crack24
Goto Top

Win2012 Berechtigungen für einzelne Unterordner

Hallo,

ich habe hier einen Windows Server 2012 mit dem Ordner d:\daten. Der hat viele Unterordner mit wichtigen Geschäftsdaten, daher möchte ich ihn grundsätzlich für Maschinen aus der Produktion sperren. Allerdings gibt es darin auch die Unterordner d:\daten\trumatic und d:\daten\trumpf wo die Produktion Lese- und Schreibrecht braucht.

Ich würde jetzt so vorgehen, dass ich der Gruppe Maschinen für d:\daten den Vollzugriff verweigere und das nach unten vererbe. Anschließend würde ich dann für die beiden Ordner wieder Vollzugriff geben.

Ist das der richtige Weg oder macht man das normalerweise anders?

Viele Grüße
crack

Content-Key: 211794

Url: https://administrator.de/contentid/211794

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: MrNetman
MrNetman 18.07.2013 um 07:39:16 Uhr
Goto Top
falsche Strategie.
Wenn etwas oben in der Struktur verweigert wird, kann man niemals unten dran kommen.
Verweigern sollte man nur, wenn man ganz sicher ist. Nicht berechtigen ist eine andere Aussage.

Gruß
Netman
Mitglied: crack24
crack24 18.07.2013 um 08:00:11 Uhr
Goto Top
Zitat von @MrNetman:
falsche Strategie.
Wenn etwas oben in der Struktur verweigert wird, kann man niemals unten dran kommen.
Verweigern sollte man nur, wenn man ganz sicher ist. Nicht berechtigen ist eine andere Aussage.

Gruß
Netman

Ok, wieder was gelernt. D.h. ich würde bei "Zulassen" für die Maschinen die Haken entfernen und bei den Unterordnern wieder setzen?
Mitglied: tikayevent
tikayevent 18.07.2013 aktualisiert um 10:05:14 Uhr
Goto Top
Eine Berechtigung für d:\daten anlegen, die nur für den Ordner das Auflisten erlaubt und erst die beiden benötigten Ordner wieder mit Schreibrechten belegen. Am besten auch noch die Access Based Enumerations einschalten, dann sieht man nur die Objekte, für die man Berechtigungen hat.
Mitglied: crack24
crack24 18.07.2013 um 10:08:34 Uhr
Goto Top
Ok vielen Dank.
Mitglied: MartinBinder
MartinBinder 18.07.2013 um 12:39:09 Uhr
Goto Top
Wenn etwas oben in der Struktur verweigert wird, kann man niemals unten dran kommen.

Stimmt nicht. Direkt gewährtes Zulassen hat Vorrang vor vererbtem Verweigern.
Mitglied: crack24
crack24 30.07.2013 um 07:09:39 Uhr
Goto Top
Ich wollte die oberste Berechtigung folgendermaßen setzen
http://img19.imageshack.us/img19/8867/gwe3.jpg

Die Gruppe Produktion-eingeschränkt soll nur den Ordnerinhalt auflisten können und unterhalb von D:\Share\Daten würde ich dann wieder auf bestimmte Ordner Lese oder Schreibrecht geben. Die Rechner in der Produktion sind sowohl Mitglied in der Gruppe Produktion-eingeschränkt als auch in Domäne\Benutzer. Letztere haben auf D:\Share\Daten Lese- und Schreibrecht.

Die Rechner in der Produktion können momentan in D:\Share\Daten auch Lesen und Schreiben, selbst wenn ich sie aus der Gruppe der Domänen Benutzer rausnehme. Woran kann das denn liegen?
Mitglied: MartinBinder
MartinBinder 30.07.2013 um 15:14:16 Uhr
Goto Top
Du sprichst immer von Rechnern - greifen da wirklich COMPUTER zu oder doch eher Benutzer, die sich an bestimmten Computern anmelden? Und Du weißt, daß du für Änderungen von Gruppenmitgliedschaften bei Computern neu booten bzw. bei Benutzern neu anmelden mußt?
Mitglied: crack24
crack24 30.07.2013 um 15:26:40 Uhr
Goto Top
Korrekt wäre natürlich der Ausdruck Benutzer. Aber da sich jeder immer nur an seinem Rechner anmeldet, war das für mich gedanklich synonym.

An- und abgemeldet habe ich die Benutzer jeweils zum Testen. Daran lags wohl nicht.
Mitglied: MartinBinder
MartinBinder 30.07.2013 um 17:07:41 Uhr
Goto Top
Naja, solange die Gruppe "Benutzer" Zugriff hat -> Works as designed. Da mußt der Gruppe PRODUKTION schon den entsprechenden Zugriff explizit verweigern...