ausgebildeter Windows-Admin müsste mir hier doch eine Lösung bauen können oder zumindest sagen können, ob es geht oder nicht.

Gruß Martin
Bitte warten ..
Mitglied: gooogix
01.07.2005 um 09:20 Uhr
Werde ich testen! Allerdings ist mir noch
nicht ganz klar geworden, wozu ich die
Verweigerung überhaupt brauche. Mir
kommt das irgendwie komisch vor, denn, wenn
ich die Berechtigung sauber
"positiv" vergebe, dann frage ich
mich, wozu ich dann noch eine Verweigerung
brauche.

Das ist dann erforderlich, wenn für einen User, der z.B. in zwei Gruppen ist, an einer Stelle nicht diese Berechtigung haben darf, die die Gruppe im Normalfall hat (gleiches gilt auch für Gruppen). Ist etwas verworren, zugegeben, und im "normalen" Leben würde man es auch nicht so machen, aber MS bietet eben die Möglichkeit.

Ein normal ausgebildeter
Windows-Admin müsste mir hier doch eine
Lösung bauen können oder zumindest
sagen können, ob es geht oder nicht.

Das ist korrekt Wobei bzgl. der Rechtevergabe es nicht immer gleich einfach ist. Falls Du also einen zur Hand hast, dann lass das ihn erledigen.


Zu Deiner Grafik:

Die "Module" sind geshared, oder? Dann würde ich dort READ setzen und darunter für die entsprechenden Gruppen das "Ändern" setzen, somit können die User auch Dateien löschen in dem Verzeichnis bzw. Unterordner anlegen und diese wieder löschen.

Gruss
Udo
Bitte warten ..
Mitglied: Heinrich20
01.07.2005 um 10:42 Uhr
Hallo Udo,

Zu Deiner Grafik:

Die "Module" sind geshared, oder?
Dann würde ich dort READ setzen und
darunter für die entsprechenden Gruppen
das "Ändern" setzen, somit
können die User auch Dateien
löschen in dem Verzeichnis bzw.
Unterordner anlegen und diese wieder
löschen.

Leider ist es nicht wirklich so einfach!

1. Geshared ist ein Verzeichnis viel weiter vorne im Ast bzw. an der Wurzel.

2. Richtig kritisch ist das Verzeichnis "Modul". Da gibt es zwei Möglichkeiten:

a. Direkt ACL, so dass im Verzeichnis Modul

a1. folgendes erlaubt ist:

- Neues Verzeichnis aufmachen und ändern
- Neue Datei aufmachen und ändern

a2. folgendes untersagt ist:

Das führende Verzeichnis "Modul" zu ändern oder löschen.

b. ACL, so dass

b1. folgendes erlaubt ist:

- Neues Verzeichnis aufmachen und ändern
- Unterhalb neuer Verzeichnisse Dateien aufmachen und ändern

b2. folgendes untersagt ist:

- Das führende Verzeichnis "Modul" zu ändern oder löschen.
- Im Verzeichnis Modul neue Datei aufmachen und ändern

Ich kann durchaus mit Lösung b. leben, auch wenn das nicht ideal ist. Die Sache hört sich völlig trivial an, ist es aber nicht! Z.B. ist zu berücksichtigen, dass Office eine Datei in einem Verzeichnis öffnet und sofort im selben Verzeichnis eine Kopie anleget, also schreibt.

Gruß Martin

PS: Kennst Du Linux? Da wäre sowas trivial weil völlig normal!
Bitte warten ..
Mitglied: gooogix
01.07.2005 um 10:47 Uhr
Windows kommt vom Desktop und leider nicht von der Netzwerkseite, darum werden wir uns hier wohl noch einige Zeit mit rumschlagen.

Linux kenne ich leider nicht so gut, aber ich weiss, das vieles einfacher ist, genauso wie es mit Netware ist
Bitte warten ..
Mitglied: Heinrich20
01.07.2005 um 11:03 Uhr
Windows kommt vom Desktop und leider nicht
von der Netzwerkseite, darum werden wir uns
hier wohl noch einige Zeit mit rumschlagen.

Linux kenne ich leider nicht so gut, aber
ich weiss, das vieles einfacher ist, genauso
wie es mit Netware ist

Oh!

Bitte keine "politische Diskussion" an dieser Stelle! Es wäre ja nett aber es hilft mir gar nicht weiter! Die Linux-Sache habe ich eigentlich nur erwähnt, weil sie jedem Linuxaner ziemlich klar sagt, was ich hier eigentlich haben will.

Wobei im Grunde es inzwischen auch unter Windows ein "home-Directory" gibt und da die Mimik dieselbe sein sollte!

Gruß Martin
Bitte warten ..
Mitglied: Heinrich20
05.07.2005 um 19:06 Uhr
Auf der Suche nach einem Workaround sind mir folgende Optionen eingefallen:

1. Verzeichnis mit dem Attribut "schreibgeschützt" versehen und normalen Usern das Recht zum Schreiben von Attributen entziehen.

Ergebnis: Es scheint nur so, wie wenn das Verzeichnis schreibgeschützt wird, in Wirklichkeit passiert gar nichts, d.h., das Verzeichnis kann problemlos wieder gelöscht werden. Hmmpf!

2. Verzeichnis verschlüsseln. Ja, sowas gibt es inzwischen auch! Was das allerdings bewirkt, weiss ich nicht, da die Verschlüsselung nicht möglich ist, weil auf dem Rechner gar kein Schlüssel existiert. Nun ja, Verschlüsselung ist ja nicht gerade das, was ich will aber mir ist schon fast jeder Weg Recht, um zum Ziel zu kommen und irgendwie kann man nie wissen, was der allseits bekannte Hersteller da wirklich vor hatte...

Gruß Martin
Bitte warten ..
Mitglied: gooogix
06.07.2005 um 16:13 Uhr
Der Schlüssel zur Verschlüsselung wird generiert, sobald Du das erste Mal etwas verschlüsselt. Du kannst Ihn über den IE, Sicherheit auslesen, dort wo auch die anderen Zertifikate (Verisign etc.) sind.

Diese Schlüssel solltest Du aber exportieren, da bei einem Crash etc. Du die Dateien nur wiederherstellen kannst, wenn Du den Key dazu hast.
Bitte warten ..
Mitglied: Heinrich20
06.07.2005 um 16:52 Uhr
Danke! Wobei natürlich immer noch die Frage ist, ob mir das Verfahren in irgend einer Form weiter hilft - eher nicht, wie es scheint! Martin
Bitte warten ..
Mitglied: gooogix
06.07.2005 um 19:14 Uhr
Wie war das? Es hat keiner gesagt, dass es einfach ist??
Bitte warten ..
Mitglied: Heinrich20
06.07.2005 um 20:27 Uhr
Schwierig ist bei MS vor allem, dass man herumeiern muss, weil die Dinge nicht wirklich sauber dokumentiert sind oder gar unlogisch - zumindest empfinde ich es teilweise so!

Martin
Bitte warten ..
Ähnliche Inhalte
Windows Server
Übersicht Verzeichnisstruktur mit Berechtigungen
Frage von BleifussWindows Server4 Kommentare

Hallo, gibt es ein Tool, dass mir die Übersicht meiner kompletten Verzeichnisstruktur meines File Servers ausgibt? Ich habe schon ...

Batch & Shell
Dateiname entsprechend einem um x-Ebenen übergeordeten Ordnernamen umbenennen
gelöst Frage von Booster07Batch & Shell3 Kommentare

Hallo Zusammen, ich bin Batch-Amateur und komme bei folgendem Problem nicht weiter. Ich will sehr viele Dateien, die in ...

Windows Server
Passwort vergeben, welches nicht den Richtlinen entspricht
gelöst Frage von Ghost108Windows Server4 Kommentare

Hallo zusammen, habe auf meinem Server einen lokalen Benutzer, welcher von mir ein Passwort gesetzt bekommen muss, welches NICHT ...

DNS
DynDNS-Ip entspricht nicht der des Routers
Frage von FischFussDNS3 Kommentare

Hallo zusammen, ich habe einen Linksys Smart WIFI Router. Da dieser nur kostenpflichtige DDNS-Dienste unterstützt habe ich den DynDNS ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...