Berechtigungen Freigabe und NTFS richtig setzen
Guten Tag zusammen
Ich komme mir gerade total dumm vor und hoffe, ich werde nicht gleich zerrissen. Ansonsten müsste ich den Beitrag nochmal mit einem weiblichen Nicknamen erstellen. ;)
Aber im Ernst.
Ich habe hier ein ganz simples Konstrukt:
Einen physischen Server mit zwei virtuellen Server 2019 Maschinen. Auf einer läuft AD, DNS und DHCP, auf dem anderen Fileserver und ne kleine DB.
Ich brauche genau EINEN Share für die Daten. Also bin ich so vorgegangen:
1. Alle Benutzer im AD erfasst und zu einer Gruppe MITARBEITER hinzugefügt
2. Auf dem Fileserver den gewünschten Ordner Freigegeben, dort als Berechtigung nur die Gruppe MITARBEITER hinzugefügt, mit Vollzugriff
3. Nun habe ich gelernt, dass im Sicherheits-Reiter die Gruppe BENUTZER nichts zu suchen hat. Ergo wollte ich diese löschen, was aber nur mit Deaktivierung der Vererbung geht.
4. Also Vererbung auf dem Ordner deaktiviert. Nun die neue Gruppe MITARBEITER hinzugefügt und BENUTZER gelöscht.
Nun passiert aber folgendes: Wenn ich den Administrator nicht in diese Gruppe MITARBEITER nehme, hat er keinen Zugriff auf die jeweiligen Ordner respektive Dateien. Das ist natürlich relativ schlecht. Ich schätze das liegt daran, weil die Vererbung nicht mehr aktiv ist. Aktiviere ich diese aber, nimmt er mir vom Root wieder BENUTZER rein - was ich ja nicht will.
Was klappt ist den Administrator einfach in die MITARBEITER Gruppe hinzuzufügen. Aber ist das Sinn der Sache?
Ich komme mir echt dämlich vor, es ist doch nur ein einfacher Share! Ich hoffe jemand kann mir hier Klarheit bringen, damit ich nicht mehr über so etwas triviales stolpern muss.
Gruss und etwas Gnade
Chris
Ich komme mir gerade total dumm vor und hoffe, ich werde nicht gleich zerrissen. Ansonsten müsste ich den Beitrag nochmal mit einem weiblichen Nicknamen erstellen. ;)
Aber im Ernst.
Ich habe hier ein ganz simples Konstrukt:
Einen physischen Server mit zwei virtuellen Server 2019 Maschinen. Auf einer läuft AD, DNS und DHCP, auf dem anderen Fileserver und ne kleine DB.
Ich brauche genau EINEN Share für die Daten. Also bin ich so vorgegangen:
1. Alle Benutzer im AD erfasst und zu einer Gruppe MITARBEITER hinzugefügt
2. Auf dem Fileserver den gewünschten Ordner Freigegeben, dort als Berechtigung nur die Gruppe MITARBEITER hinzugefügt, mit Vollzugriff
3. Nun habe ich gelernt, dass im Sicherheits-Reiter die Gruppe BENUTZER nichts zu suchen hat. Ergo wollte ich diese löschen, was aber nur mit Deaktivierung der Vererbung geht.
4. Also Vererbung auf dem Ordner deaktiviert. Nun die neue Gruppe MITARBEITER hinzugefügt und BENUTZER gelöscht.
Nun passiert aber folgendes: Wenn ich den Administrator nicht in diese Gruppe MITARBEITER nehme, hat er keinen Zugriff auf die jeweiligen Ordner respektive Dateien. Das ist natürlich relativ schlecht. Ich schätze das liegt daran, weil die Vererbung nicht mehr aktiv ist. Aktiviere ich diese aber, nimmt er mir vom Root wieder BENUTZER rein - was ich ja nicht will.
Was klappt ist den Administrator einfach in die MITARBEITER Gruppe hinzuzufügen. Aber ist das Sinn der Sache?
Ich komme mir echt dämlich vor, es ist doch nur ein einfacher Share! Ich hoffe jemand kann mir hier Klarheit bringen, damit ich nicht mehr über so etwas triviales stolpern muss.
Gruss und etwas Gnade
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1821454978
Url: https://administrator.de/forum/berechtigungen-freigabe-und-ntfs-richtig-setzen-1821454978.html
Ausgedruckt am: 05.04.2025 um 19:04 Uhr
9 Kommentare
Neuester Kommentar
Moin 
Was normal ist. Standard ist ganz einfach die Gruppe "Administratoren" auf dem Fileserver selbst. Duerch Aufnahme des Servers in die Domäne, wird die Gruppe "Domänen-Administratoren" zum Mitglied in der lokalen Gruppe "Administratoren", wodurch der Zugriff dann möglich ist.
Ja... Da existiert die Gruppe ja lokal. Eigentlich nichts anderes, als auf jeder beliebigen Arbeitsstation...
Gruß
Zitat von @mazenauer:
Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht?
Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht?
Was normal ist. Standard ist ganz einfach die Gruppe "Administratoren" auf dem Fileserver selbst. Duerch Aufnahme des Servers in die Domäne, wird die Gruppe "Domänen-Administratoren" zum Mitglied in der lokalen Gruppe "Administratoren", wodurch der Zugriff dann möglich ist.
Auf dem AD Server geht das aber, bloss der FS scheint diese Gruppe nicht zu finden?
Ja... Da existiert die Gruppe ja lokal. Eigentlich nichts anderes, als auf jeder beliebigen Arbeitsstation...
Gruß
Ist das echt Sinn der Sache?
Ja,"Workng as intended"Die Gruppe "Adminstratoren" ist besonders geschützt, so dass IMMER die Abfrage mit Reechteübernahme kommt, ES SEI DENN der angemeldete User hat explizite Rechte auf den Ordner/die Datei.
Abhilfe: "Eigene" Admingruppe ("DateiserverManager" o.Ä) anlegen und der dann Rechte auf NTFS Ebene vergeben.