Einrichten der Access Based Enumeration auf Windows2003 Server
Hallo zusammen,
ich bin, was die Administration eines Windows2003 Servers anbelangt, noch Laie.
Deshalb bitte ich Euch die Antwort, wenn's geht, etwas ausführlich beschreiben
Ich habe schon hier im Forum gesucht und auch gegoogelt und in einigen Beiträgen wurde auch bestätigt, das die o.g.
Funktion auch funktioniert. Welche Vorraussetzungen aber dafür nötig waren, wurde nicht erleutert. Und das ist mein Problem.
Ich möchte gerne auf meinem Fileserver folgendes realisieren.
(Der Fileserver ist Mitglied einer Domäne)
Ich habe einen Ordner: Daten - mit folgender Struktur:
\Daten
|_ Einkauf
|_____ Tisch 1
|_____ Tisch 2
|_ Verkauf
|_____ Tisch 3
|_____ Tisch 4
Der Domän-Admin soll Vollzugriff erhalten
Benutzer der Gruppe: Einkauf sollen nur den Ordner: Einkauf sehen aber nicht den Ordner Verkauf.
Benutzer der Gruppe: Verkauf sollen nur den Ordner: Verkauf sehen aber nicht den Ordner Einkauf.
Ich habe dann das ABE Tool von MS installiert und unter dem Ordner: Daten sehe ich auch den Reiter:
"Access Based Enumeration"
Doch was muß ich nun dort einstellen damit ich das o.g. Problem gelöst kriege ?
Ich habe schon sämtliche Einstellungen ausprobiert, aber irgendwie krieg ich das nicht auf die Reihe.
In einigen Beiträgen wurde beschreiben das man für jeden Ordner, also z.B. Einkauf und Verkauf, Freigaben
machen kann. Das möchte ich aber nicht. Denn es muß doch eine Möglichkeit geben, das man nur den
Ordner sieht zu den man auch die Rechte hat. Wie z.b. unter Novell.
Kann mir bitte jemand mal erklären wie das funktioniert ?
- welche Freigabe & Sicherheits Berechtigungen muß ich im Ordner: Daten bzw. Einkauf einstellen ?
Bin für jede Antwort dankbar
Gruß
Juppy1
ich bin, was die Administration eines Windows2003 Servers anbelangt, noch Laie.
Deshalb bitte ich Euch die Antwort, wenn's geht, etwas ausführlich beschreiben
Ich habe schon hier im Forum gesucht und auch gegoogelt und in einigen Beiträgen wurde auch bestätigt, das die o.g.
Funktion auch funktioniert. Welche Vorraussetzungen aber dafür nötig waren, wurde nicht erleutert. Und das ist mein Problem.
Ich möchte gerne auf meinem Fileserver folgendes realisieren.
(Der Fileserver ist Mitglied einer Domäne)
Ich habe einen Ordner: Daten - mit folgender Struktur:
\Daten
|_ Einkauf
|_____ Tisch 1
|_____ Tisch 2
|_ Verkauf
|_____ Tisch 3
|_____ Tisch 4
Der Domän-Admin soll Vollzugriff erhalten
Benutzer der Gruppe: Einkauf sollen nur den Ordner: Einkauf sehen aber nicht den Ordner Verkauf.
Benutzer der Gruppe: Verkauf sollen nur den Ordner: Verkauf sehen aber nicht den Ordner Einkauf.
Ich habe dann das ABE Tool von MS installiert und unter dem Ordner: Daten sehe ich auch den Reiter:
"Access Based Enumeration"
Doch was muß ich nun dort einstellen damit ich das o.g. Problem gelöst kriege ?
Ich habe schon sämtliche Einstellungen ausprobiert, aber irgendwie krieg ich das nicht auf die Reihe.
In einigen Beiträgen wurde beschreiben das man für jeden Ordner, also z.B. Einkauf und Verkauf, Freigaben
machen kann. Das möchte ich aber nicht. Denn es muß doch eine Möglichkeit geben, das man nur den
Ordner sieht zu den man auch die Rechte hat. Wie z.b. unter Novell.
Kann mir bitte jemand mal erklären wie das funktioniert ?
- welche Freigabe & Sicherheits Berechtigungen muß ich im Ordner: Daten bzw. Einkauf einstellen ?
Bin für jede Antwort dankbar
Gruß
Juppy1
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 129671
Url: https://administrator.de/forum/einrichten-der-access-based-enumeration-auf-windows2003-server-129671.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
8 Kommentare
Neuester Kommentar
Hi
Du hast ja geschrieben das Du für "jede" Antwort dankbar bist...also versuch ich es mal.
Wir haben es hier noch nicht im Einsatz aber wir planen gerade die Umstellung von Novell auf
eine ADS und da werden wir das ABE auch dringend brauchen.
Ich meine vor einiger Zeit gelesen zu haben das ABE installiert/eingerichtet werden muss
bevor eine Freigabe erstellt wird. Auf bestehende Freigaben würde es nicht greifen.
Kann mich aber auch irren, aber vielleicht liegt es ja nur daran.
Im Zweifelsfall die Freigabe neu erswtellen, mehr fällt mir atm auch nicht ein da wir es
bis jetzt noch nicht im Einsatz haben.
Gruß
Vile Gangster
Du hast ja geschrieben das Du für "jede" Antwort dankbar bist...also versuch ich es mal.
Wir haben es hier noch nicht im Einsatz aber wir planen gerade die Umstellung von Novell auf
eine ADS und da werden wir das ABE auch dringend brauchen.
Ich meine vor einiger Zeit gelesen zu haben das ABE installiert/eingerichtet werden muss
bevor eine Freigabe erstellt wird. Auf bestehende Freigaben würde es nicht greifen.
Kann mich aber auch irren, aber vielleicht liegt es ja nur daran.
Im Zweifelsfall die Freigabe neu erswtellen, mehr fällt mir atm auch nicht ein da wir es
bis jetzt noch nicht im Einsatz haben.
Gruß
Vile Gangster
Mal nen bischen genauer (hab gerade nachgeschaut)
für den d:\daten ordner die acl-vererbung deaktivieren und mit einer leeren acl anfangen, dann die entsprechende nutzergruppe spezielle rechte ("Nur dieser Ordner") zuweisen: Ordner auflisten, Ordner durchsuchen, attribute lesen, erweiterte attribute lesen (wenn man mag).
Nun der gruppe Tisch1_User (oder wie sie heisst) z.b. vollzugriff auf Ordner Tisch1 geben, usw.
nicht vergessen den admin und evt. system account der d:\daten acl hinzuzufügen.
Die Freigabe ACL für daten kannst du ja testweise mal mit authentifizierter Benutzer Vollzugriff ausstatten. Das mach ich bei (fast) allen freigaben so und regel die eigentlichen zugriffsrechte nur via NTFS acls, da man sonst irgendwann nicht mehr durchsieht warum irgendwer irgendwas nicht machen kann....
grüße,
stefan
achso, kleiner nachtrag: die freigabe (also \\server\daten) direkt kannst du nicht mit ABE verstecken, ABE funktioniert nur innerhalb der Freigabe
für den d:\daten ordner die acl-vererbung deaktivieren und mit einer leeren acl anfangen, dann die entsprechende nutzergruppe spezielle rechte ("Nur dieser Ordner") zuweisen: Ordner auflisten, Ordner durchsuchen, attribute lesen, erweiterte attribute lesen (wenn man mag).
Nun der gruppe Tisch1_User (oder wie sie heisst) z.b. vollzugriff auf Ordner Tisch1 geben, usw.
nicht vergessen den admin und evt. system account der d:\daten acl hinzuzufügen.
Die Freigabe ACL für daten kannst du ja testweise mal mit authentifizierter Benutzer Vollzugriff ausstatten. Das mach ich bei (fast) allen freigaben so und regel die eigentlichen zugriffsrechte nur via NTFS acls, da man sonst irgendwann nicht mehr durchsieht warum irgendwer irgendwas nicht machen kann....
grüße,
stefan
achso, kleiner nachtrag: die freigabe (also \\server\daten) direkt kannst du nicht mit ABE verstecken, ABE funktioniert nur innerhalb der Freigabe