145971
Sep 29, 2021
2376
7
0
Freigabe anlegen oder Vererbung
Moin !
hoffe ich bin hier in der richtigen Kategorie
Bin gerade etwas am verzweifeln - entweder weil ich was falsch mache (was ich hoffe) oder weil es nicht anders geht:
Habe hier einen Windows Server 2019 welcher als FileServer fungiert.
Dort einen Ordner "Datenspeicher" erstellt und eine Freigabe konfiguriert für "JEDER" mit der Option "Lesen".
JEDER sieht nun die Freigabe und kann auch darauf zugreifen. Mehr aber auch nicht. Soweit OK.
Nur ich, als Administrator, bin befugt darin Ordner zu erstellen.
Wenn ich nun einen Ordner "TEST" im Ordner "Datenspeicher" erstelle, erhält dieser automatisch auch die Berechtigung "Lesen" für "JEDER" vom Ordner "Datenspeicher".
Kann ich dies unterbinden, dass der "Datenspeicher" vererbt ?
Ich kann natürlich andersherum sagen, dass der Ordner "TEST" die überordneten Rechte nicht erben soll.
Aber dann müsste ich dies bei jedem Ordner, welche ich dort erstelle, so anpassen.
Lieber wäre mir natürlich die Option, dass der "DATENSPEICHER" gar nicht erst nach unten vererbt.
Gibt es diese Möglichkeit so nicht oder übersehe ich hier was?
Danke !
hoffe ich bin hier in der richtigen Kategorie
Bin gerade etwas am verzweifeln - entweder weil ich was falsch mache (was ich hoffe) oder weil es nicht anders geht:
Habe hier einen Windows Server 2019 welcher als FileServer fungiert.
Dort einen Ordner "Datenspeicher" erstellt und eine Freigabe konfiguriert für "JEDER" mit der Option "Lesen".
JEDER sieht nun die Freigabe und kann auch darauf zugreifen. Mehr aber auch nicht. Soweit OK.
Nur ich, als Administrator, bin befugt darin Ordner zu erstellen.
Wenn ich nun einen Ordner "TEST" im Ordner "Datenspeicher" erstelle, erhält dieser automatisch auch die Berechtigung "Lesen" für "JEDER" vom Ordner "Datenspeicher".
Kann ich dies unterbinden, dass der "Datenspeicher" vererbt ?
Ich kann natürlich andersherum sagen, dass der Ordner "TEST" die überordneten Rechte nicht erben soll.
Aber dann müsste ich dies bei jedem Ordner, welche ich dort erstelle, so anpassen.
Lieber wäre mir natürlich die Option, dass der "DATENSPEICHER" gar nicht erst nach unten vererbt.
Gibt es diese Möglichkeit so nicht oder übersehe ich hier was?
Danke !
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1321653839
Url: https://administrator.de/contentid/1321653839
Printed on: April 19, 2024 at 17:04 o'clock
7 Comments
Latest comment
Moin,
wenn ich dich richtig verstehen:
Rechtsklick auf den DATENSPEICHER
Eigenschaften
Reiter Sicherheit
Button Erweitert
Vererbung deaktivieren
Entscheiden
fertig
Gruß
Doskias
wenn ich dich richtig verstehen:
Rechtsklick auf den DATENSPEICHER
Eigenschaften
Reiter Sicherheit
Button Erweitert
Vererbung deaktivieren
Entscheiden
fertig
Gruß
Doskias
Ja, die Vererbung ist bereits deaktiviert auf dem "DATENSPEICHER" Ordner.
Dennoch erscheint auf einem neu angelegten Unterordnern "JEDER" mit der Berechtigung "LESEN".
Ich vermute diese Einstellung kommt aus dem Reiter "Freigabe" des DATENSPEICHER und nicht aus dem Reiter "Sicherheit"
Dennoch erscheint auf einem neu angelegten Unterordnern "JEDER" mit der Berechtigung "LESEN".
Ich vermute diese Einstellung kommt aus dem Reiter "Freigabe" des DATENSPEICHER und nicht aus dem Reiter "Sicherheit"
Hi,
was du vermutlich willst ist, dass du einige Ordner für Personenkreis XYZ "unsichtbar" machen möchtest, da diese z.B. für die GF vorgesehen ist, und der Ordername schon Rückschlüsse zulässt.
In der Regel erstellt man solche Ordner ja nicht jeden Tag, weshalb ich für diese/n Ordner die Vererbung einfach unterbrechen würde und unterhalb diesen Ordners neustarte.
Dann aktivierst du noch access based enumeration und niemand, außer den explizit berechtigten Usern können den Folder noch sehen.
Alles andere bedeutet meiner Meinung nach zuviel Arbeit für praktisch kaum nutzen.
Edit 1
Ja, weil das nur verhindert, dass "DATENSPEICHER" ACLs erbt ... Es bedeutet nicht, dass DATENSPEICHER weiter vererben kann, weil das durch die Ordner gesteuert wird die ggf. darunterliegen.
Edit 2
Und im zweifelsfall, falls du komplett eigene Folder für jedes Team brauchst und bloß kein anderer da reinschauen darf -> Erstell einfach für jedes Team ein eigenes Share auf dem selben Drive des FS.
Die Share-Berechtigungen hängst du dann an eine AD-Gruppe welche auch alle anderen ACLs für das jeweilige Team gewährt ... insofern dein AD denn auch so aufgebaut ist
was du vermutlich willst ist, dass du einige Ordner für Personenkreis XYZ "unsichtbar" machen möchtest, da diese z.B. für die GF vorgesehen ist, und der Ordername schon Rückschlüsse zulässt.
In der Regel erstellt man solche Ordner ja nicht jeden Tag, weshalb ich für diese/n Ordner die Vererbung einfach unterbrechen würde und unterhalb diesen Ordners neustarte.
Dann aktivierst du noch access based enumeration und niemand, außer den explizit berechtigten Usern können den Folder noch sehen.
Alles andere bedeutet meiner Meinung nach zuviel Arbeit für praktisch kaum nutzen.
Edit 1
Zitat von @145971:
Ja, die Vererbung ist bereits deaktiviert auf dem "DATENSPEICHER" Ordner.
Dennoch erscheint auf einem neu angelegten Unterordnern "JEDER" mit der Berechtigung "LESEN".
Ich vermute diese Einstellung kommt aus dem Reiter "Freigabe" des DATENSPEICHER und nicht aus dem Reiter "Sicherheit"
Ja, die Vererbung ist bereits deaktiviert auf dem "DATENSPEICHER" Ordner.
Dennoch erscheint auf einem neu angelegten Unterordnern "JEDER" mit der Berechtigung "LESEN".
Ich vermute diese Einstellung kommt aus dem Reiter "Freigabe" des DATENSPEICHER und nicht aus dem Reiter "Sicherheit"
Ja, weil das nur verhindert, dass "DATENSPEICHER" ACLs erbt ... Es bedeutet nicht, dass DATENSPEICHER weiter vererben kann, weil das durch die Ordner gesteuert wird die ggf. darunterliegen.
Edit 2
Und im zweifelsfall, falls du komplett eigene Folder für jedes Team brauchst und bloß kein anderer da reinschauen darf -> Erstell einfach für jedes Team ein eigenes Share auf dem selben Drive des FS.
Die Share-Berechtigungen hängst du dann an eine AD-Gruppe welche auch alle anderen ACLs für das jeweilige Team gewährt ... insofern dein AD denn auch so aufgebaut ist
Das wäre doch ein riesiges Sicherheitsloch. Stell dir vor jemand schiebt mehrere Dateien in diversen Unterordnern unterteilt komplett in diesen einen Ordner und die Unterordner hätten auf einmal eine andere Berechtigung.
Zitat von @Cloudrakete:
In der Regel erstellt man solche Ordner ja nicht jeden Tag, weshalb ich für diese/n Ordner die Vererbung einfach unterbrechen würde und unterhalb diesen Ordners neustarte.
Es gibt da gewisse Prozesse, die aber automatisch Ordner erstellen. Stichwort Roaming-Profile oder Ordnerumleitungen. Da muss die Eisntellung schon stimmen, damit man nicht händisch immer korrigieren muss. Ich will ja nicht, dass jeder auf Umleitungen zugriff hat. Wenn man den Basisordner richtig konfiguriert, dann muss man die Vererbung nicht deaktivieren und neu startenIn der Regel erstellt man solche Ordner ja nicht jeden Tag, weshalb ich für diese/n Ordner die Vererbung einfach unterbrechen würde und unterhalb diesen Ordners neustarte.
Dann aktivierst du noch access based enumeration und niemand, außer den explizit berechtigten Usern können den Folder noch sehen.
ABE ist kein Sicherheitsfeature. Es blendet lediglich die Ordner aus, wenn kein zugriff darauf besteht. Da geht es rein um die Anzeige. Wenn du die Struktur des Laufwerkes kennst (was recht einfach ist, wenn man strukturiert arbeitet), dann blendest du zwar eine ebene aus, aber die ebene darunter ist dann wieder angreifbar.Alles andere bedeutet meiner Meinung nach zuviel Arbeit für praktisch kaum nutzen.
Falsch. Alles andere ist die richtige Arbeitsweise. Bei uns ist der Fileserver einheitlich strukturiert. Kein Ordner ist für alle sichtbar. Jeder Freigabe und jeder darunter liegende Ordner hat eine Read-und eine Write-Gruppe. Kein User kann auf einer Freigabe einen eigenen Ordner erstellen, das geht nur in den Ordner der Freigabe. Wir haben dadurch den Wildwuchs der Ordnerstruktur sehr gut in den Griff bekommen.Edit 1
Du darfst hier nicht freigabe-Berechtigung und Ordner-Berechtigung durcheinander bringen.Zitat von @145971:
Ja, die Vererbung ist bereits deaktiviert auf dem "DATENSPEICHER" Ordner.
Dennoch erscheint auf einem neu angelegten Unterordnern "JEDER" mit der Berechtigung "LESEN".
Ich vermute diese Einstellung kommt aus dem Reiter "Freigabe" des DATENSPEICHER und nicht aus dem Reiter "Sicherheit"
Ja, die Vererbung ist bereits deaktiviert auf dem "DATENSPEICHER" Ordner.
Dennoch erscheint auf einem neu angelegten Unterordnern "JEDER" mit der Berechtigung "LESEN".
Ich vermute diese Einstellung kommt aus dem Reiter "Freigabe" des DATENSPEICHER und nicht aus dem Reiter "Sicherheit"
Ja, weil das nur verhindert, dass "DATENSPEICHER" ACLs erbt ... Es bedeutet nicht, dass DATENSPEICHER weiter vererben kann, weil das durch die Ordner gesteuert wird die ggf. darunterliegen.
Und im zweifelsfall, falls du komplett eigene Folder für jedes Team brauchst und bloß kein anderer da reinschauen darf -> Erstell einfach für jedes Team ein eigenes Share auf dem selben Drive des FS.
Das sollte nicht der Zweifelsfall sein, sondern der Richtige Weg um Wildwuchs und Zugriffsprobleme zu vermeiden.Die Share-Berechtigungen hängst du dann an eine AD-Gruppe welche auch alle anderen ACLs für das jeweilige Team gewährt ... insofern dein AD denn auch so aufgebaut ist
Wenn nicht, wäre es jetzt der richtige Zeitpunkt das Ad zu organisieren 
Gruß
Doskias
Zitat von @Doskias:
Alles andere bedeutet meiner Meinung nach zuviel Arbeit für praktisch kaum nutzen.
Falsch. Alles andere ist die richtige Arbeitsweise. Bei uns ist der Fileserver einheitlich strukturiert. Kein Ordner ist für alle sichtbar. Jeder Freigabe und jeder darunter liegende Ordner hat eine Read-und eine Write-Gruppe. Kein User kann auf einer Freigabe einen eigenen Ordner erstellen, das geht nur in den Ordner der Freigabe. Wir haben dadurch den Wildwuchs der Ordnerstruktur sehr gut in den Griff bekommen.Ich weiß was du meinst, und bin auch grundsätzlich bei dir.
Der Aufwand muss dem Nutzen entsprechen und nicht immer ist dies der Fall, ich hab mit beiden Szenarien gearbeitet und mit dem von mir genannten bin ich besser gefahren.
Wird vermutlich aber auch immer von der Belegschaft abhängen, welche in dem Fall doch eher IT-Affin war und dadurch Themen wie Wildwuchs eher Randerscheinungen waren.
Zum Thema ABE .. ich sagte ja auch nicht das es als sicher macht, es ist wie sovieles in der IT immer nur ein Glied einer langen Kette :D
Gruß
Doskias
Doskias
Gruß zurück
Ok, hatte schon Angst mich etwas hart ausgedrückt zu haben.
1. Anwender äußert Wunsch
2. Wunsch wird mit dem Anwender besprochen
3. IT entscheidet ob es eine neue Freigabe gibt (mit entsprechendem Aufwand) oder es wird eine Lösung gefunden wie der Wunsch in der aktuellen Struktur umgesetzt werden kann. Nicht jeder Wunsch der Anwender wird erfüllt. Manches machen wir auch nicht, wenn der Aufwand für den Wunsch zu groß ist
Der Aufwand muss dem Nutzen entsprechen und nicht immer ist dies der Fall, ich hab mit beiden Szenarien gearbeitet und mit dem von mir genannten bin ich besser gefahren.
Sehe ich persönlich etwas anders. Das System muss sicher ein. Wenn der Aufwand dafür zu Hoch ist, dann gibt es das nicht. Ich bohr mich nicht absichtlich ein Loch in unsere Sicherheit. Bei uns läuft das so ab:1. Anwender äußert Wunsch
2. Wunsch wird mit dem Anwender besprochen
3. IT entscheidet ob es eine neue Freigabe gibt (mit entsprechendem Aufwand) oder es wird eine Lösung gefunden wie der Wunsch in der aktuellen Struktur umgesetzt werden kann. Nicht jeder Wunsch der Anwender wird erfüllt. Manches machen wir auch nicht, wenn der Aufwand für den Wunsch zu groß ist
Wird vermutlich aber auch immer von der Belegschaft abhängen, welche in dem Fall doch eher IT-Affin war und dadurch Themen wie Wildwuchs eher Randerscheinungen waren.
Es hängt natürlich auch von der Vorgabe der GF ab und wie hoch die Datensicherheit im Unternehmen geschrieben wird. Ich hab das auch schonmal so machen müssen wie du beschrieben hast, aber diese Zeiten sind Gott sei Dank vorbei.Zum Thema ABE .. ich sagte ja auch nicht das es als sicher macht, es ist wie sovieles in der IT immer nur ein Glied einer langen Kette :D
Wir haben es auch aktiviert um die Neugier nicht zu wecken und Fragen wie "Wieso kann ich in den Ordner nicht reinschauen?" vorzubeugen 
