8
Einrichten der Access Based Enumeration auf Windows2003 Server
Hallo zusammen,
ich bin, was die Administration eines Windows2003 Servers anbelangt, noch Laie.
Deshalb bitte ich Euch die Antwort, wenn's geht, etwas ausführlich beschreiben
Ich habe schon hier im Forum gesucht und auch gegoogelt und in einigen Beiträgen wurde auch bestätigt, das die o.g.
Funktion auch funktioniert. Welche Vorraussetzungen aber dafür nötig waren, wurde nicht erleutert. Und das ist mein Problem.
Ich möchte gerne auf meinem Fileserver folgendes realisieren.
(Der Fileserver ist Mitglied einer Domäne)
Ich habe einen Ordner: Daten - mit folgender Struktur:
\Daten
|_ Einkauf
|_____ Tisch 1
|_____ Tisch 2
|_ Verkauf
|_____ Tisch 3
|_____ Tisch 4
Der Domän-Admin soll Vollzugriff erhalten
Benutzer der Gruppe: Einkauf sollen nur den Ordner: Einkauf sehen aber nicht den Ordner Verkauf.
Benutzer der Gruppe: Verkauf sollen nur den Ordner: Verkauf sehen aber nicht den Ordner Einkauf.
Ich habe dann das ABE Tool von MS installiert und unter dem Ordner: Daten sehe ich auch den Reiter:
"Access Based Enumeration"
Doch was muß ich nun dort einstellen damit ich das o.g. Problem gelöst kriege ?
Ich habe schon sämtliche Einstellungen ausprobiert, aber irgendwie krieg ich das nicht auf die Reihe.
In einigen Beiträgen wurde beschreiben das man für jeden Ordner, also z.B. Einkauf und Verkauf, Freigaben
machen kann. Das möchte ich aber nicht. Denn es muß doch eine Möglichkeit geben, das man nur den
Ordner sieht zu den man auch die Rechte hat. Wie z.b. unter Novell.
Kann mir bitte jemand mal erklären wie das funktioniert ?
- welche Freigabe & Sicherheits Berechtigungen muß ich im Ordner: Daten bzw. Einkauf einstellen ?
Bin für jede Antwort dankbar
Gruß
Juppy1
ich bin, was die Administration eines Windows2003 Servers anbelangt, noch Laie.
Deshalb bitte ich Euch die Antwort, wenn's geht, etwas ausführlich beschreiben
Ich habe schon hier im Forum gesucht und auch gegoogelt und in einigen Beiträgen wurde auch bestätigt, das die o.g.
Funktion auch funktioniert. Welche Vorraussetzungen aber dafür nötig waren, wurde nicht erleutert. Und das ist mein Problem.
Ich möchte gerne auf meinem Fileserver folgendes realisieren.
(Der Fileserver ist Mitglied einer Domäne)
Ich habe einen Ordner: Daten - mit folgender Struktur:
\Daten
|_ Einkauf
|_____ Tisch 1
|_____ Tisch 2
|_ Verkauf
|_____ Tisch 3
|_____ Tisch 4
Der Domän-Admin soll Vollzugriff erhalten
Benutzer der Gruppe: Einkauf sollen nur den Ordner: Einkauf sehen aber nicht den Ordner Verkauf.
Benutzer der Gruppe: Verkauf sollen nur den Ordner: Verkauf sehen aber nicht den Ordner Einkauf.
Ich habe dann das ABE Tool von MS installiert und unter dem Ordner: Daten sehe ich auch den Reiter:
"Access Based Enumeration"
Doch was muß ich nun dort einstellen damit ich das o.g. Problem gelöst kriege ?
Ich habe schon sämtliche Einstellungen ausprobiert, aber irgendwie krieg ich das nicht auf die Reihe.
In einigen Beiträgen wurde beschreiben das man für jeden Ordner, also z.B. Einkauf und Verkauf, Freigaben
machen kann. Das möchte ich aber nicht. Denn es muß doch eine Möglichkeit geben, das man nur den
Ordner sieht zu den man auch die Rechte hat. Wie z.b. unter Novell.
Kann mir bitte jemand mal erklären wie das funktioniert ?
- welche Freigabe & Sicherheits Berechtigungen muß ich im Ordner: Daten bzw. Einkauf einstellen ?
Bin für jede Antwort dankbar
Gruß
Juppy1
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 129671
Url: https://administrator.de/contentid/129671
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
8 Kommentare
Neuester Kommentar
Hi
Du hast ja geschrieben das Du für "jede" Antwort dankbar bist...also versuch ich es mal.
Wir haben es hier noch nicht im Einsatz aber wir planen gerade die Umstellung von Novell auf
eine ADS und da werden wir das ABE auch dringend brauchen.
Ich meine vor einiger Zeit gelesen zu haben das ABE installiert/eingerichtet werden muss
bevor eine Freigabe erstellt wird. Auf bestehende Freigaben würde es nicht greifen.
Kann mich aber auch irren, aber vielleicht liegt es ja nur daran.
Im Zweifelsfall die Freigabe neu erswtellen, mehr fällt mir atm auch nicht ein da wir es
bis jetzt noch nicht im Einsatz haben.
Gruß
Vile Gangster
Du hast ja geschrieben das Du für "jede" Antwort dankbar bist...also versuch ich es mal.
Wir haben es hier noch nicht im Einsatz aber wir planen gerade die Umstellung von Novell auf
eine ADS und da werden wir das ABE auch dringend brauchen.
Ich meine vor einiger Zeit gelesen zu haben das ABE installiert/eingerichtet werden muss
bevor eine Freigabe erstellt wird. Auf bestehende Freigaben würde es nicht greifen.
Kann mich aber auch irren, aber vielleicht liegt es ja nur daran.
Im Zweifelsfall die Freigabe neu erswtellen, mehr fällt mir atm auch nicht ein da wir es
bis jetzt noch nicht im Einsatz haben.
Gruß
Vile Gangster
Hi
ich habe das jetzt mal ausprobiert.
(Übrigens wir sind auch dabei von Novell auf Windows umzusteigen
)
Leider hat es nichts gebracht.
Aber wie gesagt ich bin mir aber auch nicht sicher welche
Freigabe & Sicherheits Beechtigungen man dem Laufwerk auf dem FS
bzw. dem Ordner: Daten geben muß, damit ich das Problem gelöst kriege.
Trotzdem danke für Deine schnelle Antowort.
Gruß
Juppy1
ich habe das jetzt mal ausprobiert.
(Übrigens wir sind auch dabei von Novell auf Windows umzusteigen
)Leider hat es nichts gebracht.
Aber wie gesagt ich bin mir aber auch nicht sicher welche
Freigabe & Sicherheits Beechtigungen man dem Laufwerk auf dem FS
bzw. dem Ordner: Daten geben muß, damit ich das Problem gelöst kriege.
Trotzdem danke für Deine schnelle Antowort.
Gruß
Juppy1
Moin,
ABE's können nachträglich installiert und aktiviert (und auch wieder deaktiviert werden).
Damit es beim user funktioniert musst du die NTFS Rechte setzen. Sobald ein nutzer effektiven lesezugriff auf z.b. Ordner Tisch1 hat wird Tisch1 auch angezeigt wenn er \\server\Daten aufruft.
Grüße,
Stefan
ABE's können nachträglich installiert und aktiviert (und auch wieder deaktiviert werden).
Damit es beim user funktioniert musst du die NTFS Rechte setzen. Sobald ein nutzer effektiven lesezugriff auf z.b. Ordner Tisch1 hat wird Tisch1 auch angezeigt wenn er \\server\Daten aufruft.
Grüße,
Stefan
Mal nen bischen genauer (hab gerade nachgeschaut)
für den d:\daten ordner die acl-vererbung deaktivieren und mit einer leeren acl anfangen, dann die entsprechende nutzergruppe spezielle rechte ("Nur dieser Ordner") zuweisen: Ordner auflisten, Ordner durchsuchen, attribute lesen, erweiterte attribute lesen (wenn man mag).
Nun der gruppe Tisch1_User (oder wie sie heisst) z.b. vollzugriff auf Ordner Tisch1 geben, usw.
nicht vergessen den admin und evt. system account der d:\daten acl hinzuzufügen.
Die Freigabe ACL für daten kannst du ja testweise mal mit authentifizierter Benutzer Vollzugriff ausstatten. Das mach ich bei (fast) allen freigaben so und regel die eigentlichen zugriffsrechte nur via NTFS acls, da man sonst irgendwann nicht mehr durchsieht warum irgendwer irgendwas nicht machen kann....
grüße,
stefan
achso, kleiner nachtrag: die freigabe (also \\server\daten) direkt kannst du nicht mit ABE verstecken, ABE funktioniert nur innerhalb der Freigabe
für den d:\daten ordner die acl-vererbung deaktivieren und mit einer leeren acl anfangen, dann die entsprechende nutzergruppe spezielle rechte ("Nur dieser Ordner") zuweisen: Ordner auflisten, Ordner durchsuchen, attribute lesen, erweiterte attribute lesen (wenn man mag).
Nun der gruppe Tisch1_User (oder wie sie heisst) z.b. vollzugriff auf Ordner Tisch1 geben, usw.
nicht vergessen den admin und evt. system account der d:\daten acl hinzuzufügen.
Die Freigabe ACL für daten kannst du ja testweise mal mit authentifizierter Benutzer Vollzugriff ausstatten. Das mach ich bei (fast) allen freigaben so und regel die eigentlichen zugriffsrechte nur via NTFS acls, da man sonst irgendwann nicht mehr durchsieht warum irgendwer irgendwas nicht machen kann....
grüße,
stefan
achso, kleiner nachtrag: die freigabe (also \\server\daten) direkt kannst du nicht mit ABE verstecken, ABE funktioniert nur innerhalb der Freigabe
Hallo Stefan,
Sorry, aber das habe ich noch nicht so ganz verstanden.
Bin wie gesagt noch am lernen
Also nochmal dieses Beispiel. ( oben die Grafik ist ein bischen blöd )
D:\Daten
|__ Einkauf <- diesen Ordner sehen nur Benutzer der Gruppe Einkauf. Den Ordner: Verkauf sehen sie nicht!
|__ Verkauf <- diesen Ordner sehen nur Benutzer der Gruppe Verkauf . Den Ordner: Einkauf sehen sie nicht!
d:\daten => Unter Freigabe habe ich JEDER mit dem Recht: Lesen. Unter Sicherheit: Was kommt dort rein ?
_ Einkauf => Was stelle ich hier unter Sicherheit ein ?
_ Verkauf => Was stelle ich hier unter Sicherheit ein ?
Was ist eigentlich mit dem Laufwerk D ansich ?
P.S.
Du schreibst:
(also \\server\daten) direkt kannst du nicht mit ABE verstecken, ABE funktioniert nur innerhalb der Freigabe
heist das, dass ich den Ordner: Einkauf und Verkauf freigeben muß ?
Das wäre natürlich nicht so prickelnd. Denn dann hätte man ja unendlich viele Laufwerke zu mappen.
Gruß
Detlef
Sorry, aber das habe ich noch nicht so ganz verstanden.
Bin wie gesagt noch am lernen
Also nochmal dieses Beispiel. ( oben die Grafik ist ein bischen blöd )
D:\Daten
|__ Einkauf <- diesen Ordner sehen nur Benutzer der Gruppe Einkauf. Den Ordner: Verkauf sehen sie nicht!
|__ Verkauf <- diesen Ordner sehen nur Benutzer der Gruppe Verkauf . Den Ordner: Einkauf sehen sie nicht!
d:\daten => Unter Freigabe habe ich JEDER mit dem Recht: Lesen. Unter Sicherheit: Was kommt dort rein ?
_ Einkauf => Was stelle ich hier unter Sicherheit ein ?
_ Verkauf => Was stelle ich hier unter Sicherheit ein ?
Was ist eigentlich mit dem Laufwerk D ansich ?
P.S.
Du schreibst:
(also \\server\daten) direkt kannst du nicht mit ABE verstecken, ABE funktioniert nur innerhalb der Freigabe
heist das, dass ich den Ordner: Einkauf und Verkauf freigeben muß ?
Das wäre natürlich nicht so prickelnd. Denn dann hätte man ja unendlich viele Laufwerke zu mappen.
Gruß
Detlef
Moin Detlef,
haste das Problem in Griff bekommen oder soll ich nochmal ein bischen detailierter beschreiben?
(Hatte die Tage keine Zeit zu antworten...)
Grüße,
Stefan
haste das Problem in Griff bekommen oder soll ich nochmal ein bischen detailierter beschreiben?
(Hatte die Tage keine Zeit zu antworten...)
Grüße,
Stefan
Zitat von @bstefan82:
Moin Detlef,
haste das Problem in Griff bekommen oder soll ich nochmal ein bischen
detailierter beschreiben?
(Hatte die Tage keine Zeit zu antworten...)
Grüße,
Stefan
Moin Detlef,
haste das Problem in Griff bekommen oder soll ich nochmal ein bischen
detailierter beschreiben?
(Hatte die Tage keine Zeit zu antworten...)
Grüße,
Stefan
Hi Stefan,
nein bis jetzt habe ich das Problem nicht lösen können. Ich habe auch im Verwantenkreis mal
einen Admin gefragt. Beid denen ist es so, das alle User die Ordner zwar sehen, aber nicht
drauf zugreifen können. Im Moment haben wir es auch so umgesetzt da es von der Zeit her
ein wenig bresiert
Aber ich würde mich trotzdem freuen, wenn du mir das nochmal detailliert beschreiben
könntest. So daß man im nachinein die Sache noch einbauen kann.
Am besten an einem Beispiel mit 2 Ordnern und 2 Benutzergruppen. Die einen
sollen den Ordner des anderen nicht sehen können. Ich weiss ja nicht genau welche
Vorraussetzung (ausser das installieren von ABE) noch gegeben sein müssen um das so abzubilden.
Kennst du zufällig ein gutes (e)Buch oder INet Seite, wo genau diese Problematik beschrieben ist ?
Gruß
Detlef
Zitat von @bstefan82:
Moin Detlef,
haste das Problem in Griff bekommen oder soll ich nochmal ein bischen detailierter beschreiben?
(Hatte die Tage keine Zeit zu antworten...)
Grüße,
Stefan
Moin Detlef,
haste das Problem in Griff bekommen oder soll ich nochmal ein bischen detailierter beschreiben?
(Hatte die Tage keine Zeit zu antworten...)
Grüße,
Stefan
Hallo Stefan,
mitlerweile scheint das Problem gelöst. Eine Gruppenrichtlinie war der Verursacher warum das
mit der Ausblendung bestimmter Ordner nicht geklappt hat. Falls es wieder erwartend
doch noch Probleme geben solte, dann würde ich mich hier nochmal melden.
Aber bis dahin erstmal Danke für Deine (Eure) Bemühungen.
Gruß
Detlef
