5
Definierter Ordner für ein nicht Domain Pc freigeben - Berechtigung in Domain
Definierter Ordner für ein nicht Domän Pc freigeben
Hallo zusammen.
Wir haben folgendes Aufbau:
- SBS 2008R2 - Dient auch als Filesever
- Windows PC der nicht in der Domäne ist.
Ziel ist es, dass man von diesem Windows PC Zugriff auf einen Freigabeordner des Servers bekommt. Und zwar ausschließlich auf diesen Ordner.
Mein erster Gedanke dazu war folgender: AD-Benutzer erstellen, und diesem nur Rechte für diesen einen Ordner zu geben und dann an dem PC den Ordner mit dem Benutzt verbinden.
Dabei musste ich zu meiner Schande feststellen, dass ich offenbar nicht vollständig zu 100% verstanden habe, wie die Berechtigungen in einer Domäne funktionieren.
Ich habe zum testen einen Test-Benutzer angelegt und diesen aus der Gruppe "Domän-Benutzer" genommen. Auf einem beliebigen Win PC/Sever in der Domäne habe ich einen Ordner erstellt um die Berechtigung zu testen. Das Ergebnis ist, dass dieser Testbenutzer Lese-Rechte auf den Ordner besitzt. Zumindest laut dieser Funktion, mit der man die Effektive Berechtigung testen kann.
Kommt dies durch die Gruppe Authentifizierte Benutzer?
Heißt das, dass jeder AD-Benutzer grundsätzlich mindestens Lese-Rechte auf einen beliebigen Ordner in der Domäne hat ( solange es sich nicht um einen Ordner handelt, auf dem z.b. nur der Admin, oder ein spezieller Benutzer Zugriff hat)?
Ob der Benutzer dabei an dem PC wirklich mal angemeldet war oder nicht, ist dabei wohl egal?
Hallo zusammen.
Wir haben folgendes Aufbau:
- SBS 2008R2 - Dient auch als Filesever
- Windows PC der nicht in der Domäne ist.
Ziel ist es, dass man von diesem Windows PC Zugriff auf einen Freigabeordner des Servers bekommt. Und zwar ausschließlich auf diesen Ordner.
Mein erster Gedanke dazu war folgender: AD-Benutzer erstellen, und diesem nur Rechte für diesen einen Ordner zu geben und dann an dem PC den Ordner mit dem Benutzt verbinden.
Dabei musste ich zu meiner Schande feststellen, dass ich offenbar nicht vollständig zu 100% verstanden habe, wie die Berechtigungen in einer Domäne funktionieren.
Ich habe zum testen einen Test-Benutzer angelegt und diesen aus der Gruppe "Domän-Benutzer" genommen. Auf einem beliebigen Win PC/Sever in der Domäne habe ich einen Ordner erstellt um die Berechtigung zu testen. Das Ergebnis ist, dass dieser Testbenutzer Lese-Rechte auf den Ordner besitzt. Zumindest laut dieser Funktion, mit der man die Effektive Berechtigung testen kann.
Kommt dies durch die Gruppe Authentifizierte Benutzer?
Heißt das, dass jeder AD-Benutzer grundsätzlich mindestens Lese-Rechte auf einen beliebigen Ordner in der Domäne hat ( solange es sich nicht um einen Ordner handelt, auf dem z.b. nur der Admin, oder ein spezieller Benutzer Zugriff hat)?
Ob der Benutzer dabei an dem PC wirklich mal angemeldet war oder nicht, ist dabei wohl egal?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 491043
Url: https://administrator.de/contentid/491043
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
Wenn diese in der ACL drin stehen, ja.
E.
Wenn diese in der ACL drin stehen, ja.
Heißt das, dass jeder AD-Benutzer grundsätzlich mindestens Lese-Rechte auf einen beliebigen Ordner in der Domäne hat
Nein. Nur dort, wo er direkt oder durch seine Gruppenmitgliedschaft Rechte zugeteilt bekommt. Die "Mitgliedschaft" in "Authentifizierte Benutzer" und "Jeder" zählen da natürlich mit. Also passe die ACLs aller Ordner an, wo diese beiden Standard-"Gruppen" verwendet werden. Nimm sie da raus oder, wenn es passt, verweigere diesem einen Benutzer explit das Lese-Recht. Verweigerungen haben Vorrang.E.
na "jeder" ist so wie das seit Urzeiten deaktiverte Gastkonto... es ist allerdings auch so daß das nicht immer klappt mit den "authenticated users", da haben wir dann auf dem Nicht-Domänen-PC eine Arbeitsgruppe eingerichtet die denselben Namen hatte wie die Netbios-Version des Domänennamens... "jeder" ist so der letzte Rettungsanker wenn der Zugriff z.B. aus von einem Windows Rechner kommt, der sich gegen einen Novell-Server authentifiziert hat.
Sorry, aber ich verstehe bloß "Bahnhof". Was willst Du sagen?
Zitat von @emeriks:
Hi,
Wenn diese in der ACL drin stehen, ja.
E.
Hi,
Wenn diese in der ACL drin stehen, ja.
Heißt das, dass jeder AD-Benutzer grundsätzlich mindestens Lese-Rechte auf einen beliebigen Ordner in der Domäne hat
Nein. Nur dort, wo er direkt oder durch seine Gruppenmitgliedschaft Rechte zugeteilt bekommt. Die "Mitgliedschaft" in "Authentifizierte Benutzer" und "Jeder" zählen da natürlich mit. Also passe die ACLs aller Ordner an, wo diese beiden Standard-"Gruppen" verwendet werden. Nimm sie da raus oder, wenn es passt, verweigere diesem einen Benutzer explit das Lese-Recht. Verweigerungen haben Vorrang.E.
Das Problem ist eben, dass jedes neu erstellte Laufwerk erst mal die Berechtigung PC-Name\Benutzer hat und Authentifizierte Benutzer ein Mitglied dieser Gruppe ist.
Ich denke es wäre nicht sehr klug, daran etwas Grundsätzlich zu ändern.
Den Gedanken mit dem explizitem Verweigern hatte ich auch. Aber das müsste bei jedem PC gemacht werden, bei jedem Ordner der irgendwann mal in Zukunft im Netzwerk freigegeben wird. Auch nicht so das Gelbe vom Ei.
Gibt es keine andere Möglichkeit, einem nicht Domain Mitglied nur einen einzelnen Ordner freizugeben - unter Berücksichtigung aller Sicherheitsrelevanten Aspekte?
Was mir im Zuge dessen auch noch aufgefallen ist: Ordner werden Standardmäßig mit der Gruppe "Jeder" freigegeben. Ist das denn eine gute Vorgehensweise? Sollte man nicht Grundsätzlich Ordner für die Gruppe Domän-Benutzer freigeben, wenn alle User innerhalb der Domäne Zugriff haben dürfen?
Zitat von @Immenburg:
Das Problem ist eben, dass jedes neu erstellte Laufwerk erst mal die Berechtigung PC-Name\Benutzer hat und Authentifizierte Benutzer ein Mitglied dieser Gruppe ist.
Ich denke es wäre nicht sehr klug, daran etwas Grundsätzlich zu ändern.
Doch. Warum nicht?Das Problem ist eben, dass jedes neu erstellte Laufwerk erst mal die Berechtigung PC-Name\Benutzer hat und Authentifizierte Benutzer ein Mitglied dieser Gruppe ist.
Ich denke es wäre nicht sehr klug, daran etwas Grundsätzlich zu ändern.
- Keine Laufwerke freigeben sondern Ordner!
- Ordner auf 1. Laufwerksebene erstellen, Berechtingungsvererbung deaktivieren und Rechte so setzen, wie man es braucht.
- Ordner freigeben wie man es braucht
- fertig
Den Gedanken mit dem explizitem Verweigern hatte ich auch. Aber das müsste bei jedem PC gemacht werden, bei jedem Ordner der irgendwann mal in Zukunft im Netzwerk freigegeben wird. Auch nicht so das Gelbe vom Ei.
s.o.Oder einen Zauberspruch wie "Abrakadabra" aussprechen.
Natürlich muss man das auf jedem Server machen, welcher Freigaben anbietet! Was für eine persönliche Einstellung hast Du denn da? Dem Mauszeiger zusehen, wie er macht?
Gibt es keine andere Möglichkeit, einem nicht Domain Mitglied nur einen einzelnen Ordner freizugeben - unter Berücksichtigung aller Sicherheitsrelevanten Aspekte?
Du weißt doch gar nicht, was die sicherheitsrelevanten Aspekte sind. Sei ehrlich! Sonst würdest Du sowas nicht schreiben.Was mir im Zuge dessen auch noch aufgefallen ist: Ordner werden Standardmäßig mit der Gruppe "Jeder" freigegeben. Ist das denn eine gute Vorgehensweise?
Ja! Das ist Best Practice! Aus gutem Grund. Wer sich auskennt, kann das anpassen.Sollte man nicht Grundsätzlich Ordner für die Gruppe Domän-Benutzer freigeben, wenn alle User innerhalb der Domäne Zugriff haben dürfen?
Kann man so machen. Sollte - nein.
