itcrowdsupporter
Goto Top

Wie verbietet man Löschrechte auf Netzwerklaufwerken aber erlaubt Änderungen?

Folgendes Szenario:
Windows Server 2008 R2 Domäne mit NTFS Netzwerklaufwerksfreigaben basierend auf Zugriffsrechten durch Benutzern zugeteilte Sicherheitsgruppen. Entsprechend der Sicherheitsgruppen in der ein Benutzer ist kann er einige Ordner der obersten Ebene der Netzwerkfreigabe sehen und andere nicht. Dort wo er rein kann hat er alle Rechte. Dateisystem ist logischerweise NTFS.

Mehrfach haben Benutzer versehentlich ganze Ordner verschoben oder gelöscht. Deshalb sollen sämtliche Löschrechte entzogen werden. Problem dabei: Benutzer können auch nichts mehr umbenennen oder Daten / Ordner mit eigenen Namen versehen.

Welche Alternative gibt es zu NTFS Netzwerkfreigaben wo das gewünschte Szenario umgesetzt werden kann? Wie siehts mit Linux Dateisystemen aus? Dokumentenmanagement oder Sonstiges?

Content-Key: 339265

Url: https://administrator.de/contentid/339265

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Kraemer
Kraemer 30.05.2017 um 09:24:50 Uhr
Goto Top
Moin,

dein Vorhaben hat keine Chance auf erfolg. Ändern ist ändern und löschen / verschieben ist eine Form des Änderns.

Gruß
Mitglied: SlainteMhath
SlainteMhath 30.05.2017 um 09:39:12 Uhr
Goto Top
Moin,

auf NTFS Ebene mE nach nicht ohne größere Nebenwirkung oder super frickeliger Konfogirationsarbeit nicht lösbar. Ggfs. halbstündige Shadow-Copies?

Dokumentenmanagement
Sollte machbar sein,

oder Sonstiges?
Sharepoint?

lg,
Slainte
Mitglied: ITCrowdSupporter
ITCrowdSupporter 30.05.2017 um 10:35:02 Uhr
Goto Top
Sharepoint? Hmm es geht um 35 Benutzer. Wäre das nicht etwas überdimensioniert?
Mitglied: Penny.Cilin
Penny.Cilin 30.05.2017 um 10:42:58 Uhr
Goto Top
Stichwort FineGraindePolicy.

Ich weiß allerdings nicht, ob Windows Server 2008 resp. R2 diese Funktionalität bereits bietet. Bei W2K12 kann man Ändern erlauben, aber löschen explizit verbieten.

Schau mal unter Effektive Berechtigungen.


Gruss Penny.
Mitglied: itisnapanto
itisnapanto 30.05.2017 um 11:32:46 Uhr
Goto Top
Zitat von @Penny.Cilin:

Stichwort FineGraindePolicy.

Ich weiß allerdings nicht, ob Windows Server 2008 resp. R2 diese Funktionalität bereits bietet. Bei W2K12 kann man Ändern erlauben, aber löschen explizit verbieten.

Schau mal unter Effektive Berechtigungen.


Gruss Penny.

Kann ich bestätigen . Wir machen zusätzlich in der Arbeitszeit stündlich Shadowcopies.
Mitglied: Kraemer
Kraemer 30.05.2017 um 11:44:22 Uhr
Goto Top
Zitat von @itisnapanto:

Zitat von @Penny.Cilin:

Stichwort FineGraindePolicy.

Ich weiß allerdings nicht, ob Windows Server 2008 resp. R2 diese Funktionalität bereits bietet. Bei W2K12 kann man Ändern erlauben, aber löschen explizit verbieten.

Schau mal unter Effektive Berechtigungen.


Gruss Penny.

Kann ich bestätigen . Wir machen zusätzlich in der Arbeitszeit stündlich Shadowcopies.
Dann mache ich was falsch. Ich kann das nämlich nicht bestätigen
Mitglied: Penny.Cilin
Penny.Cilin 30.05.2017 um 11:48:51 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @itisnapanto:

Zitat von @Penny.Cilin:

Stichwort FineGraindePolicy.

Ich weiß allerdings nicht, ob Windows Server 2008 resp. R2 diese Funktionalität bereits bietet. Bei W2K12 kann man Ändern erlauben, aber löschen explizit verbieten.

Schau mal unter Effektive Berechtigungen.


Gruss Penny.

Kann ich bestätigen . Wir machen zusätzlich in der Arbeitszeit stündlich Shadowcopies.
Dann mache ich was falsch. Ich kann das nämlich nicht bestätigen

Das will ich jetzt so nicht stehen lassen, ich habe derzeit keinen W2K8 oder W2K8R2 zur Verfügung. Bei W2K12 weiß ich, das es diese fein abgestimmten Berechtigungen gibt.


Gruss Penny.
Mitglied: Kraemer
Kraemer 30.05.2017 aktualisiert um 11:54:26 Uhr
Goto Top
Zitat von @Penny.Cilin:
Das will ich jetzt so nicht stehen lassen, ich habe derzeit keinen W2K8 oder W2K8R2 zur Verfügung. Bei W2K12 weiß ich, das es diese fein abgestimmten Berechtigungen gibt.
die Berechtigungen gibt es - haben aber nicht den von dir genannten Effekt. Gerade auf einer aktuellen 2012R2er Maschine getestet

Gruß
Mitglied: Penny.Cilin
Penny.Cilin 30.05.2017 aktualisiert um 12:48:43 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @Penny.Cilin:
Das will ich jetzt so nicht stehen lassen, ich habe derzeit keinen W2K8 oder W2K8R2 zur Verfügung. Bei W2K12 weiß ich, das es diese fein abgestimmten Berechtigungen gibt.
die Berechtigungen gibt es - haben aber nicht den von dir genannten Effekt. Gerade auf einer aktuellen 2012R2er Maschine getestet

Gruß
Hm, ok. Hast Du evtl. mal in den Bedingungen nachgeschaut?
Weil ich bin grade bei der Zertifizierung und dort gibt es einige Fragen diesbezüglich.
Kann es derzeit leider nicht testen, da ich in Prüfungsvorbereitung bin.
Ggf. werde ich mal den Trainer fragen.


Gruß Penny.
Mitglied: KowaKowalski
KowaKowalski 31.05.2017 um 18:54:55 Uhr
Goto Top
Hi Penny,

wie soll das klappen?
Das komplette löschen des Dateiinhaltes ist auch nur ne Änderung.
Die Datei ist dann zwar mit 0Byte vorhanden nützt aber keinem mehr etwas.


mfg
kowa
Mitglied: StefanKittel
StefanKittel 31.05.2017 um 21:16:17 Uhr
Goto Top
Hallo,

grundsätzlich geht das, aber das Verhalten von vielen Programmen verhindert das.

Office z.B.
Wenn Du eine Datei änderst und speicherst macht Word folgendes.
Neue Datei erstellen
Alte Datei löschen
Neue Datei umbennen

Wie will man hier agieren?

Stefan
Mitglied: Penny.Cilin
Penny.Cilin 01.06.2017 um 08:48:21 Uhr
Goto Top
Zitat von @KowaKowalski:

Hi Penny,

wie soll das klappen?
Das komplette löschen des Dateiinhaltes ist auch nur ne Änderung.
Die Datei ist dann zwar mit 0Byte vorhanden nützt aber keinem mehr etwas.
Das ist nicht zu vergleichen mit Löschen einer Datei oder eines Ordners via Windows Explorer.
Wie Du richtig gemerkt hast, wenn man den Inhalt löscht, ändert man eine Datei.

Der TO will aber das löschen oder verschieben von Dateien bzw. Ordnern verhindern.



mfg
kowa

Gruss Penny.
Mitglied: ITCrowdSupporter
ITCrowdSupporter 01.06.2017 um 09:47:29 Uhr
Goto Top
Korrekt. Das Löschen und Verschieben soll verhindert werden damit nix mehr verloren geht. Natürlich laufen weiterhin Backups aber auch das Wiederherstellen der Daten daraus nimmt Zeit in Anspruch, die man sich sparen könnte.
Mitglied: Penny.Cilin
Penny.Cilin 01.06.2017 um 09:59:48 Uhr
Goto Top
Das einzige was mir hierzu noch einfällt, ist die Möglichkeit die Überwachung zu aktivieren.
D.h. es wird eine E-Mail generiert, wenn eine Datei oder ein Ordner gelöscht bzw. verschoben wird.

Zumindest unter W2K12 gibt es hierzu die Möglichkeit via Dateiprüfung das zu realisieren.
Mitglied: ITCrowdSupporter
ITCrowdSupporter 07.06.2017 um 09:51:49 Uhr
Goto Top
Das würde mich sehr interessieren. Diese Überwachung. Klappt das auch mit Win Server 2008 R2?
Mitglied: Penny.Cilin
Penny.Cilin 07.06.2017 um 13:29:36 Uhr
Goto Top
Beim Windows Server 2012 gibt es die Rolle FSRM (File Service Resource Manager). Dort kann man die Überwachung und auch E-Mailbenachrichtigung aktivieren und konfigurieren.


Gruss Penny.
Mitglied: ITCrowdSupporter
ITCrowdSupporter 07.06.2017 um 14:30:20 Uhr
Goto Top
Dann wäre ein Upgrade evtl. interessant.

Ich suche jedoch auch nach Tools, die Dateisysteme überwachen. Gibbet ja einige. Muss nur das richtige für meine Zwecke finden. Was wurde wann von wem geändert, umbenannt oder gelöscht. Am besten mit Ausschlussfunktion, die erstmal alle *.tmp Dateien ignorieren kann.
Mitglied: Penny.Cilin
Penny.Cilin 07.06.2017 um 15:17:22 Uhr
Goto Top
Schau Dir einfach mal die Features an, welche der Server 2012 bzw. R2 bietet. Das sind einige interessante Features dabei.
Mitglied: ITCrowdSupporter
ITCrowdSupporter 09.06.2017 um 15:47:56 Uhr
Goto Top
Danke werd ich tun wobei ein Upgrade in diesem Fall auch nicht mal so eben passiert.