juppy1
Goto Top

Einrichten der Access Based Enumeration auf Windows2003 Server

Hallo zusammen,
ich bin, was die Administration eines Windows2003 Servers anbelangt, noch Laie.
Deshalb bitte ich Euch die Antwort, wenn's geht, etwas ausführlich beschreiben face-smile
Ich habe schon hier im Forum gesucht und auch gegoogelt und in einigen Beiträgen wurde auch bestätigt, das die o.g.
Funktion auch funktioniert. Welche Vorraussetzungen aber dafür nötig waren, wurde nicht erleutert. Und das ist mein Problem.

Ich möchte gerne auf meinem Fileserver folgendes realisieren.
(Der Fileserver ist Mitglied einer Domäne)
Ich habe einen Ordner: Daten - mit folgender Struktur:

\Daten
|_ Einkauf
|_____ Tisch 1
|_____ Tisch 2
|_ Verkauf
|_____ Tisch 3
|_____ Tisch 4

Der Domän-Admin soll Vollzugriff erhalten
Benutzer der Gruppe: Einkauf sollen nur den Ordner: Einkauf sehen aber nicht den Ordner Verkauf.
Benutzer der Gruppe: Verkauf sollen nur den Ordner: Verkauf sehen aber nicht den Ordner Einkauf.

Ich habe dann das ABE Tool von MS installiert und unter dem Ordner: Daten sehe ich auch den Reiter:
"Access Based Enumeration"

Doch was muß ich nun dort einstellen damit ich das o.g. Problem gelöst kriege ?
Ich habe schon sämtliche Einstellungen ausprobiert, aber irgendwie krieg ich das nicht auf die Reihe.

In einigen Beiträgen wurde beschreiben das man für jeden Ordner, also z.B. Einkauf und Verkauf, Freigaben
machen kann. Das möchte ich aber nicht. Denn es muß doch eine Möglichkeit geben, das man nur den
Ordner sieht zu den man auch die Rechte hat. Wie z.b. unter Novell.

Kann mir bitte jemand mal erklären wie das funktioniert ?
- welche Freigabe & Sicherheits Berechtigungen muß ich im Ordner: Daten bzw. Einkauf einstellen ?

Bin für jede Antwort dankbar

Gruß
Juppy1

Content-ID: 129671

Url: https://administrator.de/forum/einrichten-der-access-based-enumeration-auf-windows2003-server-129671.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Vile-Gangster
Vile-Gangster 18.11.2009 um 13:47:36 Uhr
Goto Top
Hi

Du hast ja geschrieben das Du für "jede" Antwort dankbar bist...also versuch ich es mal.

Wir haben es hier noch nicht im Einsatz aber wir planen gerade die Umstellung von Novell auf
eine ADS und da werden wir das ABE auch dringend brauchen.

Ich meine vor einiger Zeit gelesen zu haben das ABE installiert/eingerichtet werden muss
bevor eine Freigabe erstellt wird. Auf bestehende Freigaben würde es nicht greifen.
Kann mich aber auch irren, aber vielleicht liegt es ja nur daran.
Im Zweifelsfall die Freigabe neu erswtellen, mehr fällt mir atm auch nicht ein da wir es
bis jetzt noch nicht im Einsatz haben.


Gruß
Vile Gangster
Juppy1
Juppy1 18.11.2009 um 14:23:28 Uhr
Goto Top
Hi
ich habe das jetzt mal ausprobiert.
(Übrigens wir sind auch dabei von Novell auf Windows umzusteigen face-wink )
Leider hat es nichts gebracht.
Aber wie gesagt ich bin mir aber auch nicht sicher welche
Freigabe & Sicherheits Beechtigungen man dem Laufwerk auf dem FS
bzw. dem Ordner: Daten geben muß, damit ich das Problem gelöst kriege.

Trotzdem danke für Deine schnelle Antowort.

Gruß
Juppy1
bstefan82
bstefan82 18.11.2009 um 14:40:55 Uhr
Goto Top
Moin,

ABE's können nachträglich installiert und aktiviert (und auch wieder deaktiviert werden).

Damit es beim user funktioniert musst du die NTFS Rechte setzen. Sobald ein nutzer effektiven lesezugriff auf z.b. Ordner Tisch1 hat wird Tisch1 auch angezeigt wenn er \\server\Daten aufruft.

Grüße,

Stefan
bstefan82
bstefan82 18.11.2009 um 14:53:23 Uhr
Goto Top
Mal nen bischen genauer (hab gerade nachgeschaut)

für den d:\daten ordner die acl-vererbung deaktivieren und mit einer leeren acl anfangen, dann die entsprechende nutzergruppe spezielle rechte ("Nur dieser Ordner") zuweisen: Ordner auflisten, Ordner durchsuchen, attribute lesen, erweiterte attribute lesen (wenn man mag).

Nun der gruppe Tisch1_User (oder wie sie heisst) z.b. vollzugriff auf Ordner Tisch1 geben, usw.

nicht vergessen den admin und evt. system account der d:\daten acl hinzuzufügen.

Die Freigabe ACL für daten kannst du ja testweise mal mit authentifizierter Benutzer Vollzugriff ausstatten. Das mach ich bei (fast) allen freigaben so und regel die eigentlichen zugriffsrechte nur via NTFS acls, da man sonst irgendwann nicht mehr durchsieht warum irgendwer irgendwas nicht machen kann....

grüße,


stefan

achso, kleiner nachtrag: die freigabe (also \\server\daten) direkt kannst du nicht mit ABE verstecken, ABE funktioniert nur innerhalb der Freigabe
Juppy1
Juppy1 18.11.2009 um 15:24:00 Uhr
Goto Top
Hallo Stefan,
Sorry, aber das habe ich noch nicht so ganz verstanden.
Bin wie gesagt noch am lernen face-smile

Also nochmal dieses Beispiel. ( oben die Grafik ist ein bischen blöd )
D:\Daten
|__ Einkauf <- diesen Ordner sehen nur Benutzer der Gruppe Einkauf. Den Ordner: Verkauf sehen sie nicht!
|__ Verkauf <- diesen Ordner sehen nur Benutzer der Gruppe Verkauf . Den Ordner: Einkauf sehen sie nicht!

d:\daten => Unter Freigabe habe ich JEDER mit dem Recht: Lesen. Unter Sicherheit: Was kommt dort rein ?

_ Einkauf => Was stelle ich hier unter Sicherheit ein ?
_ Verkauf => Was stelle ich hier unter Sicherheit ein ?

Was ist eigentlich mit dem Laufwerk D ansich ?

P.S.
Du schreibst:
(also \\server\daten) direkt kannst du nicht mit ABE verstecken, ABE funktioniert nur innerhalb der Freigabe
heist das, dass ich den Ordner: Einkauf und Verkauf freigeben muß ?
Das wäre natürlich nicht so prickelnd. Denn dann hätte man ja unendlich viele Laufwerke zu mappen.

Gruß

Detlef
bstefan82
bstefan82 01.12.2009 um 09:53:57 Uhr
Goto Top
Moin Detlef,

haste das Problem in Griff bekommen oder soll ich nochmal ein bischen detailierter beschreiben?
(Hatte die Tage keine Zeit zu antworten...)

Grüße,

Stefan
Juppy1
Juppy1 01.12.2009 um 10:06:26 Uhr
Goto Top
Zitat von @bstefan82:
Moin Detlef,

haste das Problem in Griff bekommen oder soll ich nochmal ein bischen
detailierter beschreiben?
(Hatte die Tage keine Zeit zu antworten...)

Grüße,

Stefan

Hi Stefan,
nein bis jetzt habe ich das Problem nicht lösen können. Ich habe auch im Verwantenkreis mal
einen Admin gefragt. Beid denen ist es so, das alle User die Ordner zwar sehen, aber nicht
drauf zugreifen können. Im Moment haben wir es auch so umgesetzt da es von der Zeit her
ein wenig bresiert face-smile
Aber ich würde mich trotzdem freuen, wenn du mir das nochmal detailliert beschreiben
könntest. So daß man im nachinein die Sache noch einbauen kann.
Am besten an einem Beispiel mit 2 Ordnern und 2 Benutzergruppen. Die einen
sollen den Ordner des anderen nicht sehen können. Ich weiss ja nicht genau welche
Vorraussetzung (ausser das installieren von ABE) noch gegeben sein müssen um das so abzubilden.

Kennst du zufällig ein gutes (e)Buch oder INet Seite, wo genau diese Problematik beschrieben ist ?

Gruß
Detlef
Juppy1
Juppy1 05.12.2009 um 12:47:21 Uhr
Goto Top
Zitat von @bstefan82:
Moin Detlef,

haste das Problem in Griff bekommen oder soll ich nochmal ein bischen detailierter beschreiben?
(Hatte die Tage keine Zeit zu antworten...)

Grüße,

Stefan

Hallo Stefan,
mitlerweile scheint das Problem gelöst. Eine Gruppenrichtlinie war der Verursacher warum das
mit der Ausblendung bestimmter Ordner nicht geklappt hat. Falls es wieder erwartend
doch noch Probleme geben solte, dann würde ich mich hier nochmal melden.

Aber bis dahin erstmal Danke für Deine (Eure) Bemühungen.

Gruß
Detlef