123859
Goto Top

Windows Freigabe: Zugriff auf alle Ordner trotz Sicherheitseinstellungen

Hallo zuammen,

ich habe folgendes Problem.

Wir haben unsere Netzlaufwerke so umgestellt, dass wir die Privaten Userlaufwerke über den UNC-Pfad nicht mehr sehen können. Das funktioniert mit einer Freigaben über den übergeordneten Ordner als $-Freigabe. Nur kann ich als einziger auf alle privaten Laufwerke zugreifen, obwohl ich die alten Freigaben und die Sicherheitseinstellungen komplett überarbeitet habe. Aktuell sollte nur der jeweilige Benutzer und der Administrator zugriff haben, da Sie als Vollzugriff haben und der Administrator der Besitzer ist. Jedoch kann auch ich mit meinem stink normalen Benutzer, welcher kein Administrator ist, und die gleichen Rechte hat wie alle anderen User auf alle Laufwerke zugreifen. Jedoch verstehe ich nicht warum. Der Ordner mit der $-Freigabe sowie die Festplatte auf der der Ordner liegt haben als Sicherheitseinstellung und als Besitzer nur den Administrator und die User Gruppe...

Mit freundlichen Grüßen
Pandreas

Content-Key: 330010

Url: https://administrator.de/contentid/330010

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: emeriks
emeriks 20.02.2017 um 15:09:03 Uhr
Goto Top
Hi,
bitte unterscheide für uns "sehen" und "zugreifen" und "Zugriff haben". Ich kann etwas sehen und darauf zugreifen wollen und trotzdem die Meldung bekommen "Zugriff verweigert".

Das mit dem "$" nennt man einfach eine versteckte Freigabe.
Wo hast Du die Rechte geändert? In den Freigabe-Berechtigungen oder in den NTFS-Berechtigungen der/des Ordner/s?

Eigenschaften der Freigabe --> Freigabe-Berechtigungen
Eigneschaften des freigegebenen Ordners --> NTFS-Berechtigungen für den Stammordner
Eigenschaften eines Benutzerordners --> NTFS-Berechtigungen für diesen Benutzerordner

Bei einem Benutzerordner sollten keine Benutzergruppe drin stehen, sondern nur der Benutzer selbst und ggf. die Gruppe der betreffenden Administratoren. Ich empfehle, auch "SYSTEM" mit Vollzugriff hinzuzufügen.

E.
Mitglied: 123859
123859 20.02.2017 um 15:46:24 Uhr
Goto Top
Ich "sehe" und kann "zugreifen". Die anderen User können "sehen" aber nicht "zugreifen".

Das folgende habe ich als Administrator direkt auf dem Server gemacht:
Ich habe die Freigaben die zuvor auf den einzelnen Benutzerlaufwerken waren entfernt und für den übergeordneten Ordner eine versteckte Freigabe erstellt. Danach habe ich die Rechte für diese eine Freigabe so bearbeitet, dass Jeder darauf Zugriff hat. Danach habe ich unter dem Reiter "Sicherheit" zwei Gruppen hinzugefügt. Die Gruppe mit den Benutzern und die mit den Administratoren. Dann habe ich unter den Sicherheitseinstellungen für die einzelnen Benutzerordner den Besitzer auf den Administrator geändert (nicht auf die Administratoren-Gruppe). Dann habe ich als Zugriffsberechtigte die Administratoren-Gruppe und den jeweiligen User für den Ordner ausgewählt.

"SYSTEM" brauchen wir nicht als Vollzugriff, da wir eine Active Directory verwenden.

Ich möchte nochmal erwähnen, dass mir klar ist dass ich mit dem Benutzer "Administrator" zugriff auf die einzelnen Ordner habe. Was mir nicht klar ist, ist warum ich mit meinem eigenen User welcher nicht in der Administratoren Gruppe ist zugriff auf alle Ordner habe.

Ich hänge an dieser Stelle nun Bilder an, da es so bestimmt ersichtlicher wird was mein Problem ist. (ich bin nicht Benutzer xyz, habe aber trotzdem zugriff auf seinen Ordner).
1
2
Mitglied: Kraemer
Kraemer 20.02.2017 um 16:50:33 Uhr
Goto Top
Moin,

dein Aufbau ist totaler Murks!

"SYSTEM" brauchen wir nicht als Vollzugriff, da wir eine Active Directory verwenden.
An dieser Aussage merkt man schon, dass du das ganze Berechtigungssystem leider nicht verstanden hast!

Die Benutzer sollten Besitzer ihrer Ordner werden, dann kannst du den Zugriff über "Besitzer" regeln. Siehe erweitere Berechtigungen - nur Unterordner und Dateien.

Gruß Krämer
Mitglied: 123859
123859 21.02.2017 um 08:25:26 Uhr
Goto Top
Hallo Kraemer,

System habe ich nun auch hinzugefügt, und als Besitzer den jeweiligen User für seinen Ordner sowie die Unterordner ausgewählt.
Leider habe ich nach wie vor als einziger Standardbenutzer Zugriff auf alle Userordner was so nicht sein soll...

Gruß Pandreas
Mitglied: emeriks
emeriks 21.02.2017 um 08:36:40 Uhr
Goto Top
Die Bilder zeigen leider nicht, welche Rechte genau die "Benutzergruppe" für den Stammordner hat.
Sind die Benutzerkonten denn überhaupt Mitglieder dieser "Benutzergruppe"? Wurden sie seit dem Hinzufügen zu dieser Gruppe neu angemeldet? (Bei TS/RDP nicht bloß trennen sondern explizit abmelden!)
Sind die Anwender tatsächlich mit dem jeweiligen Domänen-Konto angemeldet und nicht etwa mit einem lokalen Konto?
Wenn Du von Deinem Standardbenutzer redest, meinst Du dann den Administrator oder ein extra Nicht-Admin-Konto für Deine normale Arbeit?
Mitglied: Kraemer
Kraemer 21.02.2017 um 08:37:01 Uhr
Goto Top
Ordner user:
1. Vererbung deaktivieren
2. Prinzipal System: Vollzugriff auf diesen Ordner, Unterordner und Dateien
3. Prinzipal Ersteller-Besitzer: Vollzugriff auf Unterordner und Dateien
3. Prinzipal: Domänen-Benutzer: Zulassen nur diesen Ordner Lesen, Ausführen + Ordnerinhalt anzeigen + Lesen
4. Dein(e) Administratoren - ich denke die willst du so haben wie den Besitzer

Die Unterordner erben die Sicherheitseinstellungen vom Ordner user - Besitzer ist entsprechend anzupassen.

Gruß Krämer
Mitglied: emeriks
emeriks 21.02.2017 um 08:39:35 Uhr
Goto Top
Die Benutzer sollten Besitzer ihrer Ordner werden, dann kannst du den Zugriff über "Besitzer" regeln. Siehe erweitere Berechtigungen - nur Unterordner und Dateien.
Aber nicht für den Stamm-Ordner des eigenen Homedirectory (\\server\freigabe\%username%) ! Weil er sonst anderen Benzutern/Gruppen für sein eigenes Homedirectory Rechte erteilen könnte. Es sein denn, man will das so haben.
Mitglied: Kraemer
Kraemer 21.02.2017 um 08:44:11 Uhr
Goto Top
Zitat von @emeriks:

Die Benutzer sollten Besitzer ihrer Ordner werden, dann kannst du den Zugriff über "Besitzer" regeln. Siehe erweitere Berechtigungen - nur Unterordner und Dateien.
Aber nicht für den Stamm-Ordner des eigenen Homedirectory (\\server\freigabe\%username%) ! Weil er sonst anderen Benzutern/Gruppen für sein eigenes Homedirectory Rechte erteilen könnte. Es sein denn, man will das so haben.

Sieh dir erst einmal meine genaue Beschreibung an. Das ist schon richtig so, wie ich es sage!
Mitglied: emeriks
emeriks 21.02.2017 um 08:53:59 Uhr
Goto Top
Du kannst Rechte vergeben, was Du willst. Wenn ein Benutzer Besitzer eines Ordners ist, dann kann er die ACL dieses Ordners jederzeit ändern.
Also beim Stamm-Ordner des Homdirectory (nicht verwechseln mit dem Stamm-Ordner der Homedirectrory-Freigabe -- dort sowieso nicht) sollte man das nur machen, wenn man keine Probleme damit hat, wenn der Benutzer dort an der ACL rumfummeln kann.
Mitglied: 123859
123859 21.02.2017 aktualisiert um 14:23:20 Uhr
Goto Top
1. Vererbung ist deaktiviert.
2. Wird angewendet.
3. wird auch so angewendet.
4. Die Administratorengruppe hat Voll-Zugriff.

So funktioniert das jetzt ja auch. Nur leider kann ich trotz alle dem als Standard User auf die anderen User-Laufwerke zugreifen.
Obwohl nur der User, das SYSTEM und die Administratoren Zugriff haben können.

Grüße Pandreas
Mitglied: emeriks
emeriks 21.02.2017 um 14:41:06 Uhr
Goto Top
So funktioniert das jetzt ja auch. Nur leider kann ich trotz alle dem als Standard User auf die anderen User-Laufwerke zugreifen.
Obwohl nur der User, das SYSTEM und die Administratoren Zugriff haben können.
Du wärst nicht der Erste, der sich selbst verarscht.
Poste doch bitte mal eine Ausgabe, z.B. von icalcs.
icalcs \\server\freigabe\{benutzername}
Mitglied: 123859
123859 21.02.2017 um 15:56:55 Uhr
Goto Top
unbenannt

(Das verpixelte ist nur der Domänenname)
Mitglied: emeriks
emeriks 21.02.2017 um 16:01:59 Uhr
Goto Top
Danke. Jetzt kann man folgen.
Und wenn "bstefan" angemeldet ist, dann kann er den Ordner von "mandreas" öffnen? Und Inhalte lesen oder gar ändern/löschen?
Mitglied: 123859
123859 21.02.2017 aktualisiert um 16:19:30 Uhr
Goto Top
Nein.
Wenn ich als "pandreas" an der Domäne angemeldet bin kann ich auf alle unsere Userlaufwerke (bspw. mandreas & bstefan) zugreifen. "bstefan" und "mandreas" wiederrum können nur auf ihren eigenen Ordner zugreifen. Bei den anderen Ordnern wird Ihnen "Zugriff verweigert" angezeigt.
Mitglied: Kraemer
Kraemer 21.02.2017 um 16:17:29 Uhr
Goto Top
Zitat von @123859:
Wenn ich als "pandreas" lokal ...
du meinst also, dass du dich lokal am Rechner und nicht an der Domäne anmeldest? Dann würde ich mal sagen, dass du für diesen Benutzer die Credentials des Administrators für den Server hinterlegt hast.

Gruß Krämer
Mitglied: 123859
123859 21.02.2017 um 16:19:10 Uhr
Goto Top
Sorry, Lokal ist blöd ausgedrückt. Wenn ich mich an der Domäne von meinem lokalen Rechner aus anmelde...
Mitglied: 123859
123859 21.02.2017 um 16:21:30 Uhr
Goto Top
Auf dem Server unter "Lokale Benutzer und Gruppen" ist nur der Domänenadministrator und der lokale Administrator drin...
Mitglied: emeriks
emeriks 21.02.2017 um 21:03:27 Uhr
Goto Top
Wenn ich als "pandreas" an der Domäne angemeldet bin kann ich auf alle unsere Userlaufwerke (bspw. mandreas & bstefan) zugreifen. "bstefan" und "mandreas" wiederrum können nur auf ihren eigenen Ordner zugreifen. Bei den anderen Ordnern wird Ihnen "Zugriff verweigert" angezeigt.
Sorry, aber das kann ich nicht wirklich glauben.
Hast Du "pandreas" auf dem Client (dort, von wo aus Du zugreifst) schon mal richtig abgemeldet? Und dann wieder angemeldet. Oder gar es auch von einem anderen Client aus versucht?
Sind auf diesem Client "Offline Files" aktiviert? Ist die Freigabe "User$" für das Cachen von Offline Files konfiguriert? Falls beides ja: Deaktiviere mal die Offline Files am Client und boote den durch. Dann nochmal testen.

Gehst Du dabei direkt über den UNC oder über ein verbundenes Netzlaufwerk? Falls Netzlaufwerk: Wie wird dieses verbunden? Werden dabei vielleicht abweichende Anmeldedaten übergeben? (Das kannst Du auch am Server sehen. Unter Computerverwaltung --> Sitzungen --> welcher Bednutzername steht da beim betreffenden Client?) Oder wurden diese irgendwann einmalig beim Verbinden des Laufwerks angegeben mit gesetztem Haken "speichern"? Auch das kannst Du ausschließen, indem Du "pandreas" mit einem frischem Benutzerprofil anmeldest.

Der Server ist ein Windows? Und nicht etwa irgendein CIFS-NAS ?
Mitglied: 123859
123859 22.02.2017 um 12:12:02 Uhr
Goto Top
Zitat von @emeriks:
Hast Du "pandreas" auf dem Client (dort, von wo aus Du zugreifst) schon mal richtig abgemeldet? Und dann wieder angemeldet. Oder gar es auch von einem anderen Client aus versucht?

Da liegt wohl der Fehler. Ich hatte es eigentlich mit ein paar Rechnern versucht, jedoch immer mit dem selben Ergebnis. Nun sieht es so aus als wären es die Lokalen Benutzer und Gruppen. Dort steht in der Administratorgruppe mein Name drin.

Nur wenn ich dort meinen User rausnehme und neustarte komme ich immer noch auf die Userlaufwerke...

Der Server ist ein W2008R2 und mein Client ein W10 Version 1607. Das war jedoch bis gestern noch ein Win8.1 Rechner.

Die Rechner mit denen ich das Untersucht haben waren alle W7 W8 oder W10 Rechner.
Mitglied: emeriks
emeriks 22.02.2017 um 13:34:51 Uhr
Goto Top
Ich verstehe bloß "Bahnhof".
Deine Antworten passen irgendwie nicht zusammen.

Da liegt wohl der Fehler.
Wo? Auf das Zitat davor bezogen oder auf Deinen Satz danach?

Wenn Du es von verschiedenen Rechner aus versucht hast, dann können wir Offline Files also ausschließen? Schön, dass Du da so "ausführlich" drauf eingegangen bist.

Lokale Gruppen von was? Den Clients oder des Servers? Mitgliedschaft in Lokale Gruppen des Clients sind irrelevant für Berechtigungen auf dem Server.
Mitglied: 123859
123859 22.02.2017 aktualisiert um 14:16:21 Uhr
Goto Top
Offline Files sind auszuschließen. Bin gerade etwas in Eile, deswegen die Kurze "ausführung". Die Lokale Gruppe bezieht sich auf die des Clients. Ich weiß dass diese Irrelevant sind, jedoch kann ich auf meinem Client sowie meinem Laptop, ohne Probleme auf die Netzlaufwerke der anderen User zugreifen. Wenn ich mich jedoch auf einen anderen Client mit "Pandreas" anmelde komme ich nur auf mein Laufwerk.

Da liegt wohl der Fehler.
Wo? Auf das Zitat davor bezogen oder auf Deinen Satz danach?
Der Fehler bezieht sich auf das Zitat und auf die weitere Ausführung von meiner Seite.

Wenn Du es von verschiedenen Rechner aus versucht hast, dann können wir Offline Files also ausschließen? Schön, dass Du da so "ausführlich" drauf eingegangen bist.
Offline Files sind auszuschließen. Bin gerade etwas in Eile, deswegen die Kurze "Ausführung".

Lokale Gruppen von was? Den Clients oder des Servers? Mitgliedschaft in Lokale Gruppen des Clients sind irrelevant für Berechtigungen auf dem Server.
Die Lokale Gruppe bezieht sich auf die des Clients. Ich weiß dass diese Irrelevant sind, jedoch kann ich auf meinem Client sowie meinem Laptop (angemeldet als Pandreas), ohne Probleme auf die Netzlaufwerke der anderen User zugreifen. Wenn ich mich jedoch auf einen anderen Client mit "Pandreas" anmelde komme ich nur auf mein Laufwerk und auf die anderen erhalte ich die Zugriff verweigert Meldung.

Wenn sich andere auf meinem Rechner anmelden können Sie auch nur auf Ihr Laufwerk zugreifen.

Grüße Pandreas
Mitglied: emeriks
emeriks 22.02.2017 um 14:10:47 Uhr
Goto Top
Ich glaube, ich sollte mich ausklinken ... face-sad

Wenn ich mich jedoch auf einen anderen Client mit "Pandreas" anmelde komme ich nur auf mein Laufwerk.

Ich hatte es eigentlich mit ein paar Rechnern versucht, jedoch immer mit dem selben Ergebnis.

Diese Aussagen widersprechen sich und es macht echt keinen Spaß mehr!

Wenn sich andere auf meinem Rechner anmelden können Sie auch nur auf Ihr Laufwerk zugreifen, alle anderen sind nicht verbunden.
Und "zugreifen" und "verbunden" sind ebenfalls Äpfel und Birnen, welche man bekanntlich nicht vergeleichen kann!

Ach, soll es ein/e andere/r versuchen ....
Mitglied: 123859
123859 22.02.2017 aktualisiert um 14:15:08 Uhr
Goto Top
Schade, trotzdem Danke face-smile

Gruß Pandreas
Mitglied: Kraemer
Kraemer 22.02.2017 aktualisiert um 15:55:24 Uhr
Goto Top
Ich sehe es wie @emeriks . Wenn der TO sich nicht einmal die Zeit nimmt, hier klare Aussagen zu treffen, habe ich auch keine Lust meine Zeit dafür zu verschwenden.
Mitglied: 123859
123859 23.02.2017 um 12:47:16 Uhr
Goto Top
So ich habs... Ich habe den Vollzugriff des Domänenadmins aus dem Sicherheitsreiter entfernt und nun kann ich als Standardbenutzer auch nicht mehr auf die Userlaufwerke der anderen drauf. Fragt mich nicht wieso mein Standarduser mit dem Administrator verbunden ist, oder wie zur Hölle das Funktioniert.

Ich hab keine Ahung.

Grüße Pandreas
Mitglied: emeriks
emeriks 23.02.2017 um 13:04:29 Uhr
Goto Top
So ich habs... Ich habe den Vollzugriff des Domänenadmins aus dem Sicherheitsreiter entfernt und nun kann ich als Standardbenutzer auch nicht mehr auf die Userlaufwerke der anderen drauf. Fragt mich nicht wieso mein Standarduser mit dem Administrator verbunden ist, oder wie zur Hölle das Funktioniert.
Märchenstunde ...

Ich hab keine Ahung.
Ganz sicher.

Warum schreibe ich das? Damit andere, die es auch erst noch lernen müssen, nicht auf solche Zusammenhänge schließen.
Mitglied: Kraemer
Kraemer 23.02.2017 um 14:37:09 Uhr
Goto Top
Zitat von @123859:

So ich habs... Ich habe den Vollzugriff des Domänenadmins aus dem Sicherheitsreiter entfernt und nun kann ich als Standardbenutzer auch nicht mehr auf die Userlaufwerke der anderen drauf. Fragt mich nicht wieso mein Standarduser mit dem Administrator verbunden ist, oder wie zur Hölle das Funktioniert.

Ich hab keine Ahung.

Grüße Pandreas
ja ne ist klar.
Das Problem solltest du dringlichst in den Griff bekommen - sprich besorg dir Ahnung!