chriscar
Goto Top

ABE: Verständnisproblem oder mache ich etwas falsch

Moin,

vorab: Ich habe die Suchfunktion zu diesem Thema bereits in Anspruch genommen, aber noch keine Lösung gefunden.

Ich habe einen Server SRVDC, der Domänencontroller ist und einen Server SRVFILE, der als Dateiserver fungiert. Beide laufen mit Windows Server 2012 R2 Standard. Der PC heißt PC01 und ist Mitglied der Domäne.

Es gibt im Active Directory die Gruppe "MA-Hamburg", in der "Maria" Mitglied ist und die Gruppe "MA-Bremen" mit dem Mitglied "Kim".

Auf SRVFILE gibt es einen Ordner "D:\Freigaben" und darin die Ordner "Hamburg" und "Bremen". Der Ordner "Hamburg" ist als "Hamburg" freigegeben, Ordner "Bremen" als "Bremen". Bei beiden Freigaben habe ich bei den Freigabeberechtigungen "Jeder" entfernt und bei "Hamburg" die Gruppe "MA-Hamburg" sowie bei "Bremen" die Gruppe "MA-Bremen" jeweils mit Vollzugriff hinzugefügt.

Bei den Sicherheitseinstellungen der beiden Ordner habe ich die Vererbung deaktiviert und dann alle Benutzer und Gruppen (mit Ausnahme der Administratoren-Gruppe) entfernt. Anschließend habe ich beim Ordner "Hamburg" die Gruppe "MA-Hamburg" und bei "Bremen" die Gruppe "MA-Bremen" hinzugefügt, jeweils mit Berechtigung "Vollzugriff".

Auf SRVFILE habe ich dann bei beiden Freigaben die "Zugriffsbasierte Aufzählung" (ABE) aktiviert.

Nun würde ich erwarten, dass z.B. "Maria", wenn sie sich auf PC01 anmeldet, die Freigabe "Bremen" nicht angezeigt bekommt, wenn sie im Explorer in die Eingabezeile "\\SRVFILE" eintippt und die Eingabetaste betätigt. Aber ihr werden sowohl die Freigabe "Hamburg" als auch "Bremen" angezeigt. Wenn sie einen Doppelklick auf "Bremen" macht, bekommt sie zwar die Meldung, dass auf "\\SRVFILE\Bremen" nicht zugegriffen werden konnte, aber das passiert ja auch ohne aktiviertes ABE.

Verstehe ich die Funktion von ABE falsch bzw. habe ich etwas falsch gemacht?

Content-ID: 2050356313

Url: https://administrator.de/contentid/2050356313

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

1915348599
Lösung 1915348599 03.03.2022 aktualisiert um 12:21:21 Uhr
Goto Top
Zitat von @chriscar:
Nun würde ich erwarten, dass z.B. "Maria", wenn sie sich auf PC01 anmeldet, die Freigabe "Bremen" nicht angezeigt bekommt, wenn sie im Explorer in die Eingabezeile "\\SRVFILE" eintippt und die Eingabetaste betätigt.
Nöp. ABE wirkt nur innerhalb von Shares nicht für die Anzeige der Shares selbst.
Aber ihr werden sowohl die Freigabe "Hamburg" als auch "Bremen" angezeigt. Wenn sie einen Doppelklick auf "Bremen" macht, bekommt sie zwar die Meldung, dass auf "\\SRVFILE\Bremen" nicht zugegriffen werden konnte, aber das passiert ja auch ohne aktiviertes ABE.

Verstehe ich die Funktion von ABE falsch
Jepp, ABE wirkt nicht auf die Anzeige der Freigaben selbst sondern nur auf die Anzeige von Ordnern/Dateien innerhalb einer Freigabe.

Workaround: Mach ein gemeinsames Share für alle (bspw. \\SRVFILE\MyShare), und die Root-Ordner (Hamburg/Bremen) der jeweiligen Standorte darin dann mittels ABE, unterbrochender Vererbung und entsprechenen ACLs versehen verfügbar, dann sieht jeder User nur das was worauf er Zugriff hat.

p.s. Du kannst Freigaben übrigens vor der Anzeige verstecken indem du ihren Freigabenamen ein Dollarzeichen anhängst FreigabeName$.

Siehe auch
https://social.technet.microsoft.com/Forums/ie/en-US/df09a951-09e7-42ba- ...
https://social.technet.microsoft.com/Forums/windowsserver/en-US/43835987 ...
Doskias
Doskias 03.03.2022 aktualisiert um 12:04:02 Uhr
Goto Top
Moin,

kann man so nicht genau sagen bei deiner Beschreibung, da du nicht eindeutig in deiner Beschreibung bleibst.

Du musst die ABE für jede Freigabe separat aktivieren. Du hast geschrieben auf dem Server hast du D:\Freigaben und dann kommt aber \\srvfile\Bremen bzw. \\srvfile\Hamburg

Wenn Hamburg und Bremen unter Freigaben liegen, dein Server also so aufgebaut ist:
D:\Freigaben\Bremen
D:\Freigaben\Hamburg
Dann sollte der Ordner ohne Zugriff ausgeblendet werden, wenn \\srvfile auf D:\Freigabe landet

Wenn dein Server aber wie folgt aufgebaut ist:
D:\Freigaben
D:\Hamburg
D:\Bremen
Dann greift die ABE bei Bremen und Hamburg nicht.

Ein paar mehr Infos zum Aufbau deiner Freigaben wären hilfreich.

Gruß
Doskias

PS: Bin mir grade nicht sicher ob die ABE sofort wirkt, oder erst nach der nächsten Anmeldung des Users
NordicMike
Lösung NordicMike 03.03.2022 um 12:19:26 Uhr
Goto Top
Da stehts ja:

Auf SRVFILE gibt es einen Ordner "D:\Freigaben" und darin die Ordner "Hamburg" und "Bremen". Der Ordner "Hamburg" ist als "Hamburg" freigegeben, Ordner "Bremen" als "Bremen". Bei beiden Freigaben habe ich...

Enferne beide Freigaben und erstelle eine Freigabe mit dem Namen "Freigaben" bzw d:\Freigaben.
Beide sollen diesen Pfad "\\SRVFILE\Freigaben" mappen. Der Eine wird nur den Ordner Hamburg sehen und der Andere nur den Ordner Bremen.
MirkoKR
MirkoKR 03.03.2022 aktualisiert um 12:50:14 Uhr
Goto Top
Zitat von @chriscar:

Auf SRVFILE gibt es einen Ordner "D:\Freigaben" und darin die Ordner "Hamburg" und "Bremen". Der Ordner "Hamburg" ist als "Hamburg" freigegeben, Ordner "Bremen" als "Bremen". Bei beiden Freigaben habe ich bei den Freigabeberechtigungen "Jeder" entfernt und bei "Hamburg" die Gruppe "MA-Hamburg" sowie bei "Bremen" die Gruppe "MA-Bremen" jeweils mit Vollzugriff hinzugefügt.

Ich lese das richtig, das du beim Ordner "D:\Freigaben" selbst die Berechtigung "Jeder" drin gelassen hast?
Somit hat ja auch Jeder das Recht den Inhalt desselben aufzulisten ...

Die Laufwerkszuordnung machst du
aria = f: --> \\server\freigaben\ hamburg
chriscar
chriscar 03.03.2022 um 13:05:11 Uhr
Goto Top
@1915348599: Danke für die Klarstellung! Dann läuft es bei mir auf die gemeinsame Freigabe des Ordners "D:\Freigaben" als z.B. "Freigaben" hinaus und darauf dann ABE aktivieren, damit die Ordner "D:\Freigaben\Hamburg" bzw. "D:\Freigaben\Bremen" nur für die Mitglieder der jeweiligen Gruppen sichtbar sind (so hat es auch @NordicMike beschrieben). Das Verbergen einer Freigabe mittels angehängtem $ kannte ich, ist aber in meinem Fall nicht gewünscht.

@Doskias: Die Ordner "Hamburg" und "Bremen" sind Unterordner in "D:\Freigaben", d.h. die Freigabe "Hamburg" bezieht sich auf "D:\Freigaben\Hamburg".
chriscar
chriscar 03.03.2022 um 13:07:48 Uhr
Goto Top
Zitat von @MirkoKR:
Ich lese das richtig, das du beim Ordner "D:\Freigaben" selbst die Berechtigung "Jeder" drin gelassen hast?
Nein, der Ordner "D:\Freigaben" war nicht freigegeben.

Die Laufwerkszuordnung machst du
aria = f: --> \\server\freigaben\ hamburg
Auf eine Laufwerkszuordnung wollte ich verzichten.