Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einrichten einer Ordnerfreigabe mit unterschiedlichen Benutzerberechtigungen auf einem Windows 2003 Server mit NTFS - Dateiberechtigungen

Anleitung Microsoft Windows Server

Mitglied: Atti58

Atti58 (Level 3) - Jetzt verbinden

09.05.2007, aktualisiert 18.10.2012, 61719 Aufrufe, 8 Kommentare, 2 Danke

Immer wieder taucht hier im Forum die Frage auf, wie man Zugriffsberechtigungen auf eine Ordnerfreigabe am sinnvollsten einrichtet. Im Folgenden möchte ich zeigen, wie man für einen kleinen Betrieb die Berechtigungen für unterschiedliche Abteilungen und Gruppen einrichtet. Dazu gehe ich davon aus, dass auf einem Windows 2003 Server eine Domäne existiert und auf einem NTFS - formatierten Laufwerk ein Stamm - Verzeichnis als Freigabe existiert. Dies sind nicht notwendige Annahmen, das Verfahren kann in leicht abgewandelter Weise auch auf "gewöhnliche“ Freigaben unter Windows XP angewendet werden, Voraussetzung ist lediglich das NTFS-Dateiformat

Man unterscheidet unter Windows zwei verschiedene Userberechtigungen, die auf Freigabeebene und die auf Dateisystemebene. Beide sind "UND“-verknüpft, das heißt, wenn man die Grundeinstellung der Userberechtigungen der Freigabe "Lesen“ beibehält und dem Domänenadmin "Vollzugriff" über das Dateisystem gibt, hat er trotzdem nur Leseberechtigung auf die Freigabe. Ich gehe im Tutorial ausschließlich auf die Userberechtigungen aus Dateisystemebene ein, die auf Freigabeebene setze ich für "Jeder“ auf "Vollzugriff“, besser wäre aber "Domänenbenutzer" auf Vollzugriff und "Jeder" löschen.

Ich verwende die Management-Konsole unter Windows XP zur Darstellung von SnapShots. Für dieses Beispiel wird eine Organisationseinheit "Testfirma“ verwendet, in der alle Benutzer und Gruppen angelegt werden. Ich gehe davon aus, dass folgende Benutzer existieren:

3c559d05f57c95c18d543b39f0ebcc4e-bild1 - Klicke auf das Bild, um es zu vergrößern
Bild 1

Folgende Bedingungen sollen erfüllt werden:

1. Jede Abteilung erhält ein eigenes Stammverzeichnis (Geschäftsführung, Buchhaltung, Entwicklung) und die Abteilung "Entwicklung“ erhält für die Gruppen "Anwendungen“ und "Spiele“ jeweils ein Unterverzeichnis.
2. Die Geschäftsführung soll auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und für alle anderen Verzeichnisse Leseberechtigung erhalten.
3. Die Buchhaltung erhält nur auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung.
4. Die Gruppen der Entwicklung erhalten auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und auf das der fremden Gruppe Leseberechtigungen.
5. Ein "Public“-Verzeichnis zum abteilungsweiten Datenaustausch soll angelegt werden, auf das alle Mitglieder Lese- Schreibrechte haben.
6. Der Domänenadministrator bekommt Vollzugriff auf alle Verzeichnisse. Sollte dies aus Geheimhaltungsgründen nicht möglich sein, kann keine Gewähr für eine vollständige Reparatur im Schadenfall übernommen werden.

Es werden folgende Sicherheitsgruppen angelegt und mit den zugehörigen Mitarbeitern / Gruppen gefüllt:

1. globale Gruppe "Geschäftsleitung“ – Mitglieder "Gerda Sekretariat“, "Franz Geschäftsleiter1“, "Fritz Geschäftsleiter2“
2. globale Gruppe "Buchhaltung“ – Mitglieder "Helga Buchhalter1“ und "Hilde Buchhalter2“
3. globale Gruppe "Anwendungsentwickler“ – Mitglieder "Igor Anwendungsentwickler1“ und "Ingo Anwendungsentwickler2“
4. globale Gruppe "Spieleentwickler“ – Mitglieder "Jens Spieleentwickler1“ und "Jörg Spieleentwickler2“
5. globale Gruppe "Entwicklung“ – mit den Gruppen "Anwendungsentwickler“ und "Spieleentwicklung“
6. globale Gruppe "Personal“ - mit den Gruppen "Geschäftsleitung“, "Entwicklung“ und "Buchhaltung“

Diese werden angelegt über einen Rechtsklick auf "Testfirma“ und

24e04adcbe4f44da3e3e94e6ab54bea6-bild2 - Klicke auf das Bild, um es zu vergrößern
Bild 2

e442c6f0269ae2f67c74d00d874ba868-bild3 - Klicke auf das Bild, um es zu vergrößern
Bild 3

bf7d9b311ca3f9cf4424e6dcf3dd5e9b-bild3a - Klicke auf das Bild, um es zu vergrößern
Bild 3a

7cab711628c6bf69745d479aefaf18fb-bild3b - Klicke auf das Bild, um es zu vergrößern
Bild 3b

Die anderen Gruppen werden analog angelegt und entsprechend obiger Aufstellung mit Benutzern oder Gruppen gefüllt.

Als nächstes wird die Freigabe (im Beispiel "Testfirma“) erstellt

921939df74ead3ddf1fc0d1b44bb834b-bild4 - Klicke auf das Bild, um es zu vergrößern
Bild 4

und bei "Berechtigungen“ ist "Jeder“ auf Vollzugriff zu setzen (besser wäre es, "Jeder" zu löschen und der Gruppe "Domänen-Benutzer" Vollzugriff zu geben!), der Rest wird dann über's Dateisystem geregelt:

3a6b6f2d1c1ea0d1edc6af319b0d82a6-bild5 - Klicke auf das Bild, um es zu vergrößern
Bild 5

Nun wird es spannend, auf der Lasche "Sicherheit“ wird der Freigabe die Gruppe "Personal“ zugeordnet. Die Gruppe "Jeder“ wird entfernt indem man auf den Button "Erweitert“ klickt

e859363cc1bce91afdfb9fc25c41f83d-bild6 - Klicke auf das Bild, um es zu vergrößern
Bild 6

den Haken bei „Berechtigungen übergeordneter Objekte …“ entfernen und durch "Kopieren“

98c11afda809add97b7e0886ece95724-bild7 - Klicke auf das Bild, um es zu vergrößern
Bild 7

und anschließendes "Entfernen“ löschen:

9b995317cb62d1af07cae5ee862959c2-bild8 - Klicke auf das Bild, um es zu vergrößern
Bild 8

und die Berechtigungen auf

4a1e9a7b69eaea876474c2c90ef7e1a0-bild9 - Klicke auf das Bild, um es zu vergrößern
Bild 9

setzen. Nun wird noch der Domänenadmin mit Vollzugriff

2dea675058f0da564b76cbba7eaa14eb-bild10 - Klicke auf das Bild, um es zu vergrößern
Bild 10

Und die Geschäftsleitung mit:

8afb9c31d2f058410fd06c1e8ae75068-bild11 - Klicke auf das Bild, um es zu vergrößern
Bild 11

Leseberechtigung hinzugefügt.

Nun wird es Zeit, sich um die untergeordneten Ordner zu kümmern, diese werden einfach in der Freigabe angelegt

ae689e911cb629d81f5afbf338498113-bild12 - Klicke auf das Bild, um es zu vergrößern
Bild 12

Diesen Ordnern werden nun die Gruppen nach folgendem Schema zugeordnet und die durch Vererbung erhaltene Gruppe "Personal" wird gelöscht (analog Bild 6, 7und 8):

088b380d96f664f2f48b86773200ac86-bild13 - Klicke auf das Bild, um es zu vergrößern
Bild 13

Dabei bedeuten:

LA – Lesen, Ausführen
OA – Ordnerinhalt auflisten
L – Lesen
Ä – Ändern
V – Vollzugriff

Damit sind alle Vorgaben erfüllt und man hat ein korrekt funktionierendes freigegebenes Verzeichnis.

Atti

[edit] am 20.07.2008 nach Hinweisen von QuentinT und geTuemII überarbeitet,

vielen Dank,

Atti
Mitglied: Dani
09.05.2007 um 17:21 Uhr
Hi Atti58,
sehr schön gemacht. Gefällt mir recht gut...Ich hab noch ein kl. Nachtrag für größere Firmen: Wir haben die gleiche Variante wie Atti im Einsatz. Somit ist es per Script möglich Rechte zusetzen. Freigaben können so nur grundsätzlich mit "Vollzugriff" erstellt werden. Die NTFS-Rechte lassen sich mit dem Windows - Befehl "xcals" konfiguriert werden.


Gruß
Dani
Bitte warten ..
Mitglied: n.o.b.o.d.y
11.05.2007 um 21:23 Uhr
Hallo!!

was ich noch anmerken oder besser hervorheben möchte, ist, dass man wie Atti es (natürlich ) gemacht hat, bei der Verganbe von Bereichigungen niemals Benutzer verrechtet, sondern immer Gruppen. Das macht einem das administrative Leben danach erheblich leicht, da man den User nur noch die entsprechenden Gruppen zuweisen muß.

5* von mir

Ralf
Bitte warten ..
Mitglied: Egbert
25.05.2007, aktualisiert 18.10.2012
Hallo,

dafür gibt es unter Windows 2003 Access Based Enumeration.
Muß allerdings als Kit heruntergeladen werden, weiss nicht genau ob es bei SP2 mit drin ist.

mehr dazu auch in diesem Thread
http://www.administrator.de/forum/access-based-enumeration-und-gui-9783 ...

Gruß
Egbert
Bitte warten ..
Mitglied: datasearch
23.06.2007 um 23:39 Uhr
Nicht schlecht. Für Umgebungen mit mehreren Domänen sollte man aber mit den Gruppen in 2 bzw. 3 Ebenen arbeiten.

wir machen das so:

  1. Ressourcengruppe erstellen (Domäne1) zb. LG-DOM1-Buchhaltung
  2. Ressourcengruppe erstellen (Domäne2) zb. LG-DOM2-Buchhaltung
  3. Benutzergruppen in Domäne1 erstellen zb. GG-DOM1-Buchhalter
  4. Benutzergruppe in Domäne2 erstellen zb. GG-DOM2-Buchhalter
  5. Sammelgruppe erstellen zb. UG-Buchhalter


Beispiel:

ein User aus DOM1 ist Member in GG-DOM1-Buchhalter
ein User aus DOM2 ist Member in GG-DOM2-Buchhalter

Die Gruppe GG-DOM1-Buchhalter ist Member in LG-DOM1-Buchhaltung
Die Gruppe GG-DOM1-Buchhalter ist Member in UG-Buchhalter

Die Gruppe GG-DOM2-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Die Gruppe GG-DOM2-Buchhaltung ist Member in UG-Buchhalter

Die Gruppe UG-Buchhaltung ist Member in LG-DOM1-Buchhaltung
Die Gruppe UG-Buchhaltung ist Member in LG-DOM2-Buchhaltung

Auf jedem Server sind auf dem ordner Buchhaltung NTFS-Berechtigungen für die Gruppe LG -DOMÄNE-Buchhaltung gesetzt. Wenn man das genauer braucht, kann man 2 LG für 1 Share anlegen, und unterschiedliche Rechte zuweisen.

Das hat Vorteile, man sollte es aber auch nicht zu weit treiben was die Gruppen angeht. Für kleinere Installationen ist das unbrauchbar. Was man auch noch sagen sollte, die Gruppen-benennung/Verwendung sollte eindeutig Dokumentiert werden. Nicht nur die Shares selbst, sondern auch wie Gruppen nach welchem Schema anzulegen sind.

Für größere Umgebungen, mit mehreren Replikaten auf mehreren Servern in verschiedenen Domänen geht es nur so (sinnvoll).

Man sollte natürlich noch beachten das die Funktionsebene mindestens 2000Pur und das Caching für Universelle Gruppen aktiv ist.

Grüße.
Bitte warten ..
Mitglied: BPF
27.08.2008 um 16:10 Uhr
Hallo zusammen,
mit viel Interesse habe ich diese Vorgehensweise von Atti gelesen. Ich bin ziemlicher Laie und habe den Ablauf mal Schritt für Schritt auf unserer Testumgebung durchgespielt.
Ich habe dem obersten Ordner die "Personal"-Berechtigung LA, OA und L gegeben.

Wenn ich nun einen Unterordner "Vertrieb" anlege und in diesem Ordner soll nur die Vertriebsgruppe LA, OA und ändern dürfen, wird bei mir durch die Vererbung der "Personal"-Berechtigung im Grunde allen Benutzern LA, OA und L gegeben.

So soll es nicht sein. Ein User, der nicht zur Vertriebsgruppe gehört, soll nicht das Verzeichnis Vertrieb öffnen können.

Vielleicht kann mit jemand die "Augen öffnen"?

Danke für Eure Hilfe im voraus
Bitte warten ..
Mitglied: Forseti2003
24.09.2008 um 09:49 Uhr
Hallo an Alle,

sehr interessantes Beispiel, aber ich frag mich, wieso man eigentlich in die Organisationseinheiten sowohl Laufwerke wie auch Drucker ziehen kann, wenn man dann diese wiederum mit einem Batch oder VB-Skript nur mappen kann.

Gibt es keine Möglichkeit, im AD zu sagen: Wenn OU des Benutzer = OU des Druckers Dann Mappe diesen Drucker, bzw. = OU des Laufwerks dann Mappe das Laufwerk mit Buchstabe X für alle User der OU?

Oder hab ich da etwas überlesen?

Grüße

Forseti
Bitte warten ..
Mitglied: Atti58
24.09.2008 um 17:55 Uhr
Hallo Burkhard,

zuerst - dies ist ein Tutorial und keine Diskussionsplattform. Du solltest Deine Frage im Forum stellen und Dich auf dieses Tutorial beziehen.

Um aber trotzdem Deine Frage zu beantworten, Du musst natürlich in den Unterordnern die Gruppe "Personal" entfernen und durch die entsprechende Gruppe ersetzen und analog Bild 6, 7 und 8 mit den richtigen Berechtigungen versehen.

Gruß

Atti
Bitte warten ..
Mitglied: Atti58
24.09.2008 um 17:56 Uhr
Hallo Forseti,

dies ist ein Tutorial und keine Diskussionsplattform. Du solltest Deine Frage im Forum stellen und Dich auf dieses Tutorial beziehen.

Gruß

Atti
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2003 von Windows 2003 Server lösen bzw. entfernen (3)

Frage von plexxus zum Thema Exchange Server ...

Windows Server
gelöst Lokale Windows Firewall Server 2012R2 für virtuelle Maschine? (4)

Frage von 1410640014 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...