19
Dateifreigabe in Unterordner - wie darauf zugreifen?
Hallo Leute,
ich als (frischer) IT-Admin möchte gerne eine Datei in einem Unterordner für eine Personengruppe zur Leseberechtigung freigeben.
Die übergeordneten Ordner und die anderen Dateien und Subfolder in diesem Ordner sollen aber nicht gesehen werden.
Ich habe Leseberechtigungen für den Ordner X erstellt (read, siehe capture 1), diese werden auf die Dateien vererbt, zusätzlich habe ich noch Leseberechtigungen für die eine bestimmte Datei erstellt (read+execute, siehe capture 2).
Wie kann ich der Personengruppe nun Zugang zu dieser Datei geben?
Über eine Verknüpfung in einem Ordner wo diese Personengruppe Schreibrechte hat, hat es leider nicht funktioniert.
Wo ist mein Denkfehler?
Und vlt. nebenbei noch eine Frage: Wie kann ich Berechtigungen/Dateizugriff von Usern testen, ohne diese jedesmal zu fragen ob sie mal kurz hier und da klicken können?
ich als (frischer) IT-Admin möchte gerne eine Datei in einem Unterordner für eine Personengruppe zur Leseberechtigung freigeben.
Die übergeordneten Ordner und die anderen Dateien und Subfolder in diesem Ordner sollen aber nicht gesehen werden.
Ich habe Leseberechtigungen für den Ordner X erstellt (read, siehe capture 1), diese werden auf die Dateien vererbt, zusätzlich habe ich noch Leseberechtigungen für die eine bestimmte Datei erstellt (read+execute, siehe capture 2).
Wie kann ich der Personengruppe nun Zugang zu dieser Datei geben?
Über eine Verknüpfung in einem Ordner wo diese Personengruppe Schreibrechte hat, hat es leider nicht funktioniert.
Wo ist mein Denkfehler?
Und vlt. nebenbei noch eine Frage: Wie kann ich Berechtigungen/Dateizugriff von Usern testen, ohne diese jedesmal zu fragen ob sie mal kurz hier und da klicken können?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1454262004
Url: https://administrator.de/contentid/1454262004
Printed on: April 27, 2024 at 18:04 o'clock
19 Comments
Latest comment
Moin,
Gar nicht.
Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff". Novell konnte das, aber das ist lange her.
Der Benutzer hat kein Lese-Recht auf den Ordner wo die Datei drin ist. Er darf also die Dateien nicht auflisten. Und wenn er das Recht hätte, würde er alle Dateien sehen.
Mircrosoft Grundidee ist: Man darf alles sehen, aber nicht alles nutzen.
Du brauchst also einen Ordner wo diese Datei drin ist.
Für diesen Ordner konfigurierst Du die Rechte und eine Freigabe.
Stefan
Gar nicht.
Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff". Novell konnte das, aber das ist lange her.
Der Benutzer hat kein Lese-Recht auf den Ordner wo die Datei drin ist. Er darf also die Dateien nicht auflisten. Und wenn er das Recht hätte, würde er alle Dateien sehen.
Mircrosoft Grundidee ist: Man darf alles sehen, aber nicht alles nutzen.
Du brauchst also einen Ordner wo diese Datei drin ist.
Für diesen Ordner konfigurierst Du die Rechte und eine Freigabe.
Stefan
IMHO gar nicht. Ich hab da auch schon immer mal gebastelt und mach da jetzt immer einen eigenen Ordner für sowas und setz da die Berechtigung. Blöd, ist aber so.
Zum testen kannst du ja deinen eigenen User nehmen, den du in die Sicherheitsgruppen schubst. Oder du hast halt einen eigens erstellten Testuser.
Zum testen kannst du ja deinen eigenen User nehmen, den du in die Sicherheitsgruppen schubst. Oder du hast halt einen eigens erstellten Testuser.
Moin,
Ich möchte gerne, dass mein Nachbar bei mir auf's Klo gehen kann. In den Flur darf er aber nicht. Irgendwie klappt das nicht. Wo ist der Denkfehler?
Liebe Grüße
Erik
Ich möchte gerne, dass mein Nachbar bei mir auf's Klo gehen kann. In den Flur darf er aber nicht. Irgendwie klappt das nicht. Wo ist der Denkfehler?
Liebe Grüße
Erik
Zitat von @erikro:
Ich möchte gerne, dass mein Nachbar bei mir auf's Klo gehen kann. In den Flur darf er aber nicht.
Theoretisch könnte man das ja "tunneln".Ich möchte gerne, dass mein Nachbar bei mir auf's Klo gehen kann. In den Flur darf er aber nicht.
Als ich das von Stefan über Novell las, kam mir das auch wieder dunkel ins Gedächtnis, da da mal was war.
Moin,
wenn die User einen Direktlink zum Unterordner öffnen (zB per Verknüpfung) geht das technisch. Ob das nun eine gute Lösung für euch ist, musst du bewerten
VG
wenn die User einen Direktlink zum Unterordner öffnen (zB per Verknüpfung) geht das technisch. Ob das nun eine gute Lösung für euch ist, musst du bewerten
VG
Zitat von @erikro:
Moin,
Ich möchte gerne, dass mein Nachbar bei mir auf's Klo gehen kann. In den Flur darf er aber nicht. Irgendwie klappt das nicht. Wo ist der Denkfehler?
Liebe Grüße
Erik
Moin,
Ich möchte gerne, dass mein Nachbar bei mir auf's Klo gehen kann. In den Flur darf er aber nicht. Irgendwie klappt das nicht. Wo ist der Denkfehler?
Liebe Grüße
Erik
Ähm aber das geht doch oder? Wir vererben meist nur. Wollten aber mal ähnliches. Das Problem ist mehr, dass Geräte wie Drucker dann die Pfade nicht finden können. Die wollen immer den gesamten Pfad lesen.
Eine Datei ist jetzt übertrieben. Aber ich kann doch die Parent damit tot legen? Muss dann den gesamten Pfad angeben, um in den berechtigten Ordner zu kommen.
Sorry, bin gerade etwas verwirrt. Ich meine das geht einfach: Nur dieser Ordner oder / Unterordner und Dateien.
Kann es gerade nicht testen. Aber ohne Leseberechtigung auf Parent meine ich geht es. Nur kommen Drucker u.ä. nicht damit klar.....
Moin
Eigentlich ganz einfach... Sollte man aber eigentlich nicht so in der Art konfigurieren, weil man damit nur Chaos auslöst...
Solltest Du das doch über die übergeordnete Freigabe lösen wollen, dann musst Du die Leseberechtigung bis zu dem betreffenden Unterordner auf jedem Ordner einzeln setzen, damit die Leute wirklich nur diese einzelne Ordnerstruktur sehen können.
Zusätzlich solltest Du ohnehin (falls noch nicht geschehen) im Servermanager ABE auf der Freigabe aktivieren, damit die Leute nur die Daten sehen, auf die sie auch zumindest lesenden Zugriff haben.
s.o.
Kopiere den Benutzer im AD und nimm die Kopie zum Testen. Dass Du Berechtigungen nur über Gruppen regelst und nicht über einzelne Konten, setze ich als obligatorisch voraus
UND: Eigentlich sollte man sich eher Gedanken machen um eine vernünftige Ordnerstruktur, die Dich erst gar nicht auf den blöden Gedanken. Das, was Du da vorhast (aufbrechen von Berechtigungsstrukturen) , stürzt ein Netzwerk früher oder später ins Chaos, weil irgendwann niemand mehr genau weiß, auf was wer Zugriff hat oder auch nicht.
Gruß
Eigentlich ganz einfach... Sollte man aber eigentlich nicht so in der Art konfigurieren, weil man damit nur Chaos auslöst...
Zitat von @pkaneX43:
Die übergeordneten Ordner und die anderen Dateien und Subfolder in diesem Ordner sollen aber nicht gesehen werden.
Dann musst Du den einzelnen Ordner freigeben, in dem die Datei liegt und der Personengruppe diese eine Freigabe zuteilen. Per GPO oder wie auch immer.Die übergeordneten Ordner und die anderen Dateien und Subfolder in diesem Ordner sollen aber nicht gesehen werden.
Ich habe Leseberechtigungen für den Ordner X erstellt (read, siehe capture 1), diese werden auf die Dateien vererbt, zusätzlich habe ich noch Leseberechtigungen für die eine bestimmte Datei erstellt (read+execute, siehe capture 2).
Wie kann ich der Personengruppe nun Zugang zu dieser Datei geben?
Das Problem ist, dass Du die Berechtigung für "This folder and files" erstellt hast. Du musst die Vererbung aufbrechen und dann die Berechtigung zweimal einstellen: Einmal "Lesen" nur auf dem Ordner und einmal "Lesen" auf der einzelnen Datei.Wie kann ich der Personengruppe nun Zugang zu dieser Datei geben?
Solltest Du das doch über die übergeordnete Freigabe lösen wollen, dann musst Du die Leseberechtigung bis zu dem betreffenden Unterordner auf jedem Ordner einzeln setzen, damit die Leute wirklich nur diese einzelne Ordnerstruktur sehen können.
Zusätzlich solltest Du ohnehin (falls noch nicht geschehen) im Servermanager ABE auf der Freigabe aktivieren, damit die Leute nur die Daten sehen, auf die sie auch zumindest lesenden Zugriff haben.
Wo ist mein Denkfehler?
s.o.
Und vlt. nebenbei noch eine Frage: Wie kann ich Berechtigungen/Dateizugriff von Usern testen, ohne diese jedesmal zu fragen ob sie mal kurz hier und da klicken können?
Kopiere den Benutzer im AD und nimm die Kopie zum Testen. Dass Du Berechtigungen nur über Gruppen regelst und nicht über einzelne Konten, setze ich als obligatorisch voraus
UND: Eigentlich sollte man sich eher Gedanken machen um eine vernünftige Ordnerstruktur, die Dich erst gar nicht auf den blöden Gedanken. Das, was Du da vorhast (aufbrechen von Berechtigungsstrukturen) , stürzt ein Netzwerk früher oder später ins Chaos, weil irgendwann niemand mehr genau weiß, auf was wer Zugriff hat oder auch nicht.
Gruß
Hey, danke für die schnellen Antworten.
Die Datei wird bereits von anderen Usern benutzt und soll im Idealfall da bleiben wo sie ist.
Die Usergruppe die nun neu die Leserechte bekommen soll, soll im Idealfall die anderen Ordner und Dateien nicht sehen.
Hört sich so an, als ob mein "Idealfall" aber nicht machbar ist.
Manchmal sieht man ja den Wald vor lauter Bäumen nicht, habe nun zum testen erst einmal einen TestUser angelegt und guck mir das Thema am Montag weiter an.
ggf. melde ich mich wieder hier.
Vielen Dank erst einmal.
Die Datei wird bereits von anderen Usern benutzt und soll im Idealfall da bleiben wo sie ist.
Die Usergruppe die nun neu die Leserechte bekommen soll, soll im Idealfall die anderen Ordner und Dateien nicht sehen.
Hört sich so an, als ob mein "Idealfall" aber nicht machbar ist.
Manchmal sieht man ja den Wald vor lauter Bäumen nicht, habe nun zum testen erst einmal einen TestUser angelegt und guck mir das Thema am Montag weiter an.
ggf. melde ich mich wieder hier.
Vielen Dank erst einmal.
Hallo zusammen,
ohne es jetzt ausprobiert zu haben ... wäre es nicht über Hardlinks direkt umsetzbar? Von welchem Ordner wären dann die Rechte vererbt?
Also einen Ordner auf einer anderen Ebene erzeugen und darin die Dateien verlinken. Somit wäre die Sichtbarkeit der oberen Ordnerstruktur nicht mehr ausschlaggebend.
Kann auch eine Freitags-Nachmittags-Schnapsidee gewesen sein
Schönes WE.
ohne es jetzt ausprobiert zu haben ... wäre es nicht über Hardlinks direkt umsetzbar? Von welchem Ordner wären dann die Rechte vererbt?
Also einen Ordner auf einer anderen Ebene erzeugen und darin die Dateien verlinken. Somit wäre die Sichtbarkeit der oberen Ordnerstruktur nicht mehr ausschlaggebend.
Kann auch eine Freitags-Nachmittags-Schnapsidee gewesen sein
Schönes WE.
Hallo
Möglichkeit 1:
Damit kann sich die entsprechende Benutzergruppe bis zu dieser Datei vorabeiten, und sieht keine anderen Daten
Möglichkeit 2:
Erstelle direkt in der Freigabe auf dem Server einen Hardlink ( mklink /h) auf die Datei. Dann musst du nur
die Rechte auf die Datei setzen. Der Nachteil davon ist, dass dann die Datei für andere Benutzer direkt in der Freigabe, und auch im Unterverzeichnis angezeigt wird.
Grüße
Möglichkeit 1:
- ABE ( Accessed Based Enumeration) muss auf der Freigabe gesetzt sein ( wurde weiter oben schon erwähnt)
- Von der Freigabe aus auf alle Ordner die darunter liegen ( bis zu dieser Datei) , diesen Zugriff einrichten (wichtig: nicht auf "Ordner und Unterordner")
- auf die Datei dann den Lesezugriff einrichten.
Damit kann sich die entsprechende Benutzergruppe bis zu dieser Datei vorabeiten, und sieht keine anderen Daten
Möglichkeit 2:
Erstelle direkt in der Freigabe auf dem Server einen Hardlink ( mklink /h) auf die Datei. Dann musst du nur
die Rechte auf die Datei setzen. Der Nachteil davon ist, dass dann die Datei für andere Benutzer direkt in der Freigabe, und auch im Unterverzeichnis angezeigt wird.
Grüße
Zitat von @pkaneX43:
Die Datei wird bereits von anderen Usern benutzt und soll im Idealfall da bleiben wo sie ist.
Die Usergruppe die nun neu die Leserechte bekommen soll, soll im Idealfall die anderen Ordner und Dateien nicht sehen.
Die Datei wird bereits von anderen Usern benutzt und soll im Idealfall da bleiben wo sie ist.
Die Usergruppe die nun neu die Leserechte bekommen soll, soll im Idealfall die anderen Ordner und Dateien nicht sehen.
Würde ich ebenfalls nicht machen.
Das klingt für mich eher danach die Datei auszulagern und eine "Arbeitsgruppe" anzulegen.
Dort dann entsprechend berechtigen und am bisherigen Ort einfach eine Verknüpfung erstellen, dann gibt's auch kein direktes Problem für die bisherigen Nutzer.
Grüße
ToWa
Hallo,
das mit mklink find ich noch halbwegs gut. Das mit den ABEs nicht.
Stichwort hier: Übersichtlichkeit und Dokumentation.
Wenn Jemand später an den Berechtigungen etwas ändert rechnet er vieleicht nicht damit, je nachdem wie gut die Doku ist. KISS = keep it simple stupid. Eine einfache Struktur spart später möglichweise rumfummeln.
Stefan
das mit mklink find ich noch halbwegs gut. Das mit den ABEs nicht.
Stichwort hier: Übersichtlichkeit und Dokumentation.
Wenn Jemand später an den Berechtigungen etwas ändert rechnet er vieleicht nicht damit, je nachdem wie gut die Doku ist. KISS = keep it simple stupid. Eine einfache Struktur spart später möglichweise rumfummeln.
Stefan
Hallo pkanex43,
du kannst das mit einer sauberen Berechtigungsstruktur problemlos lösen. Nehmen wir man an, Abteilung A hat einen Ordner "Abteilungsordner". Dafür hast du eine Gruppe "GR-ABT-A" angelegt.
Mitarbeiter aus Abteilung B müssen nun eine Datei datei.txt lesen.
Du musst noch beachten, dass manche Anwendungen zum Bearbeiten temporäre versteckte Dateien anlegen. Das Erstellen eines Hardlinks kann in Verbindung mit "Ändern"-Berechtigungen an beiden Stellen zum gegenseitigen Überschreiben führen, da die Lockfiles der Anwendung in 2 verschiedenen Ordnern liegen (bzw. der SMB-Lock auf 2 verschiedene Ziele zeigt) Ich würde hier lieber einen gemeinsamen Ordner anlegen und ohne Links arbeiten.
Wenn du sehen möchtest, wer auf einem Ordner Zugriff hat, kannst du die "Effektiven Berechtigungen" anzeigen lassen. Die findest du unter "Sicherheit" -> "Erweitert" -> "Effektiver Zugriff". Dort wählst du einen Benutzer von Interesse und klickst auf Effektiven Zugriff Anzeigen.
Besser ist es natürlich, seine Berechtigungsstrukturen klar zu kennen, Du kannst das ganze mit etwas Übung auch scripten und so die Berechtigungen immer konsistent halten.
vlg
du kannst das mit einer sauberen Berechtigungsstruktur problemlos lösen. Nehmen wir man an, Abteilung A hat einen Ordner "Abteilungsordner". Dafür hast du eine Gruppe "GR-ABT-A" angelegt.
Mitarbeiter aus Abteilung B müssen nun eine Datei datei.txt lesen.
X:\DATEN\Abteilungsordner GR-ABT-A Nur dieser Ordner Lesen
X:\DATEN\Abteilungsordner GR-ABT-A Nur dieser Ordner Dateien, Ordner Erstellen
X:\DATEN\Abteilungsordner GR-ABT-A Nur Unterordner und Dateien Ändern
X:\DATEN\Abteilungsordner GR-ABT-B Nur dieser Ordner Lesen
X:\DATEN\Abteilungsordner\datei.txt GR-ABT-B LesenX:\DATEN\Abteilungsordner GR-ABT-B Nur dieser Ordner Lesen
X:\DATEN\Abteilungsordner\Gemeinsam GR-ABT-B Dieser Ordner, Dateien Lesen
X:\DATEN\Abteilungsordner\Gemeinsam GR-ABT-B Nur dieser Ordner Dateien erstellen
X:\DATEN\Abteilungsordner\Gemeinsam GR-ABT-B Nur Dateien ÄndernWenn du sehen möchtest, wer auf einem Ordner Zugriff hat, kannst du die "Effektiven Berechtigungen" anzeigen lassen. Die findest du unter "Sicherheit" -> "Erweitert" -> "Effektiver Zugriff". Dort wählst du einen Benutzer von Interesse und klickst auf Effektiven Zugriff Anzeigen.
Besser ist es natürlich, seine Berechtigungsstrukturen klar zu kennen, Du kannst das ganze mit etwas Übung auch scripten und so die Berechtigungen immer konsistent halten.
vlg
Moin.
Ergo: Auf oberster Ebene der Gruppe "Domänen-Benutzer" (oder anderen Gruppen) Leserechte "nur für diesen Ordner" geben und die Unterordner entsprechend berechtigen. Damit kann jeder das Share öffnen, sieht aber nur das, worauf er dann auch Zugriff hat.
Cheers,
jsysde
Zitat von @StefanKittel:
[...]Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff".[...]
Wie meinen? Selbstverständlich geht das, nennt sich "Access based enumeration" (Zugriffsbasierte Aufzählung) und lässt sich seit imho 2008R2 einfach in jedem Share aktivieren. Klappt sogar mit DFS.[...]Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff".[...]
Ergo: Auf oberster Ebene der Gruppe "Domänen-Benutzer" (oder anderen Gruppen) Leserechte "nur für diesen Ordner" geben und die Unterordner entsprechend berechtigen. Damit kann jeder das Share öffnen, sieht aber nur das, worauf er dann auch Zugriff hat.
Cheers,
jsysde
Zitat von @jsysde:
[...]Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff".[...]
Wie meinen? Selbstverständlich geht das, nennt sich "Access based enumeration" (Zugriffsbasierte Aufzählung) und lässt sich seit imho 2008R2 einfach in jedem Share aktivieren. Klappt sogar mit DFS.Beim Terminus hät ich wirklich passen müssen. Wir nutzen normal auch die "Standard-Berechtigungen" um es übersichtlicher zu halten.
Ich müsste es nun wirklich nochmal nachbauen. Die Unterordner bis zur gewünschten Destination hatten aber keine Berechtigung - nicht mal lesen. Man musste immer den kompleten Pfad angeben, da sonst der Explorer es mit einen Fehler quittiert. Mit korrekten Pfad war Zugriff möglich.
Einzig Geräte wie Drucker mögen das nicht. Oder kommen teils auch nicht mit DFS klar. Unsere Ricoh gehen direkt aufs NAS. DFS mögen die nicht. Oben genanntes eben so wenig. Wollen immer den kompletten Pfad "sehen". Ich mutmaße mal, dass das Drucker OS ggf. den Pfad zerlegt und nach Prüfung erst speichert.
Unter Windows ist es "transparenter". Kein Zugriff auf parent folder. Auf den entsprechendne Subfolder sehr wohl. Wenn es nur einen User oder Gruppe betrifft, ist es sogar recht übersichtlich einzurichten und zu dokumentieren.
Zitat von @jsysde:
Moin.
Ja, es geht. Aber es muss einen Grund geben warum das Niemand nutzt Moin.
Zitat von @StefanKittel:
[...]Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff".[...]
Wie meinen? Selbstverständlich geht das, nennt sich "Access based enumeration" (Zugriffsbasierte Aufzählung) und lässt sich seit imho 2008R2 einfach in jedem Share aktivieren. Klappt sogar mit DFS.[...]Windows kennt out of the Box kein "Ausblenden wenn keinen Zugriff".[...]
In Novel war es out of the Box aktiviert und integriert.
Stefan
Das gute alte Netware. Das war so eine schöne Zeit.
Die ABE gehört per default aktiv. Aber dann würde ja Microsofts supertolle Admin-Troll-Funktion "Zugriff Anfordern" keinen Sinn mehr ergeben.
Die ABE gehört per default aktiv. Aber dann würde ja Microsofts supertolle Admin-Troll-Funktion "Zugriff Anfordern" keinen Sinn mehr ergeben.
Hallo Leute,
ich bin leider letzte Woche ausgefallen und habe es mir heute wieder angeguckt.
Vielen Dank für eure Antworten.
Am Ende des Tages habe ich es noch einmal so angelegt wie ich es mir selbst gedacht hatte, habe es dann mit dem Testuser ausprobiert und interessanterweise ging es ... dann die enstprechenden Kollegen zum Test gebeten und es ging auch ...
keine Ahnung was ich beim ersten Mal vlt. falsch angelegt habe, aber es geht nun wie gewünscht.
Vielen Dank für eure Hilfe.
ich bin leider letzte Woche ausgefallen und habe es mir heute wieder angeguckt.
Vielen Dank für eure Antworten.
Am Ende des Tages habe ich es noch einmal so angelegt wie ich es mir selbst gedacht hatte, habe es dann mit dem Testuser ausprobiert und interessanterweise ging es ... dann die enstprechenden Kollegen zum Test gebeten und es ging auch ...
keine Ahnung was ich beim ersten Mal vlt. falsch angelegt habe, aber es geht nun wie gewünscht.
Vielen Dank für eure Hilfe.
