11
Netzlaufwerk - Freigabe
Servus,
ich habe folgendes Problem:
Wir haben 5 Server mit Windows 2000 Server, 4 Server sind jeweils als DomainenController (mit eigenständiger Domain) eingerichtet und verfügen demnach über ein eigenes AD. Der 5. Server ist ein reiner "Datenserver" auf diesem Server soll ein Ordner (mit verschiedenen Unterordnern) frei gegeben. Dieser Ordner soll, per Anmeldescript, auf den einzelnen Workstations der jeweiligen Domains eigebunden. Hier bei kommt es darauf an, dass auf den "Hauptordner", nennen wir ihn mal "daten", jeder Lesezugriff haben soll, aber auf die einzelnen Unterordner der eine User nur lesen ein anderer wiederum nur schreiben und ein dritter auf diesen Ordner nur Lesezugriff aber auf einen weiteren Ordner wieder z.B. Schreiberechte hat.
Wie kann ich dieses realisieren??
ich habe folgendes Problem:
Wir haben 5 Server mit Windows 2000 Server, 4 Server sind jeweils als DomainenController (mit eigenständiger Domain) eingerichtet und verfügen demnach über ein eigenes AD. Der 5. Server ist ein reiner "Datenserver" auf diesem Server soll ein Ordner (mit verschiedenen Unterordnern) frei gegeben. Dieser Ordner soll, per Anmeldescript, auf den einzelnen Workstations der jeweiligen Domains eigebunden. Hier bei kommt es darauf an, dass auf den "Hauptordner", nennen wir ihn mal "daten", jeder Lesezugriff haben soll, aber auf die einzelnen Unterordner der eine User nur lesen ein anderer wiederum nur schreiben und ein dritter auf diesen Ordner nur Lesezugriff aber auf einen weiteren Ordner wieder z.B. Schreiberechte hat.
Wie kann ich dieses realisieren??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 56485
Url: https://administrator.de/contentid/56485
Printed on: April 25, 2024 at 04:04 o'clock
11 Comments
Latest comment
heisst das die Domains sind völllig unabhängig voneinader und wissen jeweils nix von der Existenz der anderen ?
Ich vermute mal das Benutzer von verschiedenen Domains auf den "Datenserver" ( Fileserver?) zugreifen sollen ?
Ist der "Datenserver" als Memberserver einer der Domains eingerichtet?
MfG
Moe
Ich vermute mal das Benutzer von verschiedenen Domains auf den "Datenserver" ( Fileserver?) zugreifen sollen ?
Ist der "Datenserver" als Memberserver einer der Domains eingerichtet?
MfG
Moe
Vorraussetzung ist, dass der Fileserver die einzelnen Benutzer oder Gruppen "kennt", also zB. über die Domänen-Vertrauensstellungen authentifizieren kann. [Bei nur einer Domäne würde das klarerweise wegfallen]. Dann kannst du die Freigabe einrichten (zB Jeder: Ändern) und die genauen Rechte dann mit den Sicherheitsberechtigungen (NTFS) zuteilen (zB Jeder: Lesen, Gruppe1: Ändern).
heisst das die Domains sind völllig
unabhängig voneinader und wissen jeweils
nix von der Existenz der anderen ?
Ich vermute mal das Benutzer von
verschiedenen Domains auf den
"Datenserver" ( Fileserver?)
zugreifen sollen ?
Ist der "Datenserver" als
Memberserver einer der Domains eingerichtet?
MfG
Moe
unabhängig voneinader und wissen jeweils
nix von der Existenz der anderen ?
Ich vermute mal das Benutzer von
verschiedenen Domains auf den
"Datenserver" ( Fileserver?)
zugreifen sollen ?
Ist der "Datenserver" als
Memberserver einer der Domains eingerichtet?
MfG
Moe
Genau, die domains sollen untereinander nichts von einander wissen. Auch richtig, es sollen Benutzer aus verschiedenen Domains darauf zugreifen.
Nein, der Fileserver soll, wenn möglich, in keiner Domain als Memberserver eingerichtet werden!!
dann wirds aber sehr umständlich und nur mit hohem administrativen Aufwand zu lösen sein.
Es sei denn das es nur 2-3 Benutzer sind.
Darf man erfahren warum alle Domains total eigenständig sein sollen und der Fileserver KEIN Memberserver werden darf ?
MfG
Moe
Es sei denn das es nur 2-3 Benutzer sind.
Darf man erfahren warum alle Domains total eigenständig sein sollen und der Fileserver KEIN Memberserver werden darf ?
MfG
Moe
dann wirds aber sehr umständlich und nur
mit hohem administrativen Aufwand zu
lösen sein.
Es sei denn das es nur 2-3 Benutzer sind.
Darf man erfahren warum alle Domains total
eigenständig sein sollen und der
Fileserver KEIN Memberserver werden darf ?
MfG
Moe
mit hohem administrativen Aufwand zu
lösen sein.
Es sei denn das es nur 2-3 Benutzer sind.
Darf man erfahren warum alle Domains total
eigenständig sein sollen und der
Fileserver KEIN Memberserver werden darf ?
MfG
Moe
Sind leider nen paar mehr User kannst hinter die 2 - 3 auch ruhig zwei Nullen hinter machen, dann passt es! ;)
Das liegt wohl an unserer Firma, da gibts ne anweisung die lautet und dann muss das auch so kommen! Abewr uns Admins fragt ja leider vorher keiner...
Aber sogar als Admin darf (und in diesem Fall muss man sogar) die Hintergründe einer solchen Entscheidung hinterfragen. Denn wenn die Entscheider keine Ahung haben sollten Sie den Admin einbeziehen.
Ansonsten solltest Du Deiner Firma, bzw. dem der das entschieden hat, mitteilen das es so (wie Du das ganze hier beschrieben hast) nicht umsetzbar ist.
Wie loipl auch schon geschrieben hat irgendwoher muss der Server ja die Benutzerinformationen bekommen
damit sich diese authentifizieren können um mit unterschiedlichen rechten zugreifen können.
Das einzige was mir noch dazu einfallen würde:
Nicht mit dem Benutzerkonten welche auf den einzelnen Domains existieren sondern mit allgemeinen Konten zu arbeiten welche Du lokal auf dem Server anlegst und mit denen sich die Benutzer dann separat an diesem geheimnisvollen Server authentifizieren. Das geht natürlich nur bei einer sehr überschaubaren Anzahl verschiedener Zugriffsrechte. Also z.B. ein Account fürs lesen den Jeder benutzt einen fürs Schreiben auf einen Unterordner usw.
Aber das ganze artet sehr schnell aus und wird dann wirklich bald unadministrierbar.
Viel Erfolg !
Moe
Ansonsten solltest Du Deiner Firma, bzw. dem der das entschieden hat, mitteilen das es so (wie Du das ganze hier beschrieben hast) nicht umsetzbar ist.
Wie loipl auch schon geschrieben hat irgendwoher muss der Server ja die Benutzerinformationen bekommen
damit sich diese authentifizieren können um mit unterschiedlichen rechten zugreifen können.
Das einzige was mir noch dazu einfallen würde:
Nicht mit dem Benutzerkonten welche auf den einzelnen Domains existieren sondern mit allgemeinen Konten zu arbeiten welche Du lokal auf dem Server anlegst und mit denen sich die Benutzer dann separat an diesem geheimnisvollen Server authentifizieren. Das geht natürlich nur bei einer sehr überschaubaren Anzahl verschiedener Zugriffsrechte. Also z.B. ein Account fürs lesen den Jeder benutzt einen fürs Schreiben auf einen Unterordner usw.
Aber das ganze artet sehr schnell aus und wird dann wirklich bald unadministrierbar.
Viel Erfolg !
Moe
ist hier einfach so!
ist ne, ich nene sie mal, "staatliche firma" und da bekommt man das gesagt und dann hat man das zu machen!
das mit seperaten benutzern ist auf die dauer nicht zu administrieren, dafür gibts zu viele verschieden rechte!
hab aber gerade mal nen ansatz gefunden, geht in richtung vertrauensstellung, werde das mal versuchen, wenn es geklappt hat werde ich es hier mitteilen.
ist ne, ich nene sie mal, "staatliche firma" und da bekommt man das gesagt und dann hat man das zu machen!
das mit seperaten benutzern ist auf die dauer nicht zu administrieren, dafür gibts zu viele verschieden rechte!
hab aber gerade mal nen ansatz gefunden, geht in richtung vertrauensstellung, werde das mal versuchen, wenn es geklappt hat werde ich es hier mitteilen.
geht in richtung vertrauensstellung
ich denke das sollte so nicht sein ?
eigentlich nicht,
aber was anderes funktionierendes finde ich leider nicht...
und so wie ich das bisher voreinander gebastelt und geprüft habe, ist für admin und nutzer nicht sichtbar, das es noch weitere server gibt. nur in der dns und ad vertrauensstellung konsole.
aber mal schaun, noch hab ich nicht alles überprüft...
bin aber immer noch für jeden tipp dankbar um keine vertrauensstellung einzurichten...
aber was anderes funktionierendes finde ich leider nicht...
und so wie ich das bisher voreinander gebastelt und geprüft habe, ist für admin und nutzer nicht sichtbar, das es noch weitere server gibt. nur in der dns und ad vertrauensstellung konsole.
aber mal schaun, noch hab ich nicht alles überprüft...
bin aber immer noch für jeden tipp dankbar um keine vertrauensstellung einzurichten...
Was mir ohne Vertrauensstellung einfällt ist auch eine "Lösung" aus einem eher sensiblen Bereich...
Da hat jeder einfach für den Fileserver einen zweiten Login bekommen...
Ist aber alles andere als schön... und bringt auch nicht mehr Sicherheit
Da hat jeder einfach für den Fileserver einen zweiten Login bekommen...
Ist aber alles andere als schön... und bringt auch nicht mehr Sicherheit
hatte ich auch schon vorgeschlagen ist aber, bei der von ihm beschriebenen useranzahl, m.E. nicht administrierbar
