Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Server 2008 - Freigaben - Ordnerzugriff sperren für alle außer für 5 Personen?

Frage Microsoft Windows Userverwaltung

Mitglied: joshivince

joshivince (Level 1) - Jetzt verbinden

17.01.2012, aktualisiert 18.01.2012, 11815 Aufrufe, 14 Kommentare

Es soll innerhalb eines Freigegebenen Laufwerks ein Ordner für alle personen im Unternehmen gesperrt werden, außer für GF und einen User.

Hallo zusammen,

ich denke mein Anliegen ist nicht so schwer, ich selbst zerbreche mir aber den Kopf.
Googlen hilft mir in dem Fall nicht viel, da ich nicht weiß mit was für Stichworten ich korrekterweise suchen muss.


Folgendes Problem:

Es gibt ein freigegebenes Laufwerk, das sich standardmäßig jeder Benutzer als R-Laufwerk verbunden hat. Dieses Laufwerk beinhaltet alle Daten mit denen die User des Unternehmens arbeiten.
Innerhalb dieses Laufwerkes gibt es einen Ordner, der nennt sich "Mitarbeiter". Darin befindlich wiederum Ordner bezeichnet mit den Namen der Mitarbeiter. Jeder MA hat also seinen eigenen Ordner. Jeder MA kann in jeden dieser Ordner gucken (Schreib- und Leserechte).
Das ist soweit nicht schlimm und auch z. T. gewollt. Nur in einem Fall nicht:

Der Ordner "Thomas Müller" soll nur für die Geschäftsführung (= 4 Personen) einsehbar sein und für den Herrn Thomas Müller himself.
Ein Verschieben des Ordners soll möglichst nicht in Betracht gezogen werden.

Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen. Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...

So, also muss es einen Möglichkeit geben dieses Problem elegant zu umgehen.

Wie würdet Ihr das angehen?


Danke für Eure Antworten oder Hilfestellungen im Voraus!

Grüße vom
Vince
Mitglied: carwil
17.01.2012 um 13:05 Uhr
Hallo,

in dem Dialog "Sicherheit" warst du schon ganz richtig.
Erst entziehst du hier alle Rechte indem Du die Einträge löscht.
Dann fügst du die Userkonten wieder hinzu die berechtigt werden sollen.
Nicht vergessen ggf. ein Administratorkonto hinzuzufügen und zu berechtigen. Sonst können evtl. Sicherungsprogramme den Ordner auch nicht mehr lesen.
Bitte warten ..
Mitglied: HubertN
17.01.2012 um 13:09 Uhr
Moin

Dein Problem könnte auich sein, dass du erst einmal die Vererbung unterbrechen musst, bevor du da Rechte entziehen kannst. Kommt aber darauf an, um was für einen Server es sich handelt. Merken tust du es daran, dass diue EInträge ausgegraut sind.

Sinnvoll ist es übrigens in den allermeisten Fällen, die Benutzer in Gruppen zusammenzufassen und dann die Rechte an die Gruppe zu geben.

Gruß

Hubert
Bitte warten ..
Mitglied: goscho
17.01.2012 um 13:12 Uhr
Zitat von joshivince:
Hallo zusammen,
Hi auch

Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen.
Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer
sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern
nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
Darum werden die User auch zu Gruppen zusammengefasst und man benutzt dann diese. Das mache ich sogar bei 20 und weniger AD-Usern.

BTW: Wenn du nur 5 Usern das Recht auf den Ordner einrichten möchtest, warum nimmst du nicht die Vererbung heraus (Reiter 'erweitert' und dort den Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. ..." weg) und lässt dann nur noch das System und eventuell für andere administrative Tätigkeiten eingestellte Benutzer (Backup, etc) auf Vollzugriff. Danach fügst du die 5 Hanseln hinzu und vergibst die benötigten Rechte. Bei W2K8 oder W2K3 mit ABE sehen alle anderen User diesen Ordner nicht mal mehr.
Bitte warten ..
Mitglied: it-frosch
17.01.2012 um 13:13 Uhr
Hallo Vince,

1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
3. das Laufwerk für beide Gruppen freigegen
4. im besagten Geschäftsführungsordner die Vererbung unterbrechen und nur die Gruppe der Geschäftsleitung zulassen

grüße vom it-frosch
Bitte warten ..
Mitglied: goscho
17.01.2012 um 13:18 Uhr
Zitat von it-frosch:
Hallo Vince,

1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen

Hi IT-Frosch,
wenn das aber nur ein Beispiel vom TO war und er das so für alle ca. 100 Mitarbeiter haben möchte (Ordner mit dem Namen des MA und Zugriff durch MA + GF), dann müsste man - deinem Beispiel folgend - mindestens 200 Gruppen anlegen.

Wie wäre es , wenn es eine Gruppe GF gibt und der Mitarbeiter als einzelner User hinzugefügt wird?
Bitte warten ..
Mitglied: it-frosch
17.01.2012 um 13:44 Uhr
Hallo Goscho,

des MA und Zugriff durch MA + GF), dann müsste man - deinem Beispiel folgend - mindestens 200 Gruppen anlegen.
Wir versuchen das so weit wie möglich durchzuhalten auch wenn es sehr aufwendig ist.
Ich weiß.

Wie wäre es , wenn es eine Gruppe GF gibt und der Mitarbeiter als einzelner User hinzugefügt wird?
Das ist wesentlich bequemer. Mitunter tun wir das auch.

grüße vom it-frosch
Bitte warten ..
Mitglied: joshivince
17.01.2012 um 16:44 Uhr
Hallo alle zusammen, toll...
da komm ich vom Kunden zurück und hab wieder mal super konstruktive Beiträge!

Danke erstmal dafür.

Ich werde mich in dem speziellen Fall dafür entscheiden die vererbten Berechtigungen zu entfernen, alle User die da nichts zu suchen haben entfernen und nur denjenigen Zugriff gewähren, die drauf müssen.

Bei anderen Gelegenheiten werde ich über Gruppen arbeiten.

Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".

Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig arbeiten...

Also als letzte Frage bevor ich loslege: SICHER, dass ich den "Jeder" Eintrag entferne und 5 User (+ meinen Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
Acronis sichert den Server übrigens mit dem Admin-User, das wäre in dem Fall dann ok (weil oben carwil schrieb, dass es da auch Probleme haben könnte).

Es handelt sich übrigens (und sry fürs Vergessen) um einen Windows Server 2008 Standard x64.

Grüße vom
Vince

P.s. User SYSTEM und ERSTELLER-BESITZER... was mach ich mit denen? Lassen?
Bitte warten ..
Mitglied: goscho
17.01.2012 um 17:37 Uhr
Zitat von joshivince:
Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".

Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich
nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig
arbeiten...
Wenn du selbst (der Administrator) hinterher keine Berechtigung mehr hatte, dann war das ja auch o.k.
Also als letzte Frage bevor ich loslege: SICHER, dass ich den "Jeder" Eintrag entferne und 5 User (+ meinen
Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
Wenn du 'jeder' auf Vollzugriff lässt, kannst du dir die restlichen Einstellung sparen (außer bei 'Verweigern', das hat Vorrang).
P.s. User SYSTEM und ERSTELLER-BESITZER... was mach ich mit denen? Lassen?
Zu 'System' habe ich schon was gesagt und Ersteller-Besitzer ist wer?

PS: Wie das bei Adonis ist, weiß ich nicht, aber bei anderen Programmen kann der Zugriff durch den Backup-User vor der Sicherung getestet werden.
Bitte warten ..
Mitglied: joshivince
17.01.2012 um 17:41 Uhr
Servus goscho.

Ja stimmt, habs übersehen. SYSTEM bleibt also.

Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht erstellt. Wahrscheinlich war das der User.

Also wenn ich dich nun hier in deinem letzten Beitrag richtig verstanden habe bleibt der Eintrag "Jeder" erhalten, oder?
Bitte warten ..
Mitglied: goscho
17.01.2012 um 17:47 Uhr
Zitat von joshivince:
Servus goscho.

Ja stimmt, habs übersehen. SYSTEM bleibt also.

Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht
erstellt. Wahrscheinlich war das der User.
Was ist daran jetzt schwer zu verstehen?
Wenn der User 'Thomas Müller' der Ersteller-Besitzer ist und über die erweiterten Berechtigungen 'Vollzugriff' hat, kannst du diesen auch drin lassen und nur noch die GFs eintragen.
Wenn du dir nicht sicher bist, dass es der User ist, schmeißt du ihn raus und machst das, was wir dir erklärt haben.
Also wenn ich dich nun hier in deinem letzten Beitrag richtig verstanden habe bleibt der Eintrag "Jeder" erhalten, oder?
Nein, das hast du komplett missverstanden, dabei steht's dort unmissverständlich:
Wenn du 'jeder' auf Vollzugriff lässt, kannst du dir die restlichen Einstellung sparen (außer bei 'Verweigern', das hat Vorrang).

Wenn du in den Sicherheitseinstellungen bei 'jeder' den Vollzugriff lässt, hat jeder Vollzugriff auf diesen Ordner. Genau das möchtest du aber ändern.
'Jeder' muss dort entfernt werden.
Bitte warten ..
Mitglied: joshivince
18.01.2012 um 13:08 Uhr
Servusle,

so hab das nun so gemacht wie angesagt:

1.) Übergeordnete Berechtigungen entfernt (Häkchen in den erweiterten Einstellungen)
2.) Alle User (auch Jeder) entfernt und den Benutzer selbst hinzugefügt, den Administrator und die GF
3.) Beim Übernehmen der Änderungen kam folgende Fehlermeldungen:

f44c1876bcdf33b1b8b2212cffd055c0 - Klicke auf das Bild, um es zu vergrößern

Allerdings scheint dennoch alles zu funktionieren... Falls Euch der Fehler bekannt ist wäre ne kurze Info lieb, ansonsten markiere ich das Topic hier heute Abend als gelöst!

Danksche nochmals herzlichst!

Vince
Bitte warten ..
Mitglied: joshivince
18.01.2012 um 13:15 Uhr
P.s. Hab testweise gerade einen User hinzugefügt und wieder auf "Übernehmen" gedrückt. Es kommen wieder die "Zugriff verweigert"-Meldungen...
Bitte warten ..
Mitglied: HubertN
19.01.2012 um 09:28 Uhr
... dann hast du selber keinen ausreichenden Zugriff auf die Dateien bzw. Ordner.

Übernimm mal den Besitz an den Dateien.

Gruß

Hubert
Bitte warten ..
Mitglied: joshivince
19.01.2012 um 10:07 Uhr
OK, das wars. DANKE!
Nun funk alles wie es soll!

Was habe ich daraus gelernt?

Der Eintrag "Jeder" ist im grunde der ganze Knackpunkt. Wenn ich den entferne haben andere, nicht eingetragene User nichtmal die Möglichkeit den entsprechenden Ordner zu sehen.

Super,

vielen herzlichen Dank wieder mal an alle Beteiligten...

Der
Vince
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...