Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ordnerstruktur und Zugriffsrechte auf Server

Frage Microsoft Windows Server

Mitglied: gijoe

gijoe (Level 2) - Jetzt verbinden

04.05.2012, aktualisiert 15:33 Uhr, 8469 Aufrufe, 10 Kommentare

hi@all

Ich habe die Möglichkeit, eine bestehende Ordnerstruktur auf einem neuen Server entsprechend neu zu gestalten, also konkret Serverfreigaben für die User. Bisher wucherte alles über Jahre hinweg vor sich hin. Meine Frage, was ist eigentlich das sauberste vorgehen? Mir scheint, es gibt soviele Ansätze, wie es Admins gibt. Mein Vorgehen wäre wie folgt:

- Ordner A => für alle Domain-Benutzer einsehbar
- Ordner B => für Gruppe B einsehbar
- Ordner C => für Gruppe C einsehbar
usw.

Alle diese Ordner würden über eine Freigabe laufen (zB \\server\company).

Aber was ist jetzt, wenn jemand, der nicht zur Gruppe B gehört Zugriff auf einen Unterordner dieser Gruppe benötigt? dann kann er ja den Rest auch sehen, oder? Oder ist dieser Ansatz schon im vorherein nonsens?

Und noch was: Ist es ok, wenn man auf eine Freigabe "Jeder" Schreib & Lesezugriff gibt, und dann die eigentlichen Zugriffsrechte via "Sicherheit" einstellt?
Mitglied: Yuusou
04.05.2012 um 15:34 Uhr
Hallöchen,

du musst zwischen Freigabeberechtigung und NTFS-Berechtigung unterscheiden. Die Freigabe ist der erste Zugriffsfilter, die NTFS-Berechtigung der zweite. Bist du restriktiv in der Freigabe für einen User, kannst du dem gerne Vollzugriff in den NTFS-Berechtigungen gewähren, der Nutzer kommt über die einfache Freigabe nicht ran. Mit den erweiterten Berechtigungen für NTFS kannst du auch bestimmte Aktionen explizit verweigern.

Was ist denn dein letztendliches Ziel? Vielleicht kann man ja da ein wenig helfen.
Bitte warten ..
Mitglied: gijoe
04.05.2012 um 16:13 Uhr
Mein Ziel => SBS Server => Freigaben für User => Share für alle, Ordner für div. Abteilungen, wo nur diese Zugriff haben.
Bitte warten ..
Mitglied: Yuusou
04.05.2012 um 17:02 Uhr
Das geht einfach: Freigabe des Shares für alle, NTFS-Berechtigung für jeden Unterordner für die einzelnen Abteilungen hinzufügen (für jede Abteilung eine Gruppe im AD erstellen) und den Zugriff für Jeden löschen bzw. den anderen Abteilungen den Zugriff über die erweiterten Berechtigungseinstellungen explizit verweigern. Letzteres wäre meine persönliche Empfehlung, um auf Nummer sicher zu gehen. Austesten kannst du das alles mit jeweiligen Testnutzern für die Abteilungen.

Erst greift die Freigabe und prüft, ob die zugreifen dürfen. Dann kommt die NTFS-Berechtigung, die den Zugriff auf die Dateien überprüft, der sich auf der Platte befindet. Das eine passiert auf Netzwerkebene, das andere auf lokaler Ebene, falls das besser verständlich ist.

Sollte ein Nutzer unbedingt Zugriff auf einen Ordner haben wollen, kannst du ihm diesen explizit zuweisen, auch wenn er durch seine Gruppenzugehörigkeit keinen Zugriff hätte. Folgendes zu Berechtigungen unter Windows merken: Verbote haben mehr Gewicht als Gebote und Berechtigungen eines Einzelnen haben höhere Priorität als die von Gruppen.
Bitte warten ..
Mitglied: gijoe
04.05.2012 um 17:27 Uhr
Zitat von Yuusou:
Das geht einfach: Freigabe des Shares für alle, NTFS-Berechtigung für jeden Unterordner für die einzelnen
Abteilungen hinzufügen (für jede Abteilung eine Gruppe im AD erstellen) und den Zugriff für Jeden löschen bzw.
den anderen Abteilungen den Zugriff über die erweiterten Berechtigungseinstellungen explizit verweigern. Letzteres wäre
meine persönliche Empfehlung, um auf Nummer sicher zu gehen. Austesten kannst du das alles mit jeweiligen Testnutzern
für die Abteilungen.

Das vorgehen ist mir klar, aber ist es auch State-of-the-art??

Erst greift die Freigabe und prüft, ob die zugreifen dürfen. Dann kommt die NTFS-Berechtigung, die den Zugriff auf die
Dateien überprüft, der sich auf der Platte befindet. Das eine passiert auf Netzwerkebene, das andere auf lokaler Ebene,
falls das besser verständlich ist.

Ist auch klar, ich bevorzuge eigentlich bei der Freigabe allen alles zu erlauben und die Restriktion bei der NTFS-Berechtigung einzubauen

Sollte ein Nutzer unbedingt Zugriff auf einen Ordner haben wollen, kannst du ihm diesen explizit zuweisen, auch wenn er durch
seine Gruppenzugehörigkeit keinen Zugriff hätte. Folgendes zu Berechtigungen unter Windows merken: Verbote haben mehr
Gewicht als Gebote und Berechtigungen eines Einzelnen haben höhere Priorität als die von Gruppen.

Das bin ich gerade am Testen. Ich meine, wie kann ein Nutzer auf einen Subordner Zugreiffen, wenn er keinen Zugriff auf den Ordner oberhalb hat?
Bitte warten ..
Mitglied: Yuusou
04.05.2012 um 17:49 Uhr
Das würde wahrscheinlich nur gehen, wenn du über den UNC-Pfad direkt gehst. \\server\ordner\unterordner

Du kannst ja auch mit \\server\C$ auf das Volume C: zugreifen, ohne dass es explizit freigegeben ist. Ich weiß aber nicht genau, ob du dann \\server\ordner$\unterordner angeben kannst, um auf den Unterordner zu gelangen.
Bitte warten ..
Mitglied: 60730
05.05.2012 um 18:16 Uhr
moin Mädels...

das tut ja schon richtig weh
Und noch was: Ist es ok, wenn man auf eine Freigabe "Jeder"
Was ist ok? Das es "funktioniert" und unsauber ist? Dann ja.
kannst du dem gerne Vollzugriff in den NTFS-Berechtigungen gewähren
  • Autsch...
bzw. den anderen Abteilungen den Zugriff über die erweiterten Berechtigungseinstellungen explizit verweigern.
Letzteres wäre meine persönliche Empfehlung, um auf Nummer sicher zu gehen.
  • autscher
Du kannst ja auch mit \\server\C$ auf das Volume C: zugreifen, ohne dass es explizit freigegeben ist.
  • alles was aua macht ist ³
Berechtigungen eines Einzelnen haben höhere Priorität als die von Gruppen.
  • Hommmmmmm hommmmm hommmmmm gnade bitte gnade, oder schreib doch innen ist es kälter als es aussen warm ist.

Gegenfrage(n):
Wenn man es besser machen will und keine Ahnung hat - wäre da ein kleines Ebook vom symphatischen Marktfüherer oder ein Studium der allseits bekannten verlinkten Hau zus nicht angebracht?

  • was oder wer ist "jeder"?
  • was ist Vollzugriff?
  • was ist der Unterschied zwischen keiner und einer Administrativen Freigabe?


PS:
Mir scheint, es gibt soviele Ansätze, wie es Admins gibt.
Nein es gibt einige im detail unterschiedliche Lösungen - soviele wie von einzelnen Admin gefordert werden - denn IT ist kein Selbstzweck.
Und manche kennen den einen Film mit James Dean und andere nicht.
Bitte warten ..
Mitglied: Yuusou
05.05.2012 um 19:13 Uhr
Hey Timo,

verstehendes Lesen scheint nicht deine Stärke zu sein. Jedes Aua, was du an meinem Post ankreidest, sollte nur verdeutlichen, was der Unterschied zwischen der Freigabe und der NTFS-Berechtigung ist. Keines davon soll eine letztendliche Lösung darstellen geschweige denn sinnvoll sein. Ich traue dem Fragesteller genug Verstand zu, dass es als theoretische Beispiele zu verstehen sind.

Auch der letzte Satz über die Berechtigungen ist korrekt. Solange kein Verbot explizit in der einen Gruppe gesetzt wurde und er eine Erlaubnis als Benutzer explizit erhält, dann hat er die Erlaubnis für was auch immer. Aber da scheint mein erster Satz bei dir wieder zuzutreffen.

VG
Yuusou

PS: Lass deine Arroganz in der Firma (falls vorhanden) und deine schlechten Wortwitze im Kopf (das stelle ich nicht in Frage). Jeder fängt klein an und braucht Starthilfe. Mit ein bisschen Freundlichkeit und fachlich kompetenten Ratschlägen würdest du wesentlich konstruktiver zu dieser Fragestellung beitragen.
Bitte warten ..
Mitglied: 60730
05.05.2012 um 22:53 Uhr
Salve Yuusou,

[OT]
naja jetzt stell dir mal vor, jemand weiß etwas und stellt ne Frage.

Ich fände es besser, wenn derjenige dann gar keine Antwort bekäme, als eine leicht irreführende und sucht woanders weiter....
Klar, jeder fängt klein an, aber man braucht gute Lehrer um groß werden zu können.

In meiner "Firma" hab ich nen Ruf, man kann mich alles fragen und fast alles bitten, aber wer mir nen Bären aufbindet, der kann was erleben.
Und was glaubst du passiert?
Den einzigen Bären (den meiner Frau) hab ich hin und wieder im Gesicht, aber nie auf dem Rücken.
[/OT]

Glaubs mir, ich kann lesen

Nimm dir doch gerne mal die unteren 3 Gegenfragen zum zerlegen raus.

Du kannst ja auch mit \\server\C$ auf das Volume C: zugreifen, ohne dass es explizit freigegeben ist.
  • gib mal net share in so ner schwarzen Box (mit Adminrechten) auf nen Winblows Rechner ein..

  • Was ist denn der Unterschied zwischen Vollzugriff und der Kombination von R,W&C?
Auch der letzte Satz über die Berechtigungen ist korrekt
  • meinst du den?
Berechtigungen eines Einzelnen haben höhere Priorität als die von Gruppen.
  • kennst du AGDLP und warum das so gemacht wird und wie heisst das Prinzip da oben, dass AGDLP adabsurdum führt?

PS:
Sei wirklich froh, dass ich es bei 3 Punkten belassen hab, denn Das eine passiert auf Netzwerkebene, das andere auf lokaler Ebene,
falls das besser verständlich ist.
da fällt mir wirklich garnix mehr zu ein und das mir nix einfällt, das ist was besonderes.


Gruß
Bitte warten ..
Mitglied: gijoe
10.05.2012 um 17:12 Uhr
An dieser Stelle wäre es zwar interessant, die Share-Geschichte aus Timos Firma zu Erfahren...
- Was für eine Ordnerstruktur herrscht da bezüglich Freigaben?
- Wie sieht es aus für Ordner (in der Freigabe), die nur für bestimmte Gruppen einsehbar sein sollen (ineinander verschachtelt, oder liegen die Ordner auf der selben Ebene?)
- Sollen die Ordner, die man nicht öffnen darf ausgeblendet werden
- Wie findet ein Zugriff auf einen Subordner statt, wenn man auf die Struktur oberhalb keinen Zugriff hat, oder haben sollte
- Muss bei den Freigabe-Rechten bereits gefiltert werden, wenn es sich in der Regel immer um beschreibbare Ordner handelt
- LIegen die freizugebenden Ordner in einem einzigen Share, oder wird jeder einzeln als Freigabe behandelt (meines erachtens ersteres)
Bitte warten ..
Mitglied: 60730
10.05.2012 um 21:08 Uhr
Zitat von gijoe:
An dieser Stelle wäre es zwar interessant, die Share-Geschichte aus Timos Firma zu Erfahren...

Das ist eigentlich nix dolles...
- Was für eine Ordnerstruktur herrscht da bezüglich Freigaben?
Unterschiedliche
- Wie sieht es aus für Ordner (in der Freigabe), die nur für bestimmte Gruppen einsehbar sein sollen (ineinander
verschachtelt, oder liegen die Ordner auf der selben Ebene?)

Ich hab z.B Ordner, die fuer alle Domainmember (nicht jeder) zum lesen oder changen bestimmt sind.
- Sollen die Ordner, die man nicht öffnen darf ausgeblendet werden.
Ist so ne frage, da wir sowohl macs als auch blows haben, aber das fuehrt zuweit...
- Wie findet ein Zugriff auf einen Subordner statt, wenn man auf die Struktur oberhalb keinen Zugriff hat, oder haben sollte

Ganz einfach, das ist eine andere freigabe...
- Muss bei den Freigabe-Rechten bereits gefiltert werden, wenn es sich in der Regel immer um beschreibbare Ordner handelt
- LIegen die freizugebenden Ordner in einem einzigen Share, oder wird jeder einzeln als Freigabe behandelt (meines erachtens ersteres)

Sowohl, als auch z.b gibt es nur einen profil und einen homeshare, darunter fuer jeden user einen ordner auf den nur er kommt, das regelt man per anno ueber die freigabe berechtigung und dann ueber die ntfs rechte der ordner.

Dann gibt es z.b einen abteilungsordner, da liegen die abteilungsordner drauf, dort wird sowohl die freigabe, als auch die ntfs berechtigung gesetzt. Und immer streng nach agdlp, alsomselbst eine onemanshow bekommt ihre eigene gruppe, den nur so kann man nachvollziehen, wer hat wo rechte- wenn ein nachfolger oder zweiter kollege in die huette kommt und das gleiche zeug beackern muss.

Und vor allen dingen, man muss mit den kollegen reden und vorbereitet sein, ratztfatz werden aus ganz vielen wuensxhen, die kaum realisiert werden koennen, eine handvoll mit 5 komischen ausnahmen und alle sind gluecklich.

Ps in zeiten aktueller serversysteme mit massig dampf kann man eigentlich mit der shareeritis grosszuegiger sein, die kisten kriegen dass schon gebacken, aber bei 75 people wuerde ich trotzdem nicht anfangen, jedem sein homedir als freigabe zu geben....

Gruss
Bitte warten ..
Ähnliche Inhalte
Windows Server
Ordnerstruktur inklusive Zugriffsrechten kopieren. Unter Windows Server möglich?
Frage von brutzlerWindows Server2 Kommentare

Hallo, gibt es eine Möglichkeit auf einem Windows-Server (aktuell 2003) eine Ordnerstruktur so zu kopieren, dass auch die manuell ...

Batch & Shell
Ordnerstruktur lesen, Dateien - Neue Ordnerstruktur
gelöst Frage von internet2107Batch & Shell7 Kommentare

Ich verzweifle etwas an folgender Sache. Ich habe eine vorgebene Ordnerstruktur, in der sich Dateien befinden. Diese Dateien sollen ...

Windows Netzwerk
Freigabe und Zugriffsrechte auf Server 2008 R2
Frage von Xaero1982Windows Netzwerk11 Kommentare

Hallo Zusammen, es geht um folgendes Problem: Wir haben eine Verzeichnisstruktur, die wie folgt aufgebaut ist: -Server - Freigegebens ...

Rechtliche Fragen
Vernatwortlichkeit Ordnerstruktur
gelöst Frage von PeterzRechtliche Fragen5 Kommentare

Ich habe eine Frage zur Dateiablage innerhalb einer Firma. In der Regel werden jegliche Daten in einer Ordnerstruktur auf ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 23 StundenBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server10 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...

Microsoft
Erfahrungen mit Webcam over RDP gesucht
Frage von DerWoWussteMicrosoft10 Kommentare

Moin Kollegen. Bekanntlich kann man Webcams nur mit Drittanbietersoftware in RDP reinschleifen. Was nutzt Ihr dazu? Wie stabil funktioniert ...