pkanex43
Goto Top

Dateifreigabe in Unterordner - wie darauf zugreifen?

Hallo Leute,

ich als (frischer) IT-Admin möchte gerne eine Datei in einem Unterordner für eine Personengruppe zur Leseberechtigung freigeben.

Die übergeordneten Ordner und die anderen Dateien und Subfolder in diesem Ordner sollen aber nicht gesehen werden.

Ich habe Leseberechtigungen für den Ordner X erstellt (read, siehe capture 1), diese werden auf die Dateien vererbt, zusätzlich habe ich noch Leseberechtigungen für die eine bestimmte Datei erstellt (read+execute, siehe capture 2).

Wie kann ich der Personengruppe nun Zugang zu dieser Datei geben?

Über eine Verknüpfung in einem Ordner wo diese Personengruppe Schreibrechte hat, hat es leider nicht funktioniert.

Wo ist mein Denkfehler?

Und vlt. nebenbei noch eine Frage: Wie kann ich Berechtigungen/Dateizugriff von Usern testen, ohne diese jedesmal zu fragen ob sie mal kurz hier und da klicken können? face-wink
capture1
capture2

Content-Key: 1454262004

Url: https://administrator.de/contentid/1454262004

Printed on: April 13, 2024 at 13:04 o'clock

Member: StefanKittel
StefanKittel Jan 12, 2024 at 10:16:24 (UTC)
Goto Top
Moin,

Zitat von @pkaneX43:
Wie kann ich der Personengruppe nun Zugang zu dieser Datei geben?
Gar nicht.

Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff". Novell konnte das, aber das ist lange her.
Der Benutzer hat kein Lese-Recht auf den Ordner wo die Datei drin ist. Er darf also die Dateien nicht auflisten. Und wenn er das Recht hätte, würde er alle Dateien sehen.

Mircrosoft Grundidee ist: Man darf alles sehen, aber nicht alles nutzen.

Du brauchst also einen Ordner wo diese Datei drin ist.
Für diesen Ordner konfigurierst Du die Rechte und eine Freigabe.

Stefan
Member: kpunkt
kpunkt Jan 12, 2024 at 10:18:29 (UTC)
Goto Top
IMHO gar nicht. Ich hab da auch schon immer mal gebastelt und mach da jetzt immer einen eigenen Ordner für sowas und setz da die Berechtigung. Blöd, ist aber so.

Zum testen kannst du ja deinen eigenen User nehmen, den du in die Sicherheitsgruppen schubst. Oder du hast halt einen eigens erstellten Testuser.
Member: erikro
erikro Jan 12, 2024 at 10:28:52 (UTC)
Goto Top
Moin,

Zitat von @pkaneX43:
Wo ist mein Denkfehler?

Ich möchte gerne, dass mein Nachbar bei mir auf's Klo gehen kann. In den Flur darf er aber nicht. Irgendwie klappt das nicht. Wo ist der Denkfehler? face-wink

Liebe Grüße

Erik
Member: kpunkt
kpunkt Jan 12, 2024 at 10:31:51 (UTC)
Goto Top
Zitat von @erikro:
Ich möchte gerne, dass mein Nachbar bei mir auf's Klo gehen kann. In den Flur darf er aber nicht.
Theoretisch könnte man das ja "tunneln".

Als ich das von Stefan über Novell las, kam mir das auch wieder dunkel ins Gedächtnis, da da mal was war.
Member: JasperBeardley
JasperBeardley Jan 12, 2024 at 11:15:46 (UTC)
Goto Top
Moin,

das Stichwort was du suchst ist "ABE" (Access Based Enumeration)

ABE

Gruß
Jasper
Member: Tezzla
Tezzla Jan 12, 2024 at 11:43:47 (UTC)
Goto Top
Moin,

wenn die User einen Direktlink zum Unterordner öffnen (zB per Verknüpfung) geht das technisch. Ob das nun eine gute Lösung für euch ist, musst du bewerten face-wink

VG
Member: Crusher79
Crusher79 Jan 12, 2024 at 12:27:49 (UTC)
Goto Top
Zitat von @erikro:

Moin,

Zitat von @pkaneX43:
Wo ist mein Denkfehler?

Ich möchte gerne, dass mein Nachbar bei mir auf's Klo gehen kann. In den Flur darf er aber nicht. Irgendwie klappt das nicht. Wo ist der Denkfehler? face-wink

Liebe Grüße

Erik

Ähm aber das geht doch oder? Wir vererben meist nur. Wollten aber mal ähnliches. Das Problem ist mehr, dass Geräte wie Drucker dann die Pfade nicht finden können. Die wollen immer den gesamten Pfad lesen.

Eine Datei ist jetzt übertrieben. Aber ich kann doch die Parent damit tot legen? Muss dann den gesamten Pfad angeben, um in den berechtigten Ordner zu kommen.

Sorry, bin gerade etwas verwirrt. Ich meine das geht einfach: Nur dieser Ordner oder / Unterordner und Dateien.

Kann es gerade nicht testen. Aber ohne Leseberechtigung auf Parent meine ich geht es. Nur kommen Drucker u.ä. nicht damit klar.....
Member: Hubert.N
Hubert.N Jan 12, 2024 updated at 12:58:09 (UTC)
Goto Top
Moin

Eigentlich ganz einfach... Sollte man aber eigentlich nicht so in der Art konfigurieren, weil man damit nur Chaos auslöst...

Zitat von @pkaneX43:
Die übergeordneten Ordner und die anderen Dateien und Subfolder in diesem Ordner sollen aber nicht gesehen werden.
Dann musst Du den einzelnen Ordner freigeben, in dem die Datei liegt und der Personengruppe diese eine Freigabe zuteilen. Per GPO oder wie auch immer.

Ich habe Leseberechtigungen für den Ordner X erstellt (read, siehe capture 1), diese werden auf die Dateien vererbt, zusätzlich habe ich noch Leseberechtigungen für die eine bestimmte Datei erstellt (read+execute, siehe capture 2).
Wie kann ich der Personengruppe nun Zugang zu dieser Datei geben?
Das Problem ist, dass Du die Berechtigung für "This folder and files" erstellt hast. Du musst die Vererbung aufbrechen und dann die Berechtigung zweimal einstellen: Einmal "Lesen" nur auf dem Ordner und einmal "Lesen" auf der einzelnen Datei.
Solltest Du das doch über die übergeordnete Freigabe lösen wollen, dann musst Du die Leseberechtigung bis zu dem betreffenden Unterordner auf jedem Ordner einzeln setzen, damit die Leute wirklich nur diese einzelne Ordnerstruktur sehen können.
Zusätzlich solltest Du ohnehin (falls noch nicht geschehen) im Servermanager ABE auf der Freigabe aktivieren, damit die Leute nur die Daten sehen, auf die sie auch zumindest lesenden Zugriff haben.

Wo ist mein Denkfehler?

s.o.

Und vlt. nebenbei noch eine Frage: Wie kann ich Berechtigungen/Dateizugriff von Usern testen, ohne diese jedesmal zu fragen ob sie mal kurz hier und da klicken können? face-wink

Kopiere den Benutzer im AD und nimm die Kopie zum Testen. Dass Du Berechtigungen nur über Gruppen regelst und nicht über einzelne Konten, setze ich als obligatorisch voraus

UND: Eigentlich sollte man sich eher Gedanken machen um eine vernünftige Ordnerstruktur, die Dich erst gar nicht auf den blöden Gedanken. Das, was Du da vorhast (aufbrechen von Berechtigungsstrukturen) , stürzt ein Netzwerk früher oder später ins Chaos, weil irgendwann niemand mehr genau weiß, auf was wer Zugriff hat oder auch nicht.

Gruß
Member: pkaneX43
pkaneX43 Jan 12, 2024 at 12:57:53 (UTC)
Goto Top
Hey, danke für die schnellen Antworten.

Die Datei wird bereits von anderen Usern benutzt und soll im Idealfall da bleiben wo sie ist.
Die Usergruppe die nun neu die Leserechte bekommen soll, soll im Idealfall die anderen Ordner und Dateien nicht sehen.

Hört sich so an, als ob mein "Idealfall" aber nicht machbar ist. face-wink

Manchmal sieht man ja den Wald vor lauter Bäumen nicht, habe nun zum testen erst einmal einen TestUser angelegt und guck mir das Thema am Montag weiter an.

ggf. melde ich mich wieder hier.

Vielen Dank erst einmal.
Member: AlRoDiSa
AlRoDiSa Jan 12, 2024 updated at 14:39:12 (UTC)
Goto Top
Hallo zusammen,

ohne es jetzt ausprobiert zu haben ... wäre es nicht über Hardlinks direkt umsetzbar? Von welchem Ordner wären dann die Rechte vererbt?
Also einen Ordner auf einer anderen Ebene erzeugen und darin die Dateien verlinken. Somit wäre die Sichtbarkeit der oberen Ordnerstruktur nicht mehr ausschlaggebend.

Kann auch eine Freitags-Nachmittags-Schnapsidee gewesen sein face-wink

Schönes WE.
Member: IntelOutside
IntelOutside Jan 12, 2024 updated at 15:06:03 (UTC)
Goto Top
Hallo

Möglichkeit 1:

  • ABE ( Accessed Based Enumeration) muss auf der Freigabe gesetzt sein ( wurde weiter oben schon erwähnt)
  • Von der Freigabe aus auf alle Ordner die darunter liegen ( bis zu dieser Datei) , diesen Zugriff einrichten (wichtig: nicht auf "Ordner und Unterordner")
ordner

  • auf die Datei dann den Lesezugriff einrichten.

Damit kann sich die entsprechende Benutzergruppe bis zu dieser Datei vorabeiten, und sieht keine anderen Daten

Möglichkeit 2:

Erstelle direkt in der Freigabe auf dem Server einen Hardlink ( mklink /h) auf die Datei. Dann musst du nur
die Rechte auf die Datei setzen. Der Nachteil davon ist, dass dann die Datei für andere Benutzer direkt in der Freigabe, und auch im Unterverzeichnis angezeigt wird.

Grüße
Member: dertowa
dertowa Jan 12, 2024 at 18:19:22 (UTC)
Goto Top
Zitat von @pkaneX43:

Die Datei wird bereits von anderen Usern benutzt und soll im Idealfall da bleiben wo sie ist.
Die Usergruppe die nun neu die Leserechte bekommen soll, soll im Idealfall die anderen Ordner und Dateien nicht sehen.

Würde ich ebenfalls nicht machen.
Das klingt für mich eher danach die Datei auszulagern und eine "Arbeitsgruppe" anzulegen.
Dort dann entsprechend berechtigen und am bisherigen Ort einfach eine Verknüpfung erstellen, dann gibt's auch kein direktes Problem für die bisherigen Nutzer. face-smile

Grüße
ToWa
Member: StefanKittel
StefanKittel Jan 12, 2024 at 19:59:40 (UTC)
Goto Top
Hallo,

das mit mklink find ich noch halbwegs gut. Das mit den ABEs nicht.
Stichwort hier: Übersichtlichkeit und Dokumentation.

Wenn Jemand später an den Berechtigungen etwas ändert rechnet er vieleicht nicht damit, je nachdem wie gut die Doku ist. KISS = keep it simple stupid. Eine einfache Struktur spart später möglichweise rumfummeln.

Stefan
Member: datasearch
datasearch Jan 13, 2024 at 20:03:12 (UTC)
Goto Top
Hallo pkanex43,

du kannst das mit einer sauberen Berechtigungsstruktur problemlos lösen. Nehmen wir man an, Abteilung A hat einen Ordner "Abteilungsordner". Dafür hast du eine Gruppe "GR-ABT-A" angelegt.
Mitarbeiter aus Abteilung B müssen nun eine Datei datei.txt lesen.
X:\DATEN\Abteilungsordner            GR-ABT-A     Nur dieser Ordner              Lesen
X:\DATEN\Abteilungsordner            GR-ABT-A     Nur dieser Ordner              Dateien, Ordner Erstellen
X:\DATEN\Abteilungsordner            GR-ABT-A     Nur Unterordner und Dateien    Ändern
X:\DATEN\Abteilungsordner            GR-ABT-B     Nur dieser Ordner              Lesen
X:\DATEN\Abteilungsordner\datei.txt  GR-ABT-B                                    Lesen
Du musst noch beachten, dass manche Anwendungen zum Bearbeiten temporäre versteckte Dateien anlegen. Das Erstellen eines Hardlinks kann in Verbindung mit "Ändern"-Berechtigungen an beiden Stellen zum gegenseitigen Überschreiben führen, da die Lockfiles der Anwendung in 2 verschiedenen Ordnern liegen (bzw. der SMB-Lock auf 2 verschiedene Ziele zeigt) Ich würde hier lieber einen gemeinsamen Ordner anlegen und ohne Links arbeiten.

X:\DATEN\Abteilungsordner            GR-ABT-B     Nur dieser Ordner           Lesen
X:\DATEN\Abteilungsordner\Gemeinsam  GR-ABT-B     Dieser Ordner, Dateien      Lesen
X:\DATEN\Abteilungsordner\Gemeinsam  GR-ABT-B     Nur dieser Ordner           Dateien erstellen
X:\DATEN\Abteilungsordner\Gemeinsam  GR-ABT-B     Nur Dateien                 Ändern

Wenn du sehen möchtest, wer auf einem Ordner Zugriff hat, kannst du die "Effektiven Berechtigungen" anzeigen lassen. Die findest du unter "Sicherheit" -> "Erweitert" -> "Effektiver Zugriff". Dort wählst du einen Benutzer von Interesse und klickst auf Effektiven Zugriff Anzeigen.

Besser ist es natürlich, seine Berechtigungsstrukturen klar zu kennen, Du kannst das ganze mit etwas Übung auch scripten und so die Berechtigungen immer konsistent halten.

vlg
Member: jsysde
jsysde Jan 13, 2024 at 20:07:05 (UTC)
Goto Top
Moin.
Zitat von @StefanKittel:
[...]Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff".[...]
Wie meinen? Selbstverständlich geht das, nennt sich "Access based enumeration" (Zugriffsbasierte Aufzählung) und lässt sich seit imho 2008R2 einfach in jedem Share aktivieren. Klappt sogar mit DFS.

Ergo: Auf oberster Ebene der Gruppe "Domänen-Benutzer" (oder anderen Gruppen) Leserechte "nur für diesen Ordner" geben und die Unterordner entsprechend berechtigen. Damit kann jeder das Share öffnen, sieht aber nur das, worauf er dann auch Zugriff hat.

Cheers,
jsysde
Member: Crusher79
Crusher79 Jan 13, 2024 at 20:31:08 (UTC)
Goto Top
Zitat von @jsysde:

[...]Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff".[...]
Wie meinen? Selbstverständlich geht das, nennt sich "Access based enumeration" (Zugriffsbasierte Aufzählung) und lässt sich seit imho 2008R2 einfach in jedem Share aktivieren. Klappt sogar mit DFS.

Beim Terminus hät ich wirklich passen müssen. Wir nutzen normal auch die "Standard-Berechtigungen" um es übersichtlicher zu halten.

Ich müsste es nun wirklich nochmal nachbauen. Die Unterordner bis zur gewünschten Destination hatten aber keine Berechtigung - nicht mal lesen. Man musste immer den kompleten Pfad angeben, da sonst der Explorer es mit einen Fehler quittiert. Mit korrekten Pfad war Zugriff möglich.

Einzig Geräte wie Drucker mögen das nicht. Oder kommen teils auch nicht mit DFS klar. Unsere Ricoh gehen direkt aufs NAS. DFS mögen die nicht. Oben genanntes eben so wenig. Wollen immer den kompletten Pfad "sehen". Ich mutmaße mal, dass das Drucker OS ggf. den Pfad zerlegt und nach Prüfung erst speichert.

Unter Windows ist es "transparenter". Kein Zugriff auf parent folder. Auf den entsprechendne Subfolder sehr wohl. Wenn es nur einen User oder Gruppe betrifft, ist es sogar recht übersichtlich einzurichten und zu dokumentieren.
Member: StefanKittel
StefanKittel Jan 13, 2024 at 21:08:26 (UTC)
Goto Top
Zitat von @jsysde:
Moin.
Zitat von @StefanKittel:
[...]Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff".[...]
Wie meinen? Selbstverständlich geht das, nennt sich "Access based enumeration" (Zugriffsbasierte Aufzählung) und lässt sich seit imho 2008R2 einfach in jedem Share aktivieren. Klappt sogar mit DFS.
Ja, es geht. Aber es muss einen Grund geben warum das Niemand nutzt face-smile

In Novel war es out of the Box aktiviert und integriert.

Stefan
Member: datasearch
datasearch Jan 14, 2024 at 17:54:28 (UTC)
Goto Top
Das gute alte Netware. Das war so eine schöne Zeit. face-smile

Die ABE gehört per default aktiv. Aber dann würde ja Microsofts supertolle Admin-Troll-Funktion "Zugriff Anfordern" keinen Sinn mehr ergeben.
Member: pkaneX43
pkaneX43 Jan 22, 2024 at 08:25:59 (UTC)
Goto Top
Hallo Leute,

ich bin leider letzte Woche ausgefallen und habe es mir heute wieder angeguckt.

Vielen Dank für eure Antworten.

Am Ende des Tages habe ich es noch einmal so angelegt wie ich es mir selbst gedacht hatte, habe es dann mit dem Testuser ausprobiert und interessanterweise ging es ... dann die enstprechenden Kollegen zum Test gebeten und es ging auch ...

keine Ahnung was ich beim ersten Mal vlt. falsch angelegt habe, aber es geht nun wie gewünscht.

Vielen Dank für eure Hilfe.