17
Zugriffsrechte für WebDAV vergeben
Hallo an alle,
habe mir einen WebDAV-Zugang mit Windows Server 2008 und IIS 7.5 in einer 2008-Domäne eingerichtet. Der Zugang soll als Dateiserver dienen. Zum besseren Verständnis hier mal die Beispielstruktur.
User 1-3 sollen Leserechte auf alle Ordner haben, Schreibzugriff auf den eigenen.
Ordner1 --> Schreibzugriff User1
Ordner2 --> Schreibzugriff User2
Ordner3 --> Schreibzugriff User3
Die NTFS-Berechtigungen sind gesetzt.
Mein Problem: Solange ich die WebDAV-Erstellungsregeln nicht angelegt habe, funktioniert der WebDAV-Zugriff nicht. Ich muss allen Benutzern Leserechte einräumen, wenn ich nicht jeden Benutzer einzeln in den Erstellungsregeln verwursten will. Die Benutzer mit Schreibrechten dürfen durch die Erstellungsregeln aber in JEDEN Ordner schreiben, es sei denn, ich verbiete in den NTFS-Berechtigungen explizit das Schreiben. Ich habe jetzt aber ca. 30 Benutzer, die alle einen eigenen Ordner haben. Ich müsste also theoretisch in den Erstellungsregeln allen 30 Benutzern Schreibrechte gewähren und dann noch das Schreiben auf die anderen Ordner verbieten.
Das kann doch so nicht sein, oder? Kann ich das nicht irgendwie einstellen, dass sofort die NTFS-Berechtigungen greifen?
habe mir einen WebDAV-Zugang mit Windows Server 2008 und IIS 7.5 in einer 2008-Domäne eingerichtet. Der Zugang soll als Dateiserver dienen. Zum besseren Verständnis hier mal die Beispielstruktur.
User 1-3 sollen Leserechte auf alle Ordner haben, Schreibzugriff auf den eigenen.
Ordner1 --> Schreibzugriff User1
Ordner2 --> Schreibzugriff User2
Ordner3 --> Schreibzugriff User3
Die NTFS-Berechtigungen sind gesetzt.
Mein Problem: Solange ich die WebDAV-Erstellungsregeln nicht angelegt habe, funktioniert der WebDAV-Zugriff nicht. Ich muss allen Benutzern Leserechte einräumen, wenn ich nicht jeden Benutzer einzeln in den Erstellungsregeln verwursten will. Die Benutzer mit Schreibrechten dürfen durch die Erstellungsregeln aber in JEDEN Ordner schreiben, es sei denn, ich verbiete in den NTFS-Berechtigungen explizit das Schreiben. Ich habe jetzt aber ca. 30 Benutzer, die alle einen eigenen Ordner haben. Ich müsste also theoretisch in den Erstellungsregeln allen 30 Benutzern Schreibrechte gewähren und dann noch das Schreiben auf die anderen Ordner verbieten.
Das kann doch so nicht sein, oder? Kann ich das nicht irgendwie einstellen, dass sofort die NTFS-Berechtigungen greifen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172672
Url: https://administrator.de/contentid/172672
Printed on: April 18, 2024 at 23:04 o'clock
17 Comments
Latest comment
Hi,
also kann ich irgendwie nicht nachvollziehen.
Ich habe heute auch nen Webdav auf einem 2008 R2 eingerichtet.
Ordner sind mit entsprechenden Berechtigungen gesetzt.
Ordner auf die der User keine Berechtigungen hat sieht er nicht. Ordner bei denen nur lesen eingestellt ist können auch keine Dateien schreiben etc.
Also hast du wohl irgendwas an deinen Entstellungen vergurkt!
Was für eine Authentifizierung hast du eingestellt?
Was hast du sonst noch für Einstellungen gesetzt?
VG
also kann ich irgendwie nicht nachvollziehen.
Ich habe heute auch nen Webdav auf einem 2008 R2 eingerichtet.
Ordner sind mit entsprechenden Berechtigungen gesetzt.
Ordner auf die der User keine Berechtigungen hat sieht er nicht. Ordner bei denen nur lesen eingestellt ist können auch keine Dateien schreiben etc.
Also hast du wohl irgendwas an deinen Entstellungen vergurkt!
Was für eine Authentifizierung hast du eingestellt?
Was hast du sonst noch für Einstellungen gesetzt?
VG
Moin Xaero,
vielen Dank für Deine Antwort, WebDAV-User scheinen selten zu sein
Ich gehe auch mal davon aus, dass ich irgendwo falsche Einstellungen vorgenommen habe, da ich mir nicht vorstellen kann, dass jemand sich ein so selten dämliches Konzept überlegt...
Hast Du bei Dir nur die NTFS-Berechtigungen eingestellt und sonst nichts?
Wenn ich das bei mir mache, bekomme ich keinen Zugriff, ich muss erst WebDAV-Erstellungsregeln hinzufügen. Was noch zu erwähnen ist: Der Zugriff auf das WebDAV erfolgt über Bitkinex (www.bitkinex.com) und ist SSL-verschlüsselt.
Ich muss über die Erstellungsregeln Schreibrechte für die einzelnen Benutzer gewähren, will ich dieses Recht auf einzelne Ordner beschränken, muss ich in den NTFS-Berechtigungen das Schreibrecht für den jeweiligen Benutzer explizit verweigern. Alternativ kann ich einen Pfad für die Schreibrechte des Benutzers in der Erstellungsregeln angeben.
Der betreffende Ordner ist gleichzeitig per Samba freigegeben.
Folgende Authentifizierung habe ich IIS-seitig gesetzt:
Anonyme Authentifizierung, ASP-NET-Identitätswechsel und Formularauthentifizierung sind DEAKTIVIERT, Windows-Authentifizierung ist AKTIVIERT.
Wie erfolgt bei Dir der Zugriff? SSL-verschlüsselt? Direkt aus dem Windows-Explorer heraus?
vielen Dank für Deine Antwort, WebDAV-User scheinen selten zu sein
Ich gehe auch mal davon aus, dass ich irgendwo falsche Einstellungen vorgenommen habe, da ich mir nicht vorstellen kann, dass jemand sich ein so selten dämliches Konzept überlegt...
Hast Du bei Dir nur die NTFS-Berechtigungen eingestellt und sonst nichts?
Wenn ich das bei mir mache, bekomme ich keinen Zugriff, ich muss erst WebDAV-Erstellungsregeln hinzufügen. Was noch zu erwähnen ist: Der Zugriff auf das WebDAV erfolgt über Bitkinex (www.bitkinex.com) und ist SSL-verschlüsselt.
Ich muss über die Erstellungsregeln Schreibrechte für die einzelnen Benutzer gewähren, will ich dieses Recht auf einzelne Ordner beschränken, muss ich in den NTFS-Berechtigungen das Schreibrecht für den jeweiligen Benutzer explizit verweigern. Alternativ kann ich einen Pfad für die Schreibrechte des Benutzers in der Erstellungsregeln angeben.
Der betreffende Ordner ist gleichzeitig per Samba freigegeben.
Folgende Authentifizierung habe ich IIS-seitig gesetzt:
Anonyme Authentifizierung, ASP-NET-Identitätswechsel und Formularauthentifizierung sind DEAKTIVIERT, Windows-Authentifizierung ist AKTIVIERT.
Wie erfolgt bei Dir der Zugriff? SSL-verschlüsselt? Direkt aus dem Windows-Explorer heraus?
Moin,
ja irgendwie schon
aber ich habe hier auch schon viele Fragen gestellt und einige blieben unbeantwortet.
Also was hab ich gemacht:
IIS installiert inkl. Webdavveröffentlichung.
Im IIS Mgr dann unter Default Web Site:
Unter Default Web Site ein Virtuelles Verzeichnis hinzugefügt.
Wenn es ein Unterordner ist z.B. E:\Dateien\ kein Problem.
SSL spielt hier keine Rolle - wenns ohne geht, gehts auch mit. War bei uns zumindest so.
NTFS Berechtigungen sind die gleichen die hier auch für die SMB Freigabe genutzt werden. Wird alles über Sicherheitsgruppen verwaltet mit entsprechend eingetragenen Benutzern.
Ehm ja was noch mhhh ...
Nutzung geht sowohl über den Explorer, als auch über BItkinex und zur normalen Ansicht auch über den IE/Opera/FF (Achtung: IE 8 und Webdav auf Basis des IIS 7.5 funktionieren nicht)
VG
ja irgendwie schon
aber ich habe hier auch schon viele Fragen gestellt und einige blieben unbeantwortet.Also was hab ich gemacht:
IIS installiert inkl. Webdavveröffentlichung.
Im IIS Mgr dann unter Default Web Site:
- WebDav-Erstellungsregeln:
- WebDav aktivieren
- Erstellungsregel hinzufügen: Gesamter Inhalt; Alle Benutzer; Lesen,Quelle,Schreiben
- Autorisierungsregeln: Alle Benutzer
- Verzeichnis durchsuchen: Aktiviert
- Authentifizierung: Nur Windows-Authentifizierung
Unter Default Web Site ein Virtuelles Verzeichnis hinzugefügt.
- Alias: Beliebig - landet hinter dem Domänen bzw. Servernamen z.b. http://Servername/Dateien(Alias)
- Physikalischer Pfad: Der Ordner der freigegeben werden soll.
Wenn es ein Unterordner ist z.B. E:\Dateien\ kein Problem.
SSL spielt hier keine Rolle - wenns ohne geht, gehts auch mit. War bei uns zumindest so.
NTFS Berechtigungen sind die gleichen die hier auch für die SMB Freigabe genutzt werden. Wird alles über Sicherheitsgruppen verwaltet mit entsprechend eingetragenen Benutzern.
Ehm ja was noch mhhh ...
Nutzung geht sowohl über den Explorer, als auch über BItkinex und zur normalen Ansicht auch über den IE/Opera/FF (Achtung: IE 8 und Webdav auf Basis des IIS 7.5 funktionieren nicht)
VG
Danke nochmals für die ausführliche Antwort.
Ich kann mich drehen und wenden, wie ich will, habe jetzt als einzige Erstellungsregel die folgende:
Gesamter Inhalt / Alle Benutzer / Lesen / Quelle / Schreiben
Resultat: Jeder authentifizierte Domänenbenutzer darf in JEDEN ORDNER schreiben, auch wenn ich für den angemeldeten Benutzer NTFS-seitig nur Schreibrechte für einen bestimmten Ordner erlaubt habe. Das kann ich nur durch Verweigerung (NTFS) oder genauere Definition der Erstellungsregeln ändern (Jeder darf lesen, für den jeweiligen Benutzer ist ein Pfad hinterlegt, inkl. Schreibrecht). Was die Pfade angeht, hast Du übrigens recht, da hat der Microsoft-Inder, der das programmiert hat, sich scheinbar wieder nicht an die ansonsten gültige Logik gehalten. Ich kann nur Pfade innerhalb der Wurzel ohne Laufwerksbuchstaben angeben. Etwas verwirrend, aber noch verständlich.
Das kann doch aber nicht sein, wofür sind dann die NTFS-Berechtigungen vorhanden, wenn ich eh alles noch einmal in den Erstellungsregeln definieren muss ?!?
Was meinst Du mit Autorisierungsregeln? Finde ich auf Anhieb nicht?
Ich kann mich drehen und wenden, wie ich will, habe jetzt als einzige Erstellungsregel die folgende:
Gesamter Inhalt / Alle Benutzer / Lesen / Quelle / Schreiben
Resultat: Jeder authentifizierte Domänenbenutzer darf in JEDEN ORDNER schreiben, auch wenn ich für den angemeldeten Benutzer NTFS-seitig nur Schreibrechte für einen bestimmten Ordner erlaubt habe. Das kann ich nur durch Verweigerung (NTFS) oder genauere Definition der Erstellungsregeln ändern (Jeder darf lesen, für den jeweiligen Benutzer ist ein Pfad hinterlegt, inkl. Schreibrecht). Was die Pfade angeht, hast Du übrigens recht, da hat der Microsoft-Inder, der das programmiert hat, sich scheinbar wieder nicht an die ansonsten gültige Logik gehalten. Ich kann nur Pfade innerhalb der Wurzel ohne Laufwerksbuchstaben angeben. Etwas verwirrend, aber noch verständlich.
Das kann doch aber nicht sein, wofür sind dann die NTFS-Berechtigungen vorhanden, wenn ich eh alles noch einmal in den Erstellungsregeln definieren muss ?!?
Was meinst Du mit Autorisierungsregeln? Finde ich auf Anhieb nicht?
Kein Problem
Wundert mich ehrlich gesagt, denn mir klappte das alles auf Anhieb.
Ich sehe nur das wozu ich berechtigt bin.
Administrator sieht z.b. alle Ordner, weil er in allen NTFS Sicherheiten eingestellt ist.
Benutzer X sieht nur zwei Ordner und hat dort auch nur die entsprechenden Berechtigungen z.b. nur lesen, nicht schreiben.
Es gibt bei der Installation:
URL-Autorisierung - das sind die Autorisierungsregeln. Versuch die mal noch nach zu installieren.
Ich kann in den Webdav-Regeln natürlich alle einstellen, weil der Rest über die NTFS Regeln läuft.
Wie genau sind denn die NTFS Berechtigungen bei dir gesetzt? Welche Benutzer/Gruppen sind auf Ordner xxx eingestellt?
VG
Wundert mich ehrlich gesagt, denn mir klappte das alles auf Anhieb.
Ich sehe nur das wozu ich berechtigt bin.
Administrator sieht z.b. alle Ordner, weil er in allen NTFS Sicherheiten eingestellt ist.
Benutzer X sieht nur zwei Ordner und hat dort auch nur die entsprechenden Berechtigungen z.b. nur lesen, nicht schreiben.
Es gibt bei der Installation:
URL-Autorisierung - das sind die Autorisierungsregeln. Versuch die mal noch nach zu installieren.
Ich kann in den Webdav-Regeln natürlich alle einstellen, weil der Rest über die NTFS Regeln läuft.
Wie genau sind denn die NTFS Berechtigungen bei dir gesetzt? Welche Benutzer/Gruppen sind auf Ordner xxx eingestellt?
VG
So, habe jetzt mal die URL-Autorisierung nachinstalliert.
Bringt trotzdem nix, ich kann weiterhin mit einem beliebigen Benutzer überall reinschreiben....
Bringt trotzdem nix, ich kann weiterhin mit einem beliebigen Benutzer überall reinschreiben....
Mhh...
Wie gesagt ... mach mal am besten Screens von den NTFS Berechtigungen.
Kannst du mir auch gerne per PM schicken ...!
VG
Wie gesagt ... mach mal am besten Screens von den NTFS Berechtigungen.
Kannst du mir auch gerne per PM schicken ...!
VG
Ich kann nichts dafür, da waren so viele Bäume im Weg, die mir die Sicht auf den Wald versperrt haben!
Hab's jetzt gelöst, es lag an den NTFS-Berechtigungen. Für die Freigabe waren derart viele Benutzer eingetragen, dass ich folgendes übersehen habe:
WebDAV-Server\Benutzer dürfen lesen + Spezielle Berechtigungen. Und was stand in den speziellen Berechtigungen? Richtig...
Was ich allerdings immer noch nicht verstehe: Lösche ich die Berechtigungen für WebDAV-Server\Benutzer komplett, dann bekomme ich keinen Zugriff mehr auf die WebDAV-Freigabe, Bitkinex meldet dann "HTTP: Internal Server Error". WebDAV-Server\Benutzer MUSS zwingend Leseberechtigungen auf die Freigabe haben, sonst funktioniert's nicht. Ist das bei Dir auch so?
Hab's jetzt gelöst, es lag an den NTFS-Berechtigungen. Für die Freigabe waren derart viele Benutzer eingetragen, dass ich folgendes übersehen habe:
WebDAV-Server\Benutzer dürfen lesen + Spezielle Berechtigungen. Und was stand in den speziellen Berechtigungen? Richtig...
Was ich allerdings immer noch nicht verstehe: Lösche ich die Berechtigungen für WebDAV-Server\Benutzer komplett, dann bekomme ich keinen Zugriff mehr auf die WebDAV-Freigabe, Bitkinex meldet dann "HTTP: Internal Server Error". WebDAV-Server\Benutzer MUSS zwingend Leseberechtigungen auf die Freigabe haben, sonst funktioniert's nicht. Ist das bei Dir auch so?
Na das ist doch schön
Ehm, na wenn du die NTFS Berechtigungen löscht, dann kann der Nutzer auch nicht mehr darauf zugreifen - auf was auch? Darf er ja nicht?
Oder missverstehe ich dich?
Leseberechtigung ist das Minimum für den Webdav-Zugriff.
VG
Ehm, na wenn du die NTFS Berechtigungen löscht, dann kann der Nutzer auch nicht mehr darauf zugreifen - auf was auch? Darf er ja nicht?
Oder missverstehe ich dich?
Leseberechtigung ist das Minimum für den Webdav-Zugriff.
VG
Ne, klarer Fall von Missverständnis
Der Benutzer, der zugreifen soll, gehört einer AD-Gruppe an, die Zugriffsrechte hat. Wenn ich aber die LOKALE Gruppe "Benutzer" auf dem Server aus den Zugriffsberechtigten für die Freigabe herausnehme, kommt es beim Verbindungsversuch zum oben beschriebenen Fehler.
Also nehmen wir mal an, der Benutzer heißt "schulze". Schulze ist Mitglied der AD-Gruppe "vertrieb", die Zugriffsberechtigungen für die Gruppe vertrieb sind gesetzt. Jetzt entferne ich die lokale Gruppe "Benutzer" aus den NTFS-Berechtigungen. --> HTTP: Internal server error.
Verstehe ich nicht? Deshalb die Frage, ob das bei Dir auch so ist...
Der Benutzer, der zugreifen soll, gehört einer AD-Gruppe an, die Zugriffsrechte hat. Wenn ich aber die LOKALE Gruppe "Benutzer" auf dem Server aus den Zugriffsberechtigten für die Freigabe herausnehme, kommt es beim Verbindungsversuch zum oben beschriebenen Fehler.
Also nehmen wir mal an, der Benutzer heißt "schulze". Schulze ist Mitglied der AD-Gruppe "vertrieb", die Zugriffsberechtigungen für die Gruppe vertrieb sind gesetzt. Jetzt entferne ich die lokale Gruppe "Benutzer" aus den NTFS-Berechtigungen. --> HTTP: Internal server error.
Verstehe ich nicht? Deshalb die Frage, ob das bei Dir auch so ist...
Ehm sehr merkwürdig?
Bei mir haben die Domänen-Benutzer auf die Hauptebene Zugriff und auf die Unterordner nur die entsprechenden Nutzer.
VG
Bei mir haben die Domänen-Benutzer auf die Hauptebene Zugriff und auf die Unterordner nur die entsprechenden Nutzer.
VG
Moin,
nun denn, vielleicht ne Eigenart von Bitkinex? Wenn mir mal wieder langweilig ist, versuche ich das ganze Mal zu analysieren. Für den Moment läuft ja alles und ich kann mich wieder anderen Dingen widmen, die ich nicht verstehe
Dir vielen lieben Dank für Deine Antworten und für die Mühen, wünsche Dir ein schönes Wochenende!
P.S.: Wenn Du mal Interesse an Austausch von "Schulthemen" hast, melde Dich gern (auch per PM), vielleicht können wir uns da ja mal gegenseitig helfen?
nun denn, vielleicht ne Eigenart von Bitkinex? Wenn mir mal wieder langweilig ist, versuche ich das ganze Mal zu analysieren. Für den Moment läuft ja alles und ich kann mich wieder anderen Dingen widmen, die ich nicht verstehe
Dir vielen lieben Dank für Deine Antworten und für die Mühen, wünsche Dir ein schönes Wochenende!
P.S.: Wenn Du mal Interesse an Austausch von "Schulthemen" hast, melde Dich gern (auch per PM), vielleicht können wir uns da ja mal gegenseitig helfen?
Hi,
eigentlich habe ich die gleichen Ergebnisse im Explorer wie mit Bitkinex ...! Also keine Ahnung woran es liegt ...
Gerne - dafür ist das Forum ja da. Dir auch, danke.
PS: Was meinst du mit "Schulthemen"?
eigentlich habe ich die gleichen Ergebnisse im Explorer wie mit Bitkinex ...! Also keine Ahnung woran es liegt ...
Gerne - dafür ist das Forum ja da. Dir auch, danke.
PS: Was meinst du mit "Schulthemen"?
Moin Xaero,
sorry, da habe ich Dich verwechselt... War der Meinung, dass Du schon mal was zum Thema "EDV-Infrastruktur in Schulen / Hochschulen" gepostet hast, haste aber gar nicht
Also noch mal ein großes Dankeschön, vielleicht lesen wir uns ja hier mal wieder!
sorry, da habe ich Dich verwechselt... War der Meinung, dass Du schon mal was zum Thema "EDV-Infrastruktur in Schulen / Hochschulen" gepostet hast, haste aber gar nicht
Also noch mal ein großes Dankeschön, vielleicht lesen wir uns ja hier mal wieder!
Hi,
naja ich arbeite schon in einer Schule aber was du damit nun gemeint hast ... weiß ich nicht
Aber gerne doch!
VG
naja ich arbeite schon in einer Schule
aber was du damit nun gemeint hast ... weiß ich nicht Aber gerne doch!
VG
Auweia,
bin ich schon wieder wirr
Mit "Schulthema" meine ich Sachen wie PC-Wächter und Co.
Bei Bedarf also immer gern!
bin ich schon wieder wirr
Mit "Schulthema" meine ich Sachen wie PC-Wächter und Co.
Bei Bedarf also immer gern!
))Okay ... na hier tümmeln sich einige Leute rum die Schulen betreuen ...
Irgendwie habe ich hier allerdings noch keinen gefunden der in Berlin tätig ist.
VG
