117471
Goto Top

Windows ACL auf "Unterordner"

"Moin",

für euch sicherlich eine banale Frage. Ich habe folgende Anforderung bekommen: "Der Benutzer soll im Ordner Hamburg ausschließlich auf den Unterordner 2017 zugreifen können, allerdings nicht auf dessen Unter-Unterordner "Buchhaltung".

Vereinfacht ausgedrückt sollte das so aussehen:
X:\Hamburg\ - hier darf er keine Dateiinhalte betrachten (aber gerne die Ordner- und Dateinamen sehen)
X:\Hamburg\2017\ - hier darf er alle Dateien lesen, schreiben, ändern, löschen usw.
X:\Hamburg\2017\Buchhaltung\ - hier darf er nichts

Bezüglich neuer Ordner habe ich mir überlegt, dass er grundsätzlich auch hier die Ordner- und Dateinamen sehen darf. Mehr aber auch nicht - im Zweifelsfall bekomme ich ein Ticket zwecks Erweiterung der Zugriffsrechte.

Ich möchte das Ganze so gestalten, dass ich möglichst wenig Pflegeaufwand habe und habe mir deshalb folgende Zugriffsrechte überlegt. Die Zugriffsrechte werden rekursiv auf die Ordner und alle darin enthaltenen Elemente angewandt:

Ordner X:\Hamburg\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen

Ordner X:\Hamburg\2017\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[X] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[X] Dateien erstellen / Dateien schreiben
[X] Ordner erstellen / Daten anhängen
[X] Attribute schreiben
[X] Erweiterte Attribute schreiben
[X] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen

Ordner X:\Hamburg\2017\Buchführung\
[ ] Vollzugriff
[ ] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[ ] Attribute lesen
[ ] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[ ] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen

Was haltet Ihr davon? Da ich eher in der Linux-Welt zu Hause bin und bezüglich Windows Server noch eine Menge zu lernen habe, bin ich entsprechend unsicher face-smile

liebe Grüße aus Bremen,
Jörg

Content-Key: 332078

Url: https://administrator.de/contentid/332078

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: 132692
132692 14.03.2017 aktualisiert um 13:15:14 Uhr
Goto Top
Hi,
das machst du über die "propagation flags" der ACE, und mit ABE sieht der User dann nur worauf er tatsächlich Zugriffsrechte besitzt, schau mal hier:
How to setup share and NTFS permissions to allow folder listing only but with full access to a specific folder?

P.
Mitglied: 117471
117471 14.03.2017 um 14:03:32 Uhr
Goto Top
Hallo,

das machst du über die "propagation flags" der ACE, und mit ABE sieht der User dann nur worauf er tatsächlich Zugriffsrechte besitzt,

Das ist leider alles in englisch, da verstehe ich kein Wort face-sad

Aus den Screenshots sehe ich auch, dass es sich um Windows Server 2012r2 handelt. Ich habe bei dem Kunden Windows Server 2008 im Einsatz. Gibt es da einen ähnlichen Mechanismus?

Gruß,
Jörg
Mitglied: 132692
Lösung 132692 14.03.2017 aktualisiert um 14:30:38 Uhr
Goto Top
Zitat von @117471:
Das ist leider alles in englisch, da verstehe ich kein Wort face-sad
Der war gut face-smile. Google Translator ist wohl ein Fremdwort ...in der heutigen Zeit nur eine Ausrede.
Aus den Screenshots sehe ich auch, dass es sich um Windows Server 2012r2 handelt. Ich habe bei dem Kunden Windows Server 2008 im Einsatz. Gibt es da einen ähnlichen Mechanismus?
Spielt keine Rolle geht genauso wie auf dem 2012er, selbst ABE ist seit 2008 mit an Bord.

Ist eigentlich nicht schwer, du gibst auf den Oberordner nur Leserechte (nicht vererbt auf Dateien sondern nur direkt untergeordnete Ordner, lässt sich in der ACE in den Details einstellen. Und dann vergibst du die gewünschten Rechte auf den Unterordner den er sehen darf, dann noch ABE auf dem Share aktiviert und schon sieht er nur noch das worauf er Zugriffsrechte hat.
Mitglied: 117471
117471 14.03.2017 um 14:58:54 Uhr
Goto Top
Zitat von @132692:

Ist eigentlich nicht schwer, du gibst auf den Oberordner nur Leserechte (nicht vererbt auf Dateien sondern nur direkt untergeordnete Ordner, lässt sich in der ACE in den Details einstellen. Und dann vergibst du die gewünschten Rechte auf den Unterordner den er sehen darf,

dankeschön! Ich glaube, die Angabe unter "Übernehmen für" ist der entscheidende Knackpunkt face-smile

Ich konnte mir unter "Aktienberechtigungen" (Google-Übersetzer) nicht viel vorstellen face-smile Tut mir leid, dass mein Englisch so schlecht ist. Vor ein paar Jahrzehnten hat man Englisch noch nicht in dem Umfang in der Schule gelernt.

Also, zusammengefasst würde ich es so machen:

Ordner X:\Hamburg\
Übernehmen für: "Diesen Ordner, Unterordner"
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen

Ordner X:\Hamburg\2017\
Übernehmen für: "Diesen Ordner, Unterordner und Dateien"
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[X] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[X] Dateien erstellen / Dateien schreiben
[X] Ordner erstellen / Daten anhängen
[X] Attribute schreiben
[X] Erweiterte Attribute schreiben
[X] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen

Ordner X:\Hamburg\2017\Buchführung\
Übernehmen für: "Diesen Ordner, Unterordner und Dateien"
[ ] Vollzugriff
[ ] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[ ] Attribute lesen
[ ] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[ ] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen

...und dann wie in https://www.windowspro.de/sites/windowspro.de/files/imagepicker/3/ABE-Fr ... gezeigt den Haken "Zugriffsbasierte Aufzählung" setzen?

Muss ich den Haken für meine Anforderung zwingend setzen? Ich könnte - wie bereits beschreiben - damit leben, wenn der Benutzer Sachen sehen kann, auf die er nicht zugreifen darf und würde das "im ersten Gedanken" sogar ganz gut finden (daher meine explizite Frage). Der Benutzer sieht so, dass es Dinge gibt, für die er Berechtigungen beantragen könnte und fängt nicht an, irgendwo eigene redundante Daten zu erzeugen?!?

Gruß,
Jörg