Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einrichten einer Ordnerfreigabe mit unterschiedlichen Benutzerberechtigungen auf einem Windows 2003 Server mit NTFS - Dateiberechtigungen

Mitglied: Atti58

Atti58 (Level 3) - Jetzt verbinden

09.05.2007, aktualisiert 18.10.2012, 62637 Aufrufe, 8 Kommentare, 2 Danke

Immer wieder taucht hier im Forum die Frage auf, wie man Zugriffsberechtigungen auf eine Ordnerfreigabe am sinnvollsten einrichtet. Im Folgenden möchte ich zeigen, wie man für einen kleinen Betrieb die Berechtigungen für unterschiedliche Abteilungen und Gruppen einrichtet. Dazu gehe ich davon aus, dass auf einem Windows 2003 Server eine Domäne existiert und auf einem NTFS - formatierten Laufwerk ein Stamm - Verzeichnis als Freigabe existiert. Dies sind nicht notwendige Annahmen, das Verfahren kann in leicht abgewandelter Weise auch auf "gewöhnliche“ Freigaben unter Windows XP angewendet werden, Voraussetzung ist lediglich das NTFS-Dateiformat

Man unterscheidet unter Windows zwei verschiedene Userberechtigungen, die auf Freigabeebene und die auf Dateisystemebene. Beide sind "UND“-verknüpft, das heißt, wenn man die Grundeinstellung der Userberechtigungen der Freigabe "Lesen“ beibehält und dem Domänenadmin "Vollzugriff" über das Dateisystem gibt, hat er trotzdem nur Leseberechtigung auf die Freigabe. Ich gehe im Tutorial ausschließlich auf die Userberechtigungen aus Dateisystemebene ein, die auf Freigabeebene setze ich für "Jeder“ auf "Vollzugriff“, besser wäre aber "Domänenbenutzer" auf Vollzugriff und "Jeder" löschen.

Ich verwende die Management-Konsole unter Windows XP zur Darstellung von SnapShots. Für dieses Beispiel wird eine Organisationseinheit "Testfirma“ verwendet, in der alle Benutzer und Gruppen angelegt werden. Ich gehe davon aus, dass folgende Benutzer existieren:

3c559d05f57c95c18d543b39f0ebcc4e-bild1 - Klicke auf das Bild, um es zu vergrößern
Bild 1

Folgende Bedingungen sollen erfüllt werden:

1. Jede Abteilung erhält ein eigenes Stammverzeichnis (Geschäftsführung, Buchhaltung, Entwicklung) und die Abteilung "Entwicklung“ erhält für die Gruppen "Anwendungen“ und "Spiele“ jeweils ein Unterverzeichnis.
2. Die Geschäftsführung soll auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und für alle anderen Verzeichnisse Leseberechtigung erhalten.
3. Die Buchhaltung erhält nur auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung.
4. Die Gruppen der Entwicklung erhalten auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und auf das der fremden Gruppe Leseberechtigungen.
5. Ein "Public“-Verzeichnis zum abteilungsweiten Datenaustausch soll angelegt werden, auf das alle Mitglieder Lese- Schreibrechte haben.
6. Der Domänenadministrator bekommt Vollzugriff auf alle Verzeichnisse. Sollte dies aus Geheimhaltungsgründen nicht möglich sein, kann keine Gewähr für eine vollständige Reparatur im Schadenfall übernommen werden.

Es werden folgende Sicherheitsgruppen angelegt und mit den zugehörigen Mitarbeitern / Gruppen gefüllt:

1. globale Gruppe "Geschäftsleitung“ – Mitglieder "Gerda Sekretariat“, "Franz Geschäftsleiter1“, "Fritz Geschäftsleiter2“
2. globale Gruppe "Buchhaltung“ – Mitglieder "Helga Buchhalter1“ und "Hilde Buchhalter2“
3. globale Gruppe "Anwendungsentwickler“ – Mitglieder "Igor Anwendungsentwickler1“ und "Ingo Anwendungsentwickler2“
4. globale Gruppe "Spieleentwickler“ – Mitglieder "Jens Spieleentwickler1“ und "Jörg Spieleentwickler2“
5. globale Gruppe "Entwicklung“ – mit den Gruppen "Anwendungsentwickler“ und "Spieleentwicklung“
6. globale Gruppe "Personal“ - mit den Gruppen "Geschäftsleitung“, "Entwicklung“ und "Buchhaltung“

Diese werden angelegt über einen Rechtsklick auf "Testfirma“ und

24e04adcbe4f44da3e3e94e6ab54bea6-bild2 - Klicke auf das Bild, um es zu vergrößern
Bild 2

e442c6f0269ae2f67c74d00d874ba868-bild3 - Klicke auf das Bild, um es zu vergrößern
Bild 3

bf7d9b311ca3f9cf4424e6dcf3dd5e9b-bild3a - Klicke auf das Bild, um es zu vergrößern
Bild 3a

7cab711628c6bf69745d479aefaf18fb-bild3b - Klicke auf das Bild, um es zu vergrößern
Bild 3b

Die anderen Gruppen werden analog angelegt und entsprechend obiger Aufstellung mit Benutzern oder Gruppen gefüllt.

Als nächstes wird die Freigabe (im Beispiel "Testfirma“) erstellt

921939df74ead3ddf1fc0d1b44bb834b-bild4 - Klicke auf das Bild, um es zu vergrößern
Bild 4

und bei "Berechtigungen“ ist "Jeder“ auf Vollzugriff zu setzen (besser wäre es, "Jeder" zu löschen und der Gruppe "Domänen-Benutzer" Vollzugriff zu geben!), der Rest wird dann über's Dateisystem geregelt:

3a6b6f2d1c1ea0d1edc6af319b0d82a6-bild5 - Klicke auf das Bild, um es zu vergrößern
Bild 5

Nun wird es spannend, auf der Lasche "Sicherheit“ wird der Freigabe die Gruppe "Personal“ zugeordnet. Die Gruppe "Jeder“ wird entfernt indem man auf den Button "Erweitert“ klickt

e859363cc1bce91afdfb9fc25c41f83d-bild6 - Klicke auf das Bild, um es zu vergrößern
Bild 6

den Haken bei „Berechtigungen übergeordneter Objekte …“ entfernen und durch "Kopieren“

98c11afda809add97b7e0886ece95724-bild7 - Klicke auf das Bild, um es zu vergrößern
Bild 7

und anschließendes "Entfernen“ löschen:

9b995317cb62d1af07cae5ee862959c2-bild8 - Klicke auf das Bild, um es zu vergrößern
Bild 8

und die Berechtigungen auf

4a1e9a7b69eaea876474c2c90ef7e1a0-bild9 - Klicke auf das Bild, um es zu vergrößern
Bild 9

setzen. Nun wird noch der Domänenadmin mit Vollzugriff

2dea675058f0da564b76cbba7eaa14eb-bild10 - Klicke auf das Bild, um es zu vergrößern
Bild 10

Und die Geschäftsleitung mit:

8afb9c31d2f058410fd06c1e8ae75068-bild11 - Klicke auf das Bild, um es zu vergrößern
Bild 11

Leseberechtigung hinzugefügt.

Nun wird es Zeit, sich um die untergeordneten Ordner zu kümmern, diese werden einfach in der Freigabe angelegt

ae689e911cb629d81f5afbf338498113-bild12 - Klicke auf das Bild, um es zu vergrößern
Bild 12

Diesen Ordnern werden nun die Gruppen nach folgendem Schema zugeordnet und die durch Vererbung erhaltene Gruppe "Personal" wird gelöscht (analog Bild 6, 7und 8):

088b380d96f664f2f48b86773200ac86-bild13 - Klicke auf das Bild, um es zu vergrößern
Bild 13

Dabei bedeuten:

LA – Lesen, Ausführen
OA – Ordnerinhalt auflisten
L – Lesen
Ä – Ändern
V – Vollzugriff

Damit sind alle Vorgaben erfüllt und man hat ein korrekt funktionierendes freigegebenes Verzeichnis.

Atti

[edit] am 20.07.2008 nach Hinweisen von QuentinT und geTuemII überarbeitet,

vielen Dank,

Atti
Mitglied: Dani
09.05.2007 um 17:21 Uhr
Hi Atti58,
sehr schön gemacht. Gefällt mir recht gut...Ich hab noch ein kl. Nachtrag für größere Firmen: Wir haben die gleiche Variante wie Atti im Einsatz. Somit ist es per Script möglich Rechte zusetzen. Freigaben können so nur grundsätzlich mit "Vollzugriff" erstellt werden. Die NTFS-Rechte lassen sich mit dem Windows - Befehl "xcals" konfiguriert werden.


Gruß
Dani
Bitte warten ..
Mitglied: n.o.b.o.d.y
11.05.2007 um 21:23 Uhr
Hallo!!

was ich noch anmerken oder besser hervorheben möchte, ist, dass man wie Atti es (natürlich ) gemacht hat, bei der Verganbe von Bereichigungen niemals Benutzer verrechtet, sondern immer Gruppen. Das macht einem das administrative Leben danach erheblich leicht, da man den User nur noch die entsprechenden Gruppen zuweisen muß.

5* von mir

Ralf
Bitte warten ..
Mitglied: Egbert
25.05.2007, aktualisiert 18.10.2012
Hallo,

dafür gibt es unter Windows 2003 Access Based Enumeration.
Muß allerdings als Kit heruntergeladen werden, weiss nicht genau ob es bei SP2 mit drin ist.

mehr dazu auch in diesem Thread
https://www.administrator.de/forum/access-based-enumeration-und-gui-9783 ...

Gruß
Egbert
Bitte warten ..
Mitglied: datasearch
23.06.2007 um 23:39 Uhr
Nicht schlecht. Für Umgebungen mit mehreren Domänen sollte man aber mit den Gruppen in 2 bzw. 3 Ebenen arbeiten.

wir machen das so:

  1. Ressourcengruppe erstellen (Domäne1) zb. LG-DOM1-Buchhaltung
  2. Ressourcengruppe erstellen (Domäne2) zb. LG-DOM2-Buchhaltung
  3. Benutzergruppen in Domäne1 erstellen zb. GG-DOM1-Buchhalter
  4. Benutzergruppe in Domäne2 erstellen zb. GG-DOM2-Buchhalter
  5. Sammelgruppe erstellen zb. UG-Buchhalter


Beispiel:

ein User aus DOM1 ist Member in GG-DOM1-Buchhalter
ein User aus DOM2 ist Member in GG-DOM2-Buchhalter

Die Gruppe GG-DOM1-Buchhalter ist Member in LG-DOM1-Buchhaltung
Die Gruppe GG-DOM1-Buchhalter ist Member in UG-Buchhalter

Die Gruppe GG-DOM2-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Die Gruppe GG-DOM2-Buchhaltung ist Member in UG-Buchhalter

Die Gruppe UG-Buchhaltung ist Member in LG-DOM1-Buchhaltung
Die Gruppe UG-Buchhaltung ist Member in LG-DOM2-Buchhaltung

Auf jedem Server sind auf dem ordner Buchhaltung NTFS-Berechtigungen für die Gruppe LG -DOMÄNE-Buchhaltung gesetzt. Wenn man das genauer braucht, kann man 2 LG für 1 Share anlegen, und unterschiedliche Rechte zuweisen.

Das hat Vorteile, man sollte es aber auch nicht zu weit treiben was die Gruppen angeht. Für kleinere Installationen ist das unbrauchbar. Was man auch noch sagen sollte, die Gruppen-benennung/Verwendung sollte eindeutig Dokumentiert werden. Nicht nur die Shares selbst, sondern auch wie Gruppen nach welchem Schema anzulegen sind.

Für größere Umgebungen, mit mehreren Replikaten auf mehreren Servern in verschiedenen Domänen geht es nur so (sinnvoll).

Man sollte natürlich noch beachten das die Funktionsebene mindestens 2000Pur und das Caching für Universelle Gruppen aktiv ist.

Grüße.
Bitte warten ..
Mitglied: BPF
27.08.2008 um 16:10 Uhr
Hallo zusammen,
mit viel Interesse habe ich diese Vorgehensweise von Atti gelesen. Ich bin ziemlicher Laie und habe den Ablauf mal Schritt für Schritt auf unserer Testumgebung durchgespielt.
Ich habe dem obersten Ordner die "Personal"-Berechtigung LA, OA und L gegeben.

Wenn ich nun einen Unterordner "Vertrieb" anlege und in diesem Ordner soll nur die Vertriebsgruppe LA, OA und ändern dürfen, wird bei mir durch die Vererbung der "Personal"-Berechtigung im Grunde allen Benutzern LA, OA und L gegeben.

So soll es nicht sein. Ein User, der nicht zur Vertriebsgruppe gehört, soll nicht das Verzeichnis Vertrieb öffnen können.

Vielleicht kann mit jemand die "Augen öffnen"?

Danke für Eure Hilfe im voraus
Bitte warten ..
Mitglied: Forseti2003
24.09.2008 um 09:49 Uhr
Hallo an Alle,

sehr interessantes Beispiel, aber ich frag mich, wieso man eigentlich in die Organisationseinheiten sowohl Laufwerke wie auch Drucker ziehen kann, wenn man dann diese wiederum mit einem Batch oder VB-Skript nur mappen kann.

Gibt es keine Möglichkeit, im AD zu sagen: Wenn OU des Benutzer = OU des Druckers Dann Mappe diesen Drucker, bzw. = OU des Laufwerks dann Mappe das Laufwerk mit Buchstabe X für alle User der OU?

Oder hab ich da etwas überlesen?

Grüße

Forseti
Bitte warten ..
Mitglied: Atti58
24.09.2008 um 17:55 Uhr
Hallo Burkhard,

zuerst - dies ist ein Tutorial und keine Diskussionsplattform. Du solltest Deine Frage im Forum stellen und Dich auf dieses Tutorial beziehen.

Um aber trotzdem Deine Frage zu beantworten, Du musst natürlich in den Unterordnern die Gruppe "Personal" entfernen und durch die entsprechende Gruppe ersetzen und analog Bild 6, 7 und 8 mit den richtigen Berechtigungen versehen.

Gruß

Atti
Bitte warten ..
Mitglied: Atti58
24.09.2008 um 17:56 Uhr
Hallo Forseti,

dies ist ein Tutorial und keine Diskussionsplattform. Du solltest Deine Frage im Forum stellen und Dich auf dieses Tutorial beziehen.

Gruß

Atti
Bitte warten ..
Ähnliche Inhalte
E-Mail
HMail Server einrichten
Anleitung von justanumber44E-Mail3 Kommentare

Hallo, hier mal meine erste Anleitung :D Heute mal zum hMail Server auf Windows Der hMail Server ist ein ...

Ubuntu

Ubuntu 14.04. LTS Server - Nagios installieren und einrichten

Anleitung von Looser27Ubuntu5 Kommentare

Aufbauend auf diese Anleitung will ich euch meinen Weg zu Nagios nicht vorenthalten. Man kann entweder einen vorhandenen Ubuntu-Server ...

Windows Server

Windows Server 2016 - Installation

Anleitung von Ah3n0bar6usWindows Server9 Kommentare

Alias Windows Server Technik Preview 2 steht als Vorabversion zum Download bereit. Ich möchte hier lediglich einen kleinen visuellen ...

Windows Server

Windows Server und Windows 7 Software RAID überwachen

Anleitung von hijacker99Windows Server1 Kommentar

Microsoft bietet von Haus aus leider keine Überwachung von Software-RAIDs, die mit der Datenträgerverwaltung erstellt wurden. Abhilfe schafft ein ...

Neue Wissensbeiträge
Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 4 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 10 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 21 StundenMicrosoft Office2 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Humor (lol)

Warum man sein Gast-WLAN nicht beliebig nennen sollte

Erfahrungsbericht von Henere vor 1 TagHumor (lol)5 Kommentare

Servus, mal was aus dem Alltag. Zu Hause. Eigentlich wollte ich nur einen weiteren WLAN-AP ins Netz bringen, damit ...

Heiß diskutierte Inhalte
Windows Netzwerk
LAN nur 10MB pro s trotz gb lan
Frage von tsunamiWindows Netzwerk21 Kommentare

Hallo zusammen, ich brauche mal wieder einen Anstoß in die richtige Richtung. Ich habe einen Windows 10 pc mit ...

Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme13 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...