DFS - Anzeige Ordner-Unterordner

chpchp
Goto Top
Wenn ich im DFS-Namespace einen "Überordner" mache und jeweils die darunterliegenden Ordner mit Zielen versehe:

\\domäne.de\namespace\Testordner\Ordner1
\\domäne.de\namespace\Testordner\Ordner2

Ordner1 hat ein Ziel A
Ordner2 hat ein Ziel B

Die Anzeigeberechtigungen für die Ordner (1,2) sind jeweils gesetzt.

Dann ist es leider so, dass ALLE diesen Überordner "Testordner" im verbundenen Netzlaufwerk sehen, auch wenn ein Benutzer keine Berechtigung für einen der Unterordner (1,2) hat. Wenn ein Benutzer eine Berechtigung hat dann wäre das ja OK, aber wenn eben keine Berechtigung vorhanden ist dann sollte auch dieser "Testordner" nicht angezeigt werden.

Auf den Überordner selbst kann ich keine Anzeigeberechtigungen setzten. Die "zugriffsbasierte Aufzählung" für den Namespace ist aktiviert.

Kennt das Problem jemand und weiß ob und wie es behoben werden könnte? Wenn nicht ist dies auch eine gute Info. Danke

Content-Key: 714509891

Url: https://administrator.de/contentid/714509891

Ausgedruckt am: 28.06.2022 um 20:06 Uhr

Mitglied: Possibaer
Possibaer 17.06.2021 um 10:37:57 Uhr
Goto Top
Moinsen,

welche Zugriffrechte hast du auf die Freigabe gesetzt? Jeder? Dann wäre dass normal. Wenn du willst, das nur User mit den entsprechenden Rechte deinen Überordner sehen, musst du jeder durch die entsprechenden User-Sicherheitsgruppen ersetzten, welche Zugriff haben sollen.
Idealerweise setzt du das direkt bei den Namespaceserver-Einstellungen.

VG
Mitglied: chpchp
chpchp 17.06.2021 um 10:55:32 Uhr
Goto Top
Hallo, der "Überordner" ist ja nicht explizit freigegeben als Freigabe. Der Namespace verweist z.B. auf eine Freigabe "X" damit habe ich einen Namespace in der Domäne:

\\domäne.de\X\

Jetzt kann ich z.B. einzelne DFS-Ordner mit Zielen anlegen und eben auf Gruppenmitgliedschaft anzeigen lassen:

\\domäne.de\X\ordner1
\\domäne.de\X\ordner1
\\domäne.de\X\ordner1

Mache ich aber z.B. direkt in der DFS-Verwaltung einen Ordner \Testordner\ordner1 und \Testordner\ordner2, dann wird mir der "Testordner" als Überordner in der DFS-Verwaltung angezeigt (hier kann ich keine Anzeigerechte vergeben) und die "Unterordner" wie ordner1 und ordner2 kann ich mit verschiedenen Zielen belegen und auch die Anzeigeberechtigungen explizit einstellen.

Doch wie beim Problem beschrieben, es sehen ALLE diesen Überordner auch ohne Rechte auf irgendeinen der Unterordner.

Klar ist, was geht ein Ziel zu machen, die Vererbung am Zeil auszuschalten und dann die jeweiligen Unterordner explizit am Fileserver berechtigen. Das hat aber zur Folge, dass die Unterordner alle im gleichen Ordner am Fileserver liegen müssen, anders könnte ich hier auch verschiedene Ziele angegeben.

Deshalb bleibt mein Problem, das mit der Freigabe/Zugriffsrechte wie von dir kommentiert hilft leider nicht.

Danke
Mitglied: Ad39min
Lösung Ad39min 17.06.2021 um 10:57:01 Uhr
Goto Top
Dies ist ein bekanntes Problem bei DFS-N, welchem sich Microsoft seit über einem Jahrzehnt noch nicht angenommen hat.
Aus der DFS-Konsole heraus kann man die zugriffsbasierte Aufzählung nur für die Zielordner aktivieren. Sobald ein Ordner untergeordnete Ziele bekommt, fällt diese Einstellungsmöglichkeit weg.

Über einen Umweg geht es trotzdem:
Du legst als Admin im DFS-Rootverzeichnis auf dem DFS-Server manuell die NTFS-Berechtigungen auf den Ordner so fest, dass nur Deine gewünschte Gruppe "List Folder Contents" Rechte darauf hat.
Leider wird diese Einstellung dann nicht automatisch zwischen DFS-Servern repliziert. Falls Du also mehrere DFS-Server im Einsatz hast, musst Du diesen Schritt pro Server jeweils einmal ausführen. Je nach Anzahl Ordnern kann dies ein erheblicher Pflegeaufwand sein.
Mitglied: NordicMike
NordicMike 08.07.2021 um 08:04:20 Uhr
Goto Top
Hallo Ad39min,
kannst du das etwas detaillierter Erörtern? Das DFS Verzeichnis ist doch \\server\share\folder, da gibt es doch gar kein NTFS. Gibt es da etwas irgendwo eine Kopie auf c:\?

Danke schon einmal...
Mitglied: Ad39min
Ad39min 08.07.2021 um 18:17:58 Uhr
Goto Top
Zitat von @NordicMike:

Hallo Ad39min,

Hi NordicMike,

kannst du das etwas detaillierter Erörtern? Das DFS Verzeichnis ist doch \\server\share\folder, da gibt es doch gar kein NTFS.

auch hier ist NTFS das Backend. (Einzige Ausnahme man hat das Volume als ReFS laufen, aber selbst dann gilt das NTFS-Berechtigungskonzept)

Gibt es da etwas irgendwo eine Kopie auf c:\?

Ja, genau. Standardmäßig ist das unter c:\dfsroots\ sofern man nichts anderes eingestellt hat.

Dort speichert das System die symbolischen Verknüpfungen. Für diese regelt das DFS die zugriffsbasierte Aufzählung selber. Sein "Testordner" ist allerdings keine symbolische Verknüpfung mehr, da er ihm weitere Ziele untergeordnet hat. Somit wird es im Dateisystem zu einem normalen Ordner, welchen auch (leider) jeder angezeigt bekommt.

Um dies zu ändern ruft man das DFS Rootverzeichnis als Admin (am besten von einem dritten Rechner aus) über \\meine.domain\DFS-Share auf und passt dort die NTFS-Berechtigungen für den "Testordner" an. Dort entfernt man dann die Jeder-Gruppe und gibt derjenigen Gruppe die den Ordner sehen soll "List Folder Contents"-Rechte wie folgt:

unbenannt

Wenn man mehrere DFS-Server betreibt macht man einen Rechtsklick auf den DFS-Rootshare, geht in die Eigenschaften zum Reiter "DFS" und schaltet dort den anderen Server aktiv. Dann wiederholt man den obigen Schritt mit den Berechtigungen nochmal.

Danke schon einmal...

immer gerne ;-) face-wink

Gruß
Alex
Mitglied: NordicMike
NordicMike 09.07.2021 um 08:38:16 Uhr
Goto Top
c:\dfsroots\
Danke. Das war meine Wissenslücke...

Das kommt davon, weil man es bisher nicht gebraucht / benutzt hat, dann wäre jemanden der Pfad auch gleich ins Auge gefallen...