Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2008 - Frage zur ABE

Frage Microsoft Windows Server

Mitglied: phatair

phatair (Level 1) - Jetzt verbinden

27.01.2012, aktualisiert 14:10 Uhr, 3647 Aufrufe, 14 Kommentare

Hallo zusammen,

ich habe eine Frage zu ABE in Windows Server 2008.

Ich habe eine Freigabe und auf diese Freigabe ist ABE aktiviert. Trotz atkivierter ABE kann ich mit einem User alle dort
enthaltenen Order und Dateien sehen. Wie müssen für diese Freigabe den die Freigabeberechtigungen und NTFS
Berechtigungen lauten damit dies nicht mehr der Fall ist und jeder User nur noch die Ordner sieht, die er laut NTFS Berechtigung
sehen darf.

Vielen dank schon mal im voraus.
Mitglied: goscho
27.01.2012 um 14:04 Uhr
Zitat von phatair:
Hallo zusammen,
Mahlzeit

Ich habe eine Freigabe und auf diese Freigabe ist ABE aktiviert. Trotz atkivierter ABE kann ich mit einem User alle dort
enthaltenen Order und Dateien sehen. Wie müssen für diese Freigabe den die Freigabeberechtigungen und NTFS
Berechtigungen lauten damit dies nicht mehr der Fall ist und jeder User nur noch die Ordner sieht, die er laut NTFS Berechtigung
sehen darf.
Du darfst nur noch den Usern Berechtigungen für diese Ordner geben, die diese Ordner auch nutzen sollen (+System und Admins, etc.).
So sollte zuerst mal die Jeder-Berechtigung verschwinden.
Zumeist ist die Vererbung aktiviert. Wenn du jedoch in Unterordnern andere Rechte vergeben willst, musst du diese Vererbung erst einmal auschalten.
Bitte warten ..
Mitglied: phatair
27.01.2012 um 14:09 Uhr
Hi goscho,
also wir haben z.B. einen Ordner "TEST" und unter diesem sind mehrere Unterordner.
Das würde also bedeuten das wir für den Ordner TEST nur den Admin und System berechtigen dürfen. Auf die Unterordner berechtigt man dann nur die User die auch diese Ordner sehen dürfen.
Ist das soweit richtig?
Bitte warten ..
Mitglied: Karo
27.01.2012 um 14:18 Uhr
Hoi,

wenn TEST der Einsprungspunkt ist, dann sollten auch die Gruppen, Verzeihung USER verrechte ich nie einzeln, darauf LIST Rechte haben. Darunter z.B. Unterordner1 Admin, System, GRUPPE1, Unterordner2 Admins, SYSTEM, GRUPPE2 etc. Auf den Unterordnern die Vererbung rausnehmen.

Karo
Bitte warten ..
Mitglied: phatair
27.01.2012 um 14:26 Uhr
Ok, das bedeutet also auf den "Einsprungspunkt" (wenn das die Freigabe ist) solle man alle Gruppen berechtigen die auf diese Freigabe Zugriff haben sollen. Jeder sollte man also nicht verwenden?

auf die einzelnen Unterordner vergibt man dann die Berechtigung für die Gruppen aber vererbt diese nicht durch
Bitte warten ..
Mitglied: Karo
27.01.2012 um 14:37 Uhr
nicht so ganz (wenn ich das richtig interpretiere )

Also JEDER ist immer GAAANZ böse und verleitet zu Sec-Problemen.

Auf dem Einstiespunkt, sprich in diesem Fall TEST haben die Administratoren und SYSTEM FULL-Rechte, die anderen Gruppen der Unterordner LIST-Rechte. Auf den Unterordnern wird die Vererbung ausgeschaltet. Bei Abfrage bei der Änderung ob die Rechgte von oben kopiert werden sollen mit 'NEIN' beantworten und dann die Verrechtung wie gewollt vergeben.

Karo
Bitte warten ..
Mitglied: phatair
27.01.2012 um 14:45 Uhr
Ok,
so habe ich das auch verstanden. Werde das mal so auf einem Test Ordner umsetzen und mich dann noch mal melden.

Vielen Dank schon mal für die ausführliche Hilfe!!
Bitte warten ..
Mitglied: phatair
27.01.2012 um 14:54 Uhr
Sehr cool - funktioniert soweit.

auf den Einstiegspunkt habe ich jetzt Admin, System FULL und den Gruppen nur LIST Rechte gegeben.

Darunter habe ich meine Unterordner und dort habe ich dann die jeweilige Gruppe berechtigt. Wenn dieser Unterordner wieder viele weitere Unterordner beinhaltet gebe ich auf diesen wieder nur LIST Rechte und vergebe dann für die weiteren Unterordner eigene Berechtigungen. So werden dann auch nur die gewünschten Ordner pro User angzeigt, richtig? Hoffe das versteht man ;)
Werde das aber auch noch mal testen.
Du/Ihr habt mir schon sehr viel wetier geholfen. DANKE!


EDIT: Jetzt gibt es nur noch ein Problem. Als Freigabeberechtigung habe ich jeder - lesen
Wenn ich nun in den Ordner die mir angezeigt werden etwas erstlelen möchte, bekomme ich die Meldung "Zugriff verweigert". Obwohl die NTFS Berechtigung für die Gruppe Ändern beinhaltet. Muss ich die Freigabeberchtigung auf ändern erhöhren? Oder was ist das Problem?
Bitte warten ..
Mitglied: Karo
27.01.2012 um 15:21 Uhr
"Authenticated USERS" = MODIFY (LESEN/SCHREIBEN) auf dem SHARE, JEDER Rausschmeissen. Wenn Du hier nur LESEN setzt, dann hat das Auswirkung auf die darunter liegende Verrechtung, denn das ist dann die höchste durchzuführende Verrechtung. ADMINS auf FULL

Die Zugriffsberechtigung machst Du auf NTFS-Ebene wie oben besprochen.

Wenns klappt, dann bitte diesen Post auf GELÖST setzen.

Karo
Bitte warten ..
Mitglied: phatair
27.01.2012 um 15:36 Uhr
Alles klar,

also bei der Freigabeberechtigung "Authenticated Users" mit Ändern Rechten und die "Admins" mit FULL Berechtigung eintragen.
Soblad ich das geschafft habe, werde ich das hier als gelöst markieren

P.S.
Mein Kollege fragt warum man auf den Einstiegspunkt nicht einfach JEDER eintragen kann da das ja nciht weiter durch vererbt wird. So würde man sich das einzelne Gruppen eintragen sparen... Ich habe keine Argumente warum nicht. Ist das wirklich so problematisch?
Könnte man statt den Gruppen auch mit authenticated user arbeiten?
Bitte warten ..
Mitglied: Karo
27.01.2012 um 15:54 Uhr
Natürlich kann man das alles machen, aber ich kann aus Erfahrung sagen, dass es sinnvoll ist die Sachen gleich festzuzurren und sicher zu machen, als solche 'Faulheits'-Lösungen zu basteln.
Wer gibt Dir denn Brief und Siegel, dass da nicht doch was in den Unterordnern vergessen wird einzuschränken?
Wer gibt die Sicherheit, dass nicht mal die Vererbung wieder aktiviert wird?
Wer sagt Dir, das nicht auch ein 'Authenticated User' Müll macht? Bei JEDER hast DU wirklich JEDEN am Zopf wenn was offen steht.
Willst Du Deinen Kopf dafür hinhalten? Security ist ein Schleudersitz!
... und und und ............

Karo
Bitte warten ..
Mitglied: phatair
27.01.2012 um 16:09 Uhr
OK, werde das mal so weiter geben
Denke ja auch das es besser ist von Anfang an alles richtig dicht zu machen.
Bitte warten ..
Mitglied: phatair
31.01.2012 um 14:27 Uhr
Auch wenn die Frage jetzt schon als "gelöst" markeirt ist, vielleicht kann mir ja noch jemand helfen.

Wenn ich nun auf den Einstiegspunkt - hier test, den Gruppen LIST Rechte gebe und die Vererbung dann unterbreche ist alles OK.
Nun habe ich unter dem Einstiegspunkt Test folgende ORdnerstruktur

TEST (Einstiegspunkt)
Ordner1
------------------Ordner2
------------------------------Ordner3
------------------Ordner2a
------------------Ordner2b


Wenn ich nun den Ordner 3 für einen Gruppe freigeben möchte, muss ich die Gruppe auf den Ordner 1 berechtigen mit "LIST" und dieses wird dann auf alle Unterordner vererbt. Das heißt für die Ordner 2a udn 2b muss ich die Gruppe wieder rausnehmen da sie diese Ordner nicht sehen sollen. Für Ordner 2 bleibt List bestehen und auf den Ordner3 gebe ich dann die Änderungs Berechtigung.
Das ist doch sehr umständlich. Geht das nicht irgendwie anders....einfach nur die Berechtigung afu Ordner 3 und Windows macht die Ordner "darüber" automatisch für die Gruppe als "LIST" frei?
Bitte warten ..
Mitglied: Karo
02.02.2012 um 11:54 Uhr
Hi,

nur wenn die User direkt auf den Unterordner gehen:
Beispiel: net use * \\SERVERNAME\TEST\Ordner1\Ordner2\Ordner3 (wenn auf Ordner 1 + 2 keine Rechte wären)
Ansonsten ist es klar, wenn Du die Vererbung auf einem Ordner rausnimmst ist das wie ne Mauer mit Tür: Nur wer einen Schlüssel hat (sprich Gruppenberechtigung) durch. Das ist Sinn und Zweck der Vererbung.

Karo
Bitte warten ..
Mitglied: phatair
02.02.2012 um 18:39 Uhr
Alles klar,
ist dann einfach etwas Umgewöhnung. vielen Dank noch mal für deine Hilfe!!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...