Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriffsrechte für WebDAV vergeben

Frage Microsoft Windows Server

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

06.09.2011 um 15:35 Uhr, 13129 Aufrufe, 17 Kommentare

Hallo an alle,

habe mir einen WebDAV-Zugang mit Windows Server 2008 und IIS 7.5 in einer 2008-Domäne eingerichtet. Der Zugang soll als Dateiserver dienen. Zum besseren Verständnis hier mal die Beispielstruktur.

User 1-3 sollen Leserechte auf alle Ordner haben, Schreibzugriff auf den eigenen.
Ordner1 --> Schreibzugriff User1
Ordner2 --> Schreibzugriff User2
Ordner3 --> Schreibzugriff User3

Die NTFS-Berechtigungen sind gesetzt.

Mein Problem: Solange ich die WebDAV-Erstellungsregeln nicht angelegt habe, funktioniert der WebDAV-Zugriff nicht. Ich muss allen Benutzern Leserechte einräumen, wenn ich nicht jeden Benutzer einzeln in den Erstellungsregeln verwursten will. Die Benutzer mit Schreibrechten dürfen durch die Erstellungsregeln aber in JEDEN Ordner schreiben, es sei denn, ich verbiete in den NTFS-Berechtigungen explizit das Schreiben. Ich habe jetzt aber ca. 30 Benutzer, die alle einen eigenen Ordner haben. Ich müsste also theoretisch in den Erstellungsregeln allen 30 Benutzern Schreibrechte gewähren und dann noch das Schreiben auf die anderen Ordner verbieten.

Das kann doch so nicht sein, oder? Kann ich das nicht irgendwie einstellen, dass sofort die NTFS-Berechtigungen greifen?
Mitglied: Xaero1982
06.09.2011 um 23:10 Uhr
Hi,

also kann ich irgendwie nicht nachvollziehen.

Ich habe heute auch nen Webdav auf einem 2008 R2 eingerichtet.

Ordner sind mit entsprechenden Berechtigungen gesetzt.
Ordner auf die der User keine Berechtigungen hat sieht er nicht. Ordner bei denen nur lesen eingestellt ist können auch keine Dateien schreiben etc.

Also hast du wohl irgendwas an deinen Entstellungen vergurkt!

Was für eine Authentifizierung hast du eingestellt?

Was hast du sonst noch für Einstellungen gesetzt?

VG
Bitte warten ..
Mitglied: Coreknabe
07.09.2011 um 09:57 Uhr
Moin Xaero,

vielen Dank für Deine Antwort, WebDAV-User scheinen selten zu sein

Ich gehe auch mal davon aus, dass ich irgendwo falsche Einstellungen vorgenommen habe, da ich mir nicht vorstellen kann, dass jemand sich ein so selten dämliches Konzept überlegt...

Hast Du bei Dir nur die NTFS-Berechtigungen eingestellt und sonst nichts?
Wenn ich das bei mir mache, bekomme ich keinen Zugriff, ich muss erst WebDAV-Erstellungsregeln hinzufügen. Was noch zu erwähnen ist: Der Zugriff auf das WebDAV erfolgt über Bitkinex (www.bitkinex.com) und ist SSL-verschlüsselt.
Ich muss über die Erstellungsregeln Schreibrechte für die einzelnen Benutzer gewähren, will ich dieses Recht auf einzelne Ordner beschränken, muss ich in den NTFS-Berechtigungen das Schreibrecht für den jeweiligen Benutzer explizit verweigern. Alternativ kann ich einen Pfad für die Schreibrechte des Benutzers in der Erstellungsregeln angeben.

Der betreffende Ordner ist gleichzeitig per Samba freigegeben.

Folgende Authentifizierung habe ich IIS-seitig gesetzt:
Anonyme Authentifizierung, ASP-NET-Identitätswechsel und Formularauthentifizierung sind DEAKTIVIERT, Windows-Authentifizierung ist AKTIVIERT.

Wie erfolgt bei Dir der Zugriff? SSL-verschlüsselt? Direkt aus dem Windows-Explorer heraus?
Bitte warten ..
Mitglied: Xaero1982
07.09.2011 um 12:57 Uhr
Moin,

ja irgendwie schon aber ich habe hier auch schon viele Fragen gestellt und einige blieben unbeantwortet.

Also was hab ich gemacht:

IIS installiert inkl. Webdavveröffentlichung.
Im IIS Mgr dann unter Default Web Site:
  • WebDav-Erstellungsregeln:
            • WebDav aktivieren
            • Erstellungsregel hinzufügen: Gesamter Inhalt; Alle Benutzer; Lesen,Quelle,Schreiben
  • Autorisierungsregeln: Alle Benutzer
  • Verzeichnis durchsuchen: Aktiviert
  • Authentifizierung: Nur Windows-Authentifizierung

Unter Default Web Site ein Virtuelles Verzeichnis hinzugefügt.
  • Alias: Beliebig - landet hinter dem Domänen bzw. Servernamen z.b. http://Servername/Dateien(Alias)
  • Physikalischer Pfad: Der Ordner der freigegeben werden soll.
ACHTUNG: Scheinbar ist es hier nicht möglich komplette Laufwerke a la E:\ einzutragen. Wir haben es über eine Verknüpfung gelöst.
Wenn es ein Unterordner ist z.B. E:\Dateien\ kein Problem.

SSL spielt hier keine Rolle - wenns ohne geht, gehts auch mit. War bei uns zumindest so.

NTFS Berechtigungen sind die gleichen die hier auch für die SMB Freigabe genutzt werden. Wird alles über Sicherheitsgruppen verwaltet mit entsprechend eingetragenen Benutzern.

Ehm ja was noch mhhh ...

Nutzung geht sowohl über den Explorer, als auch über BItkinex und zur normalen Ansicht auch über den IE/Opera/FF (Achtung: IE 8 und Webdav auf Basis des IIS 7.5 funktionieren nicht)

VG
Bitte warten ..
Mitglied: Coreknabe
07.09.2011 um 14:18 Uhr
Danke nochmals für die ausführliche Antwort.

Ich kann mich drehen und wenden, wie ich will, habe jetzt als einzige Erstellungsregel die folgende:
Gesamter Inhalt / Alle Benutzer / Lesen / Quelle / Schreiben

Resultat: Jeder authentifizierte Domänenbenutzer darf in JEDEN ORDNER schreiben, auch wenn ich für den angemeldeten Benutzer NTFS-seitig nur Schreibrechte für einen bestimmten Ordner erlaubt habe. Das kann ich nur durch Verweigerung (NTFS) oder genauere Definition der Erstellungsregeln ändern (Jeder darf lesen, für den jeweiligen Benutzer ist ein Pfad hinterlegt, inkl. Schreibrecht). Was die Pfade angeht, hast Du übrigens recht, da hat der Microsoft-Inder, der das programmiert hat, sich scheinbar wieder nicht an die ansonsten gültige Logik gehalten. Ich kann nur Pfade innerhalb der Wurzel ohne Laufwerksbuchstaben angeben. Etwas verwirrend, aber noch verständlich.

Das kann doch aber nicht sein, wofür sind dann die NTFS-Berechtigungen vorhanden, wenn ich eh alles noch einmal in den Erstellungsregeln definieren muss ?!?

Was meinst Du mit Autorisierungsregeln? Finde ich auf Anhieb nicht?
Bitte warten ..
Mitglied: Xaero1982
07.09.2011 um 14:27 Uhr
Kein Problem

Wundert mich ehrlich gesagt, denn mir klappte das alles auf Anhieb.
Ich sehe nur das wozu ich berechtigt bin.

Administrator sieht z.b. alle Ordner, weil er in allen NTFS Sicherheiten eingestellt ist.

Benutzer X sieht nur zwei Ordner und hat dort auch nur die entsprechenden Berechtigungen z.b. nur lesen, nicht schreiben.

Es gibt bei der Installation:
URL-Autorisierung - das sind die Autorisierungsregeln. Versuch die mal noch nach zu installieren.

Ich kann in den Webdav-Regeln natürlich alle einstellen, weil der Rest über die NTFS Regeln läuft.

Wie genau sind denn die NTFS Berechtigungen bei dir gesetzt? Welche Benutzer/Gruppen sind auf Ordner xxx eingestellt?

VG
Bitte warten ..
Mitglied: Coreknabe
07.09.2011 um 15:14 Uhr
So, habe jetzt mal die URL-Autorisierung nachinstalliert.

Bringt trotzdem nix, ich kann weiterhin mit einem beliebigen Benutzer überall reinschreiben....
Bitte warten ..
Mitglied: Xaero1982
07.09.2011 um 18:44 Uhr
Mhh...

Wie gesagt ... mach mal am besten Screens von den NTFS Berechtigungen.

Kannst du mir auch gerne per PM schicken ...!

VG
Bitte warten ..
Mitglied: Coreknabe
08.09.2011 um 13:50 Uhr
Ich kann nichts dafür, da waren so viele Bäume im Weg, die mir die Sicht auf den Wald versperrt haben!

Hab's jetzt gelöst, es lag an den NTFS-Berechtigungen. Für die Freigabe waren derart viele Benutzer eingetragen, dass ich folgendes übersehen habe:

WebDAV-Server\Benutzer dürfen lesen + Spezielle Berechtigungen. Und was stand in den speziellen Berechtigungen? Richtig...

Was ich allerdings immer noch nicht verstehe: Lösche ich die Berechtigungen für WebDAV-Server\Benutzer komplett, dann bekomme ich keinen Zugriff mehr auf die WebDAV-Freigabe, Bitkinex meldet dann "HTTP: Internal Server Error". WebDAV-Server\Benutzer MUSS zwingend Leseberechtigungen auf die Freigabe haben, sonst funktioniert's nicht. Ist das bei Dir auch so?
Bitte warten ..
Mitglied: Xaero1982
08.09.2011 um 15:55 Uhr
Na das ist doch schön

Ehm, na wenn du die NTFS Berechtigungen löscht, dann kann der Nutzer auch nicht mehr darauf zugreifen - auf was auch? Darf er ja nicht?
Oder missverstehe ich dich?
Leseberechtigung ist das Minimum für den Webdav-Zugriff.

VG
Bitte warten ..
Mitglied: Coreknabe
08.09.2011 um 16:18 Uhr
Ne, klarer Fall von Missverständnis

Der Benutzer, der zugreifen soll, gehört einer AD-Gruppe an, die Zugriffsrechte hat. Wenn ich aber die LOKALE Gruppe "Benutzer" auf dem Server aus den Zugriffsberechtigten für die Freigabe herausnehme, kommt es beim Verbindungsversuch zum oben beschriebenen Fehler.

Also nehmen wir mal an, der Benutzer heißt "schulze". Schulze ist Mitglied der AD-Gruppe "vertrieb", die Zugriffsberechtigungen für die Gruppe vertrieb sind gesetzt. Jetzt entferne ich die lokale Gruppe "Benutzer" aus den NTFS-Berechtigungen. --> HTTP: Internal server error.

Verstehe ich nicht? Deshalb die Frage, ob das bei Dir auch so ist...
Bitte warten ..
Mitglied: Xaero1982
08.09.2011 um 18:07 Uhr
Ehm sehr merkwürdig?
Bei mir haben die Domänen-Benutzer auf die Hauptebene Zugriff und auf die Unterordner nur die entsprechenden Nutzer.

VG
Bitte warten ..
Mitglied: Coreknabe
09.09.2011 um 09:25 Uhr
Moin,

nun denn, vielleicht ne Eigenart von Bitkinex? Wenn mir mal wieder langweilig ist, versuche ich das ganze Mal zu analysieren. Für den Moment läuft ja alles und ich kann mich wieder anderen Dingen widmen, die ich nicht verstehe

Dir vielen lieben Dank für Deine Antworten und für die Mühen, wünsche Dir ein schönes Wochenende!

P.S.: Wenn Du mal Interesse an Austausch von "Schulthemen" hast, melde Dich gern (auch per PM), vielleicht können wir uns da ja mal gegenseitig helfen?
Bitte warten ..
Mitglied: Xaero1982
09.09.2011 um 21:19 Uhr
Hi,

eigentlich habe ich die gleichen Ergebnisse im Explorer wie mit Bitkinex ...! Also keine Ahnung woran es liegt ...

Gerne - dafür ist das Forum ja da. Dir auch, danke.

PS: Was meinst du mit "Schulthemen"?
Bitte warten ..
Mitglied: Coreknabe
12.09.2011 um 10:20 Uhr
Moin Xaero,

sorry, da habe ich Dich verwechselt... War der Meinung, dass Du schon mal was zum Thema "EDV-Infrastruktur in Schulen / Hochschulen" gepostet hast, haste aber gar nicht

Also noch mal ein großes Dankeschön, vielleicht lesen wir uns ja hier mal wieder!
Bitte warten ..
Mitglied: Xaero1982
12.09.2011 um 17:01 Uhr
Hi,

naja ich arbeite schon in einer Schule aber was du damit nun gemeint hast ... weiß ich nicht

Aber gerne doch!

VG
Bitte warten ..
Mitglied: Coreknabe
12.09.2011 um 19:40 Uhr
Auweia,

bin ich schon wieder wirr

Mit "Schulthema" meine ich Sachen wie PC-Wächter und Co.

Bei Bedarf also immer gern!
Bitte warten ..
Mitglied: Xaero1982
12.09.2011 um 20:04 Uhr
))

Okay ... na hier tümmeln sich einige Leute rum die Schulen betreuen ...

Irgendwie habe ich hier allerdings noch keinen gefunden der in Berlin tätig ist.

VG
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
GPO werden nicht an Window 7 Clients vergeben (5)

Frage von Tealk144 zum Thema Windows Server ...

Hyper-V
gelöst Hyper-V CPU vergeben (9)

Frage von adrian138 zum Thema Hyper-V ...

SAN, NAS, DAS
gelöst Synology DS216j - Webdav (9)

Frage von Xaero1982 zum Thema SAN, NAS, DAS ...

Debian
gelöst Windows-Freigabe unter Debian Rechte vergeben (6)

Frage von maddig zum Thema Debian ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...