9
Berechtigungen Freigabe und NTFS richtig setzen
Guten Tag zusammen
Ich komme mir gerade total dumm vor und hoffe, ich werde nicht gleich zerrissen. Ansonsten müsste ich den Beitrag nochmal mit einem weiblichen Nicknamen erstellen. ;)
Aber im Ernst.
Ich habe hier ein ganz simples Konstrukt:
Einen physischen Server mit zwei virtuellen Server 2019 Maschinen. Auf einer läuft AD, DNS und DHCP, auf dem anderen Fileserver und ne kleine DB.
Ich brauche genau EINEN Share für die Daten. Also bin ich so vorgegangen:
1. Alle Benutzer im AD erfasst und zu einer Gruppe MITARBEITER hinzugefügt
2. Auf dem Fileserver den gewünschten Ordner Freigegeben, dort als Berechtigung nur die Gruppe MITARBEITER hinzugefügt, mit Vollzugriff
3. Nun habe ich gelernt, dass im Sicherheits-Reiter die Gruppe BENUTZER nichts zu suchen hat. Ergo wollte ich diese löschen, was aber nur mit Deaktivierung der Vererbung geht.
4. Also Vererbung auf dem Ordner deaktiviert. Nun die neue Gruppe MITARBEITER hinzugefügt und BENUTZER gelöscht.
Nun passiert aber folgendes: Wenn ich den Administrator nicht in diese Gruppe MITARBEITER nehme, hat er keinen Zugriff auf die jeweiligen Ordner respektive Dateien. Das ist natürlich relativ schlecht. Ich schätze das liegt daran, weil die Vererbung nicht mehr aktiv ist. Aktiviere ich diese aber, nimmt er mir vom Root wieder BENUTZER rein - was ich ja nicht will.
Was klappt ist den Administrator einfach in die MITARBEITER Gruppe hinzuzufügen. Aber ist das Sinn der Sache?
Ich komme mir echt dämlich vor, es ist doch nur ein einfacher Share! Ich hoffe jemand kann mir hier Klarheit bringen, damit ich nicht mehr über so etwas triviales stolpern muss.
Gruss und etwas Gnade
Chris
Ich komme mir gerade total dumm vor und hoffe, ich werde nicht gleich zerrissen. Ansonsten müsste ich den Beitrag nochmal mit einem weiblichen Nicknamen erstellen. ;)
Aber im Ernst.
Ich habe hier ein ganz simples Konstrukt:
Einen physischen Server mit zwei virtuellen Server 2019 Maschinen. Auf einer läuft AD, DNS und DHCP, auf dem anderen Fileserver und ne kleine DB.
Ich brauche genau EINEN Share für die Daten. Also bin ich so vorgegangen:
1. Alle Benutzer im AD erfasst und zu einer Gruppe MITARBEITER hinzugefügt
2. Auf dem Fileserver den gewünschten Ordner Freigegeben, dort als Berechtigung nur die Gruppe MITARBEITER hinzugefügt, mit Vollzugriff
3. Nun habe ich gelernt, dass im Sicherheits-Reiter die Gruppe BENUTZER nichts zu suchen hat. Ergo wollte ich diese löschen, was aber nur mit Deaktivierung der Vererbung geht.
4. Also Vererbung auf dem Ordner deaktiviert. Nun die neue Gruppe MITARBEITER hinzugefügt und BENUTZER gelöscht.
Nun passiert aber folgendes: Wenn ich den Administrator nicht in diese Gruppe MITARBEITER nehme, hat er keinen Zugriff auf die jeweiligen Ordner respektive Dateien. Das ist natürlich relativ schlecht. Ich schätze das liegt daran, weil die Vererbung nicht mehr aktiv ist. Aktiviere ich diese aber, nimmt er mir vom Root wieder BENUTZER rein - was ich ja nicht will.
Was klappt ist den Administrator einfach in die MITARBEITER Gruppe hinzuzufügen. Aber ist das Sinn der Sache?
Ich komme mir echt dämlich vor, es ist doch nur ein einfacher Share! Ich hoffe jemand kann mir hier Klarheit bringen, damit ich nicht mehr über so etwas triviales stolpern muss.
Gruss und etwas Gnade
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1821454978
Url: https://administrator.de/contentid/1821454978
Printed on: April 18, 2024 at 10:04 o'clock
9 Comments
Latest comment
Moin,
tl;dr:
lg,
Slainte
tl;dr:
- im Share: Jeder Lesen/schreiben
- im Filesystem: Mitarbeiter Lesen/Schreiben + Administratoren (Die Gruppe, nicht der User): Vollzugriff. "Alle Berechtigungen für untergeordnete.... " aktiveren
lg,
Slainte
Zitat von @SlainteMhath:
Moin,
tl;dr:
lg,
Slainte
Moin,
tl;dr:
- im Share: Jeder Lesen/schreiben
- im Filesystem: Mitarbeiter Lesen/Schreiben + Administratoren (Die Gruppe, nicht der User): Vollzugriff. "Alle Berechtigungen für untergeordnete.... " aktiveren
lg,
Slainte
Hi und danke schonmal
Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht? DOMAIN\administrator aber schon. Ich habe mich auf dem Fileserver korrekt über DOMAIN\administrator angemeldet.
Auf dem AD Server geht das aber, bloss der FS scheint diese Gruppe nicht zu finden?
Edit: Wobei Domainadministrator würde ja reichen. Check ich nacher. Trotzdem erschliesst sich mir nicht ganz, warum DOMAIN\AdministratorEN fehlt.
Hi,
könnte daran liegen, dass es diese Gruppe nicht gibt. Suche nach "dom" und die wirst ihn finden (Domänen-Admins). ;)
Gruß,
Thomas
könnte daran liegen, dass es diese Gruppe nicht gibt. Suche nach "dom" und die wirst ihn finden (Domänen-Admins). ;)
Gruß,
Thomas
Moin 
Was normal ist. Standard ist ganz einfach die Gruppe "Administratoren" auf dem Fileserver selbst. Duerch Aufnahme des Servers in die Domäne, wird die Gruppe "Domänen-Administratoren" zum Mitglied in der lokalen Gruppe "Administratoren", wodurch der Zugriff dann möglich ist.
Ja... Da existiert die Gruppe ja lokal. Eigentlich nichts anderes, als auf jeder beliebigen Arbeitsstation...
Gruß
Zitat von @mazenauer:
Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht?
Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht?
Was normal ist. Standard ist ganz einfach die Gruppe "Administratoren" auf dem Fileserver selbst. Duerch Aufnahme des Servers in die Domäne, wird die Gruppe "Domänen-Administratoren" zum Mitglied in der lokalen Gruppe "Administratoren", wodurch der Zugriff dann möglich ist.
Auf dem AD Server geht das aber, bloss der FS scheint diese Gruppe nicht zu finden?
Ja... Da existiert die Gruppe ja lokal. Eigentlich nichts anderes, als auf jeder beliebigen Arbeitsstation...
Gruß
Zitat von @Hubert.N:
Moin
Was normal ist. Standard ist ganz einfach die Gruppe "Administratoren" auf dem Fileserver selbst. Duerch Aufnahme des Servers in die Domäne, wird die Gruppe "Domänen-Administratoren" zum Mitglied in der lokalen Gruppe "Administratoren", wodurch der Zugriff dann möglich ist.
Ja... Da existiert die Gruppe ja lokal. Eigentlich nichts anderes, als auf jeder beliebigen Arbeitsstation...
Gruß
Moin
Zitat von @mazenauer:
Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht?
Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht?
Was normal ist. Standard ist ganz einfach die Gruppe "Administratoren" auf dem Fileserver selbst. Duerch Aufnahme des Servers in die Domäne, wird die Gruppe "Domänen-Administratoren" zum Mitglied in der lokalen Gruppe "Administratoren", wodurch der Zugriff dann möglich ist.
Auf dem AD Server geht das aber, bloss der FS scheint diese Gruppe nicht zu finden?
Ja... Da existiert die Gruppe ja lokal. Eigentlich nichts anderes, als auf jeder beliebigen Arbeitsstation...
Gruß
Hi Hubert
Okay langsam wird es klarer. Bzw. in der Theorie.
Ich habe nun bei dem Share MITARBEITER sowie FILESERVER\Administratoren. Melde ich mich aber mit DOMAIN\Administrator an, kommt der Dialog zum Berechtigungen übernehmen.
Auch in der lokalen Gruppe Administratoren des FILESERVER ist aber der Administrator der Domäne drin. Also so ganz logisch ist das nicht.
Funktionieren tut es, wenn ich beim Ordner zusätzlich einfach der User "Administrator" hinterlege.
EDIT: Okay jetzt wird es creepy. DOMAIN\administrator ist der BESITZER DIESES ORDNERS. Ich kann mir ALLES anzeigen lassen. Wieso kommt denn dann die UAC und fragt nach Berechtigungen? aaarggh
Also ich habe jetzt bei Sicherheit folgendes drin:
ERSTELLER-BESITZER
SYSTEM
MITARBEITER
DOMÄNE\Administrator
FILESERVER\Administratoren
So klappt es nun. Habe auf dem Share mit einem User der MITARBEITER Gruppe Ordner und Dokumente erstellt und mit Administrator bearbeitet.
Aber warum FILESERVER\Administratoren nicht reicht, obwohl dort der DOMÄNE\Administrator drin ist - rätselhaft. Evtl. kann das noch wer lösen.
Zudem hat so der LOKALE Administrator keinen Zugriff mehr, obwohl der ja in der Gruppe FILESERVER\Administratoren wäre....
Füge ich FILESERVER\Administrator hinzu klappt auch das.
Logge ich auf dem DC ein mit DOMÄNE\Administrator, dann geht auf dem Share auch alles.
ERSTELLER-BESITZER
SYSTEM
MITARBEITER
DOMÄNE\Administrator
FILESERVER\Administratoren
So klappt es nun. Habe auf dem Share mit einem User der MITARBEITER Gruppe Ordner und Dokumente erstellt und mit Administrator bearbeitet.
Aber warum FILESERVER\Administratoren nicht reicht, obwohl dort der DOMÄNE\Administrator drin ist - rätselhaft. Evtl. kann das noch wer lösen.
Zudem hat so der LOKALE Administrator keinen Zugriff mehr, obwohl der ja in der Gruppe FILESERVER\Administratoren wäre....
Füge ich FILESERVER\Administrator hinzu klappt auch das.
Logge ich auf dem DC ein mit DOMÄNE\Administrator, dann geht auf dem Share auch alles.
Das scheint ein UAC Problem zu sein. Logge ich auf dem FS mit dem Domänen Admin ein und öffne ein CMD als Admin, darf ich die Textdatei mittels ping >> text.txt anpassen. Pures CMD nicht...
Edit: Tatsächlich. Habe Total Commander installiert. Normal gestartet: File darf nicht geöffnet werden. Als Admin: File kann geöffnet und verändert werden.
Ist das echt Sinn der Sache?
Edit: Tatsächlich. Habe Total Commander installiert. Normal gestartet: File darf nicht geöffnet werden. Als Admin: File kann geöffnet und verändert werden.
Ist das echt Sinn der Sache?
Ist das echt Sinn der Sache?
Ja,"Workng as intended"Die Gruppe "Adminstratoren" ist besonders geschützt, so dass IMMER die Abfrage mit Reechteübernahme kommt, ES SEI DENN der angemeldete User hat explizite Rechte auf den Ordner/die Datei.
Abhilfe: "Eigene" Admingruppe ("DateiserverManager" o.Ä) anlegen und der dann Rechte auf NTFS Ebene vergeben.
1Zitat von @SlainteMhath:
Die Gruppe "Adminstratoren" ist besonders geschützt, so dass IMMER die Abfrage mit Reechteübernahme kommt, ES SEI DENN der angemeldete User hat explizite Rechte auf den Ordner/die Datei.
Abhilfe: "Eigene" Admingruppe ("DateiserverManager" o.Ä) anlegen und der dann Rechte auf NTFS Ebene vergeben.
Ist das echt Sinn der Sache?
Ja,"Workng as intended"Die Gruppe "Adminstratoren" ist besonders geschützt, so dass IMMER die Abfrage mit Reechteübernahme kommt, ES SEI DENN der angemeldete User hat explizite Rechte auf den Ordner/die Datei.
Abhilfe: "Eigene" Admingruppe ("DateiserverManager" o.Ä) anlegen und der dann Rechte auf NTFS Ebene vergeben.
hmm okay. Also deshalb klappt es, wenn ich die Admins wirklich als Admin und nicht als Gruppe hinzufüge.
Gut, aber dann kann ich ja theoretisch auch wirklich den Admin in die MITARBEITER Gruppe stecken. Das erkennt er ja sauber.
