Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2008 R2 Fileserver NTFS Berechtigungen greifen auf Freigabe nicht

Frage Microsoft Windows Server

Mitglied: goyatzl1

goyatzl1 (Level 1) - Jetzt verbinden

28.08.2012 um 15:20 Uhr, 8376 Aufrufe, 15 Kommentare

Hallo zusammen

Wir habe einen neuen Windows 2008 R2 Server als Domänenmitglied in Betrieb genommen. Dieser soll als Dateiserver dienen. Die Rolle Dateiserver ist instaliert. Ich bin gerade dabei die Freigaben und Berechtigungen zu erstellen.

Zu Übungszwecken habe ich mir einen Ordner "test" erstellt und diesen Freigegeben. Danach habe ich die NTFS Rechte für den Benutzer "XYZ" gesetzt.

Allerding werden ausschliesslich die Freigabeberechtigungen berücksichtigt. Die NTFS Berechtigungen greifen nicht.

Folgendes Beispiel:

Eine Freigabename mit dem Namen "test" ist erstellt. Der Benutzer "Jeder" erhält auf der Freigabeebene Vollzugriff. Der Benutzer "XYZ" wird im Reiter Sicherheit mit Leserechten eingetragen.

Ergebniss:

Der Benutzr XYZ hat Vollzugriff auf die Freigabe.

Ich dachte immer bei Freigaben werden sowohl NTFS-Rechte als auch Freigabe Rechte berücksichtigt. Und das System einigt sich auf den kleinsten gemeinsamen nenner. In meinem Beispiel sollte doch der Benutzer nur Leserechte haben. Oder habe ich hier was falsch verstanden.

Über das Rechte Konzept bei Windows habe ich schon eine ganze menge gelesen und dachte auch das ich dieses Verstanden habe. Mittlerweile Zweifel ich aber daran.

Eines ist mir ausserdem auch nicht klar. Wenn ich die Rechte über das Kontextmenü im Explorer änder, werden dies nicht in der "Freigabe und Speicherverwaltung" übernommen. Die Änderungen werden mir zumindest dort nicht angezeigt. Gibt es hier irgendweche unterschiese?

Schon mal vielen Dank füre die Hilfe

Gruß
Artur
Mitglied: bioperiodik
28.08.2012 um 15:25 Uhr
Hat vielleicht "Jeder" oder "Domänen-Benutzer" bei den NTFS Rechten Vollzugriff?
Bitte warten ..
Mitglied: goyatzl1
28.08.2012 um 15:39 Uhr
Hallo

Nein. Weder "Jeder" noch "Domänenbenutzer" sind bei den NTFS rechten aufgelistet. Nur die Benutzer Administartor und System haben Vollzugriff.

Gruß
Artur
Bitte warten ..
Mitglied: 83466
28.08.2012, aktualisiert um 15:48 Uhr
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Wir machen das bei uns auf den Servern deshalb so:

Freigabe XYZ --> Jeder lesen, Domänen-Benutzer lesen, Domänen-Admins vollzugriff

In den Ordnern darunter gebe ich dann die entsprechenden Berechtigungen wie gewünscht, z. B.:

Einkauf --> Domäne\Einkauf lesen, schreiben

So kann die Gruppe Einkauf nur in diesem Ordner und den darunter liegenden schreiben,
aber nicht direkt unter der Freigabe.

Edit: Wenn es in den Sicherheitseinstellungen nicht anders definiert wurde wirken sich die
Rechte von "Jeder" auf alle authentifizierten Benutzer aus, diese überschreiben dort die Einstellungen,
die du für den Benutzer gemacht hast. Wenn du in dem Unterordner manuell den Benutzer jeder löscht und
nur dein Benutzer dort drin steht, dann hat er die Berechtigungen, wie dort angegeben.
Bitte warten ..
Mitglied: sputnik
28.08.2012 um 15:52 Uhr
Zitat von 83466:
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.

Seit wann?
Bitte warten ..
Mitglied: bioperiodik
28.08.2012 um 15:54 Uhr
Zitat von 83466:
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Wir machen das bei uns auf den Servern deshalb so:

Freigabe XYZ --> Jeder lesen, Domänen-Benutzer lesen, Domänen-Admins vollzugriff

In den Ordnern darunter gebe ich dann die entsprechenden Berechtigungen wie gewünscht, z. B.:

Einkauf --> Domäne\Einkauf lesen, schreiben

So kann die Gruppe Einkauf nur in diesem Ordner und den darunter liegenden schreiben,
aber nicht direkt unter der Freigabe.

Edit: Wenn es in den Sicherheitseinstellungen nicht anders definiert wurde wirken sich die
Rechte von "Jeder" auf alle authentifizierten Benutzer aus, diese überschreiben dort die Einstellungen,
die du für den Benutzer gemacht hast. Wenn du in dem Unterordner manuell den Benutzer jeder löscht und
nur dein Benutzer dort drin steht, dann hat er die Berechtigungen, wie dort angegeben.

Soweit ich weis, gilt immer das Minimum aus beidem! (korrigiert mich wenn ich falsch liege)

Grundsätzlich würde ich Freigaben/Berechtigungen immer nur mit Gruppen berechtigen und diesen Gruppen dann die Benutzer im AD zuweisen. Dann einfach die Gruppe sowohl bei Freigabe als auch bei den NTFS Rechten eintragen und es sollte kein Problem mehr geben.
Bitte warten ..
Mitglied: Mike.ekiM
28.08.2012 um 15:55 Uhr
Zitat von 83466:

Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.

Hi! Aber das schlicht und ergreifend Blödsinn!

Schau lieber mal nach ob dein Benutzer XYZ lokale Adminrechte auf der Maschine hat
Bitte warten ..
Mitglied: bioperiodik
28.08.2012, aktualisiert um 15:56 Uhr
Zitat von goyatzl1:
Hallo

Nein. Weder "Jeder" noch "Domänenbenutzer" sind bei den NTFS rechten aufgelistet. Nur die Benutzer
Administartor und System haben Vollzugriff.

Gruß
Artur

Mal ketzerisch gefragt: Ist dein Testbenutzer Domänen-Admin oder lokaler Admin? :D

Eventuell werden Rechte auch von einem Übergeordneten Ordner vererbt, bitte mal überprüfen und evtl. Vererbung deaktivieren.
Bitte warten ..
Mitglied: 83466
28.08.2012, aktualisiert um 15:59 Uhr
Ich bin grade dabei, von Novell auf ein Windows Server 2008 R2 DFS zu ziehen, und musste diese Erfahrung auch machen, was nicht sehr angenehm war, als die User überall hin kamen. Wir haben den Fehler gemacht und der Gruppe "Jeder" zu viele Rechte gegeben, mehr als lesen sollte diese nicht bekommen. Sobald dieses korrigiert war funktionierten unsere NTFS-Rechte auch wieder so, wie vergeben. Wir nutzen Windows Server 2008 R2 Datacenter mit DFS und DFS-R in einer 2008 AD Umgebung.

Edit: Unsere Benutzer dürfen, wie es sich gehört, nicht mal Programme installieren. Das Phänomen kann übringends auf einem frischen Windows Server 2008 R2 nachgestellt werden, es sind auch keine anderen Einstellungen, die das verbockt haben.
Bitte warten ..
Mitglied: bioperiodik
28.08.2012 um 15:59 Uhr
Zitat von 83466:
Ich bin grade dabei, von Novell auf ein Windows Server 2008 R2 DFS zu ziehen, und musste diese Erfahrung auch machen, was nicht
sehr angenehm war, als die User überall hin kamen. Wir haben den Fehler gemacht und der Gruppe "Jeder" zu viele
Rechte gegeben, mehr als lesen sollte diese nicht bekommen. Sobald dieses korrigiert war funktionierten unsere NTFS-Rechte auch
wieder so, wie vergeben. Wir nutzen Windows Server 2008 R2 Datacenter mit DFS und DFS-R in einer 2008 AD Umgebung.

Grundsätzlich würde ich mal sagen, dass "Jeder" in einem halbwegs ernst gemeinten Berechtigungskonzept, nichts verloren hat.
(gibt aber natürlich auch hier spezielle Ausnahmen)
Bitte warten ..
Mitglied: 83466
28.08.2012 um 16:02 Uhr
Der Benutzer "Jeder" wird hier mit lesen auch nur verwendet, weil unser Zenworks ohne die Leserechte des Benutzers kein Programm mehr installieren wird, da es versucht, mit dem lokalen Benutzer auf den Clients auf die Daten zuzugreifen, was er dann natürlich nicht kann. Jeder beinhaltet in der Standard-Konfiguration den anonymen Benutzer nicht, es bleibt also bei den AD-Benutzern.
Bitte warten ..
Mitglied: goyatzl1
28.08.2012 um 16:15 Uhr

Soweit ich weis, gilt immer das Minimum aus beidem! (korrigiert mich wenn ich falsch liege)

So habe ich das auch Verstanden.
Bitte warten ..
Mitglied: bioperiodik
28.08.2012 um 16:18 Uhr
Share permissions and NTFS permissions are independent in the sense that neither changes the other. The final access permissions on a shared folder are determined by taking into consideration both the share permission and the NTFS permission entries. The more restrictive permissions are then applied.

http://technet.microsoft.com/en-us/library/cc754178.aspx
Bitte warten ..
Mitglied: goyatzl1
28.08.2012 um 16:25 Uhr
Mal ketzerisch gefragt: Ist dein Testbenutzer Domänen-Admin oder lokaler Admin? :D

Eventuell werden Rechte auch von einem Übergeordneten Ordner vererbt, bitte mal überprüfen und evtl. Vererbung
deaktivieren.

Hallo

Der User ist normaler Domänenbenutzer. Auch wird von oben nichts vererbt. Das habe gerade nochmal geprüft. Vererbung ist deaktiviert.

Ich erstelle die Freigabe und verteile die Rechte als Admin auf dem Server. Vom Client aus greife ich als Domänenbenutzer auf die Freigabe zu.

Wenn ich auf Freigabeeben dem Benutzer nur Leserechte gebe und auf NTFS Ebene Vollzugriff, greift hier scheinbar der kleinste gemeinsame nenner. Der User darf den Order öffnen und Daten lese aber hat kein schreibrecht.

Es ist übrigens egal ob ich auf Freigabeebene als Benutzer "Jeden" oder meinen Domänen Benuzter eintrage. Sobald der User auf Freigabeebene Vollzugriff, oder das recht Ändern hat, darf dieser auf dem Verzeichniss schreiben. Ganz egal was in den NTFS Rechten eingetargen ist.

Gruß
Artur
Bitte warten ..
Mitglied: goyatzl1
28.08.2012 um 16:42 Uhr
Hallo

Ich glaube das Problem ist gelöst. Folgendes ist passiert. Wenn auf NTFS Ebene das Recht "Ändern" aktiviert wird, wird auch gleichzeitig das Schreibrecht aktiviert. Das Schreibrecht wird aber nicht automatisch deaktiviert, wenn bei dem Recht "Ändern" der Hacken entfernt wird.

Der Hacken beim Recht "Schreiben" muss noch deaktiviert werden. Dies habe ich die ganze Zeit übersehen.

Dies war wohl mal wieder ein Typische Benutzer fehler.

Ich danke euch allen für die Hilfe und unterstützung. Manchmal hilft es seine Probleme mit anderen zu teilen, um das Dickicht im Kopf wieder zu lösen.

Gruß
Artur
Bitte warten ..
Mitglied: HubertN
28.08.2012, aktualisiert um 19:18 Uhr
Moin

schön, wenn es jetzt funktioniert. Aber doch noch ein paar Anmerkungen dazu:

Ich dachte immer bei Freigaben werden sowohl NTFS-Rechte als auch Freigabe Rechte berücksichtigt.
Und das System einigt sich auf den kleinsten gemeinsamen nenner.

Fast - der kleinste gemeinsame Nenner, wenn du das auf die Kombination von Freigabe- und NTFS-Rechten beziehst. Bei den NTFS-Rechten greift aber das maximal zulässige Recht.

Wenn auf NTFS Ebene das Recht "Ändern" aktiviert wird, wird auch gleichzeitig das Schreibrecht aktiviert.

Was erwartest du anders ? Genau das sagt das Recht zum Ändern aus. Schreibrecht in dem Ordner

Das Schreibrecht wird aber nicht automatisch deaktiviert, wenn bei dem Recht "Ändern" der Hacken entfernt wird.

Auf allen anderen Windows-Servern passiert genau das: Nach dem Entfernen des Hakens kann nicht mehr in dem Ordner geschrieben werden.

Der Hacken beim Recht "Schreiben" muss noch deaktiviert werden. Dies habe ich die ganze Zeit übersehen

Ich glaube her, du hast übersehen, dass der Benutzer durch irgendeine andere Einstellung die notwendigen Rechte zum Schreiben bekommen hat. Wenn du dannd en Hakeb bei "verweigern" setzt, dann hast du diese einstellung durch das explizite deny überschrieben, weil das Verweigern immer Vorrang hat vor den erlaubten Aktionen.

Gruß
Hubert
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst Oracle ODBC Treiber in Windows 2008 R2 (3)

Frage von kschi12 zum Thema Windows Server ...

Windows Server
gelöst Windows 2008 R2 Backup Domaincontroller als Primary DC heraufstufen (2)

Frage von adrian138 zum Thema Windows Server ...

Windows Server
gelöst Windows 2008 R2 RODC zum DC machen (4)

Frage von derLenhart zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...