18
Freigaben und Zugriffsrechte
Hallo Leute
Es gibt immer wieder Situationen da müssen Freigaben eingerichtet werden für verschiedene Dienste und es steht nirgendwo geschrieben mit welchem User dies geschen soll. Viele Admins verwenden dann Jeder mit Vollzugriff, was natürlich ganz schlecht ist und die anderen Domain Users. Dies ist zwar schon ein wenig besser, aber auch nicht unbedingt das Wahre.
Gibt es eine Möglichkeit herauszufinden, wenn ein Dienst oder User versucht auf eine Freigabe zuzugreifen und es verweigert wurde? Dann könnte ich dies Monitoren und dann nur dem spezifischen User/Dienst die Berechtigung erteilen. Ich habe schon in den Windows Logs gesucht, jedoch bin ich dort nicht fündig geworden.
Ausserdem habe ich noch folgendes versucht und dies ist mir auch nicht gelungen.
Hosts
Computer1
Computer2
Computer3
Gruppe mit Computer erstellt
grpHosts = Computer1, Computer2, Computer3
Share
Computer3\Freigabe mit grpHosts freigeben
Nun kann ich doch nicht mit Computer1 darauf zugreifen. Sollte ich nicht nun mit jedem beliebigen User von Computer1 darauf zugreifen können?
Vielen Dank
Es gibt immer wieder Situationen da müssen Freigaben eingerichtet werden für verschiedene Dienste und es steht nirgendwo geschrieben mit welchem User dies geschen soll. Viele Admins verwenden dann Jeder mit Vollzugriff, was natürlich ganz schlecht ist und die anderen Domain Users. Dies ist zwar schon ein wenig besser, aber auch nicht unbedingt das Wahre.
Gibt es eine Möglichkeit herauszufinden, wenn ein Dienst oder User versucht auf eine Freigabe zuzugreifen und es verweigert wurde? Dann könnte ich dies Monitoren und dann nur dem spezifischen User/Dienst die Berechtigung erteilen. Ich habe schon in den Windows Logs gesucht, jedoch bin ich dort nicht fündig geworden.
Ausserdem habe ich noch folgendes versucht und dies ist mir auch nicht gelungen.
Hosts
Computer1
Computer2
Computer3
Gruppe mit Computer erstellt
grpHosts = Computer1, Computer2, Computer3
Share
Computer3\Freigabe mit grpHosts freigeben
Nun kann ich doch nicht mit Computer1 darauf zugreifen. Sollte ich nicht nun mit jedem beliebigen User von Computer1 darauf zugreifen können?
Vielen Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 243513
Url: https://administrator.de/contentid/243513
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
18 Kommentare
Neuester Kommentar
?????????????????????
LG, Thomas
LG, Thomas
Was ist das denn für eine Antwort?
Was war das für eine Frage? Server-OS? Client-OS? Domäne? Arbeitsgruppe? Wer wird morgen Weltmeister ? Lottozahlen vom nächsten Samstag ...?
LG, Thomas
LG, Thomas
Also hier die Infos:
Server OS: Win2k12 R2
Client: Windows 7/8.1
Domäne
Dies war eine allgemein zu Windows Freigaberechten gestellte Frage. Es sollte daher keinen Unterschied zu welcher aktuelleren Windows Version es sich handelt.
Und morgen wird Deutschland WM
Die Lottozahlen zu nennen wird ein wenig schwieriger.
lg
Server OS: Win2k12 R2
Client: Windows 7/8.1
Domäne
Dies war eine allgemein zu Windows Freigaberechten gestellte Frage. Es sollte daher keinen Unterschied zu welcher aktuelleren Windows Version es sich handelt.
Und morgen wird Deutschland WM
Die Lottozahlen zu nennen wird ein wenig schwieriger.lg
Moin Mineralwasser,
Und dein Versuch die Computer-Accounts in die Freigabeberechtigungen zu packen ist auch Quark, denn mit seinem Computer-Account (Machine-SID) authentifiziert sich ein Rechner in diesem Fall nur wenn auf dem System selber kein User eingeloggt ist, z.B. bei einem Startscript, welches auf ein Share zugreifen will.
Also mein Tipp, regele es unbedingt mit den NTFS-ACLs, alles andere bedeutet doppelte Pflege von Berechtigungen (Share und NTFS-ACLs) und ist Fehleranfälliger.
Und was das Logging von Zugriffsversuchen angeht, ist das Zauberwort "Ordnerüberwachung" zu finden in den erweiterten Sicherheitseinstellungen jedes Ordners.
Grüße Uwe
Viele Admins verwenden dann Jeder mit Vollzugriff, was natürlich ganz schlecht ist und die anderen Domain Users.
Wieso soll das schlecht sein? Die meisten unter uns Admins regeln den expliziten Filezugriff sowieso mit den NTFS-ACLs und nicht mit den Freigabeberechtigungen! D.h. wenn jemand auf dem Share in den Freigabeberechtigungen Vollzugriff hat, heißt das noch lange nicht, dass er dort machen kann was er will wenn er in den NTFS-ACLs dort keine Rechte besitzt! Trotzdem sollte man hier für "Authenticated Users" nicht "Vollzugriff" sondern "Ändern" wählen.Und dein Versuch die Computer-Accounts in die Freigabeberechtigungen zu packen ist auch Quark, denn mit seinem Computer-Account (Machine-SID) authentifiziert sich ein Rechner in diesem Fall nur wenn auf dem System selber kein User eingeloggt ist, z.B. bei einem Startscript, welches auf ein Share zugreifen will.
Also mein Tipp, regele es unbedingt mit den NTFS-ACLs, alles andere bedeutet doppelte Pflege von Berechtigungen (Share und NTFS-ACLs) und ist Fehleranfälliger.
Und was das Logging von Zugriffsversuchen angeht, ist das Zauberwort "Ordnerüberwachung" zu finden in den erweiterten Sicherheitseinstellungen jedes Ordners.
Grüße Uwe
Moin Uwe,
Super, das bringt mich einen guten Schritt weiter. Vielen Dank
Also bei dem Beispiel hier mit den Computer Acccounts ging es eigentlich um User Profile Disks für RDS und das wirdja von einem Dienst ersellt, ohne Computerzugriff. Trotzdem muss ich wahrscheinlich dort mindestens Domain Users mit den Rechten geben, da die in der Laufzeit gemappt werden. Aber es mit NTFS-ACLs zu regeln wie du schreibst finde eigentlich sehr gut.
Ich würde es trotzdem nicht auf jeder setzen, sonder mindestens auf Domain Users, da schnell einmal vergessen wird eine NTFS-ACL richtig zu setzen. Dies kommt auf die Orginization darauf an. Bei einer Pizzeria spielt dies wohl sicherlich nicht eine grosse Rolle, aber bei einer Anwaltskanzlei schon eher
Danke für das Zauberwort... ist genau das wonach ich gesucht habe.
Gruss
Super, das bringt mich einen guten Schritt weiter. Vielen Dank
Also bei dem Beispiel hier mit den Computer Acccounts ging es eigentlich um User Profile Disks für RDS und das wirdja von einem Dienst ersellt, ohne Computerzugriff. Trotzdem muss ich wahrscheinlich dort mindestens Domain Users mit den Rechten geben, da die in der Laufzeit gemappt werden. Aber es mit NTFS-ACLs zu regeln wie du schreibst finde eigentlich sehr gut.
Ich würde es trotzdem nicht auf jeder setzen, sonder mindestens auf Domain Users, da schnell einmal vergessen wird eine NTFS-ACL richtig zu setzen. Dies kommt auf die Orginization darauf an. Bei einer Pizzeria spielt dies wohl sicherlich nicht eine grosse Rolle, aber bei einer Anwaltskanzlei schon eher
Danke für das Zauberwort... ist genau das wonach ich gesucht habe.
Gruss
Moin.
Macht es aber - so unterstützt die Server-Version ab 2008 von Hause aus ABE, während man das früher manuell installieren musste. Auch die File Classification & Co. sind erst seit 2008 direkt mit an Board. Serverseitig macht es also schon einen immensen Unterschied....
Anyway, back2topic:
Die Share-Permissions sind bei mir immer (ausser, wenn explizit anders verlangt) auf "Full Access" für "Authenticated Users" gesetzt - und damit sind sowhl die User- als auch die Computerkonten aus dem AD inkludiert, denn "Authenticated Users" beinhaltet tatsächlich alle im AD angemeldeten User- und Computerkonten (auch wenn der Name verwirrend ist, "Authenticated Objects" wäre hier treffender).
Die tatsächlichen Zugriffsrechte setze ich immer via NTFS-ACL, denn nur so greifen auch Features wie ABE & Co.
Cheers,
jsysde
Zitat von @Mineralwasser:
Dies war eine allgemein zu Windows Freigaberechten gestellte Frage. Es sollte daher keinen Unterschied zu welcher aktuelleren
Windows Version es sich handelt.
Dies war eine allgemein zu Windows Freigaberechten gestellte Frage. Es sollte daher keinen Unterschied zu welcher aktuelleren
Windows Version es sich handelt.
Macht es aber - so unterstützt die Server-Version ab 2008 von Hause aus ABE, während man das früher manuell installieren musste. Auch die File Classification & Co. sind erst seit 2008 direkt mit an Board. Serverseitig macht es also schon einen immensen Unterschied....
Anyway, back2topic:
Die Share-Permissions sind bei mir immer (ausser, wenn explizit anders verlangt) auf "Full Access" für "Authenticated Users" gesetzt - und damit sind sowhl die User- als auch die Computerkonten aus dem AD inkludiert, denn "Authenticated Users" beinhaltet tatsächlich alle im AD angemeldeten User- und Computerkonten (auch wenn der Name verwirrend ist, "Authenticated Objects" wäre hier treffender).
Die tatsächlichen Zugriffsrechte setze ich immer via NTFS-ACL, denn nur so greifen auch Features wie ABE & Co.
Cheers,
jsysde
Stimmt authenticated user ist immer das welches ich verwende und nicht domain users. Wir haben erst kürzlich die Server auf Englisch migriert. Danke... muss ich gleich ändern.
Hi.
My 3,5c:
Everyone:full macht man nicht bei Freigabeberechtigungen. Auch nicht auth users:full. Auch nicht domain users: full. Full hat den Sinn, dass der Berechtigte Rechte ändern kann - willst Du das? Nein. Und wenn dann Admins sagen, dass sie es mit den NTFS-Berechtigungen beschränken können, dann irren sie leider. Gebt everyone:full auf eine Freigabe und User A Schreibzugriff (nicht Vollzugriff)...nun lasst User A dort einen Ordner erstellen - ihr werdet nun nicht mehr verhindern können, dass er die ACL dieses Ordners umschreiben kann, denn er ist der Besitzer. Um dies zu verhindern, MUSS in den Freigabeberechtigungen "everyone/auth/dom...:full" vermieden werden, sonst geht es nicht einmal mit NTFS denials. Deswegen: jeder:ändern und Rest mit NTFS.
Desweiteren: everyone ist doch gar nicht so böse. Lies Dir mal im TechNet durch, wer da drin ist. Anonymous Logons jedenfalls nicht.
Und zur Frage:
My 3,5c:
Everyone:full macht man nicht bei Freigabeberechtigungen. Auch nicht auth users:full. Auch nicht domain users: full. Full hat den Sinn, dass der Berechtigte Rechte ändern kann - willst Du das? Nein. Und wenn dann Admins sagen, dass sie es mit den NTFS-Berechtigungen beschränken können, dann irren sie leider. Gebt everyone:full auf eine Freigabe und User A Schreibzugriff (nicht Vollzugriff)...nun lasst User A dort einen Ordner erstellen - ihr werdet nun nicht mehr verhindern können, dass er die ACL dieses Ordners umschreiben kann, denn er ist der Besitzer. Um dies zu verhindern, MUSS in den Freigabeberechtigungen "everyone/auth/dom...:full" vermieden werden, sonst geht es nicht einmal mit NTFS denials. Deswegen: jeder:ändern und Rest mit NTFS.
Desweiteren: everyone ist doch gar nicht so böse. Lies Dir mal im TechNet durch, wer da drin ist. Anonymous Logons jedenfalls nicht.
Und zur Frage:
Gibt es eine Möglichkeit herauszufinden, wenn ein Dienst oder User versucht auf eine Freigabe zuzugreifen und es verweigert wurde? Dann könnte ich dies Monitoren und dann nur dem spezifischen User/Dienst die Berechtigung erteilen
Du kannst doch ablesen unter welchem Konto der Dienst läuft, was willst Du denn noch herausfinden, schreib das Konto einfach in die ACL rein und fertig.Du kannst doch ablesen unter welchem Konto der Dienst läuft, was willst Du denn noch herausfinden, schreib das Konto einfach
in die ACL rein und fertig.
Nein, leider geht das nicht immer. Wenn es unter Services aufgeführt ist sicherlich ersichtlich und klar. Aber dies ist leider nicht immer der Fall.in die ACL rein und fertig.
Erklär mal genauer. Von welchem Dienst redest Du und was steht da als Anmeldekonto?
Also meistens ist es nicht ersichtlich, wenn eine Installation durchgeführt wird und eine Freigabe angegeben werden muss. Mir ist schon klar, dass es später wahrscheinlich ein Dienst sein wird, der darauf zugreift. Nur weiss ist es im vorneherein nicht klar, welcher es denn nun sein wird. Dann sucht man also nach Installationsdokus und Bestpraxis... aber wenn man dann nach einer halben Stund nicht fündig wird, wäre der Weg über ein Monitoring schneller gewesen. Klar birgt es noch die Gefahr in sich, dass während der Ausführung noch andere Berechtigungen zusätzlich gesetzt werden müssen.
Okay... vileleicht ist meine Vorgehensweise falsch und ich lasse mich gerne etwas besseres belernen, aber hier das letzte Beispiel wo ich hatte:
Was ist die mindeste Berechtigung die ich setzen muss damit Windows 2012 R2 User Profile Disks funktionieren?
Es wird in allen Foren und Installationsdokus geschrieben, dass ein Share angegeben werden muss, jedoch habe ich leider nirgendwo gefunden, was denn nun für Berechtigungen gesetzt werden müssen. Für mich wäre es am logischsten gewesen, dass ich eine Gruppe erstelle enthält, welche alle RDS Hosts enthält und gebe der Gruppe volle Berechtigungen auf den Share. Dies könnte in der Tat bei der Ausführung wirklich funktionieren, da ich festgestellt habe, dass der Owner einer der Server ist, jedoch bei der Installation reichen die Rechte leider nicht aus.
Okay... vileleicht ist meine Vorgehensweise falsch und ich lasse mich gerne etwas besseres belernen, aber hier das letzte Beispiel wo ich hatte:
Was ist die mindeste Berechtigung die ich setzen muss damit Windows 2012 R2 User Profile Disks funktionieren?
Es wird in allen Foren und Installationsdokus geschrieben, dass ein Share angegeben werden muss, jedoch habe ich leider nirgendwo gefunden, was denn nun für Berechtigungen gesetzt werden müssen. Für mich wäre es am logischsten gewesen, dass ich eine Gruppe erstelle enthält, welche alle RDS Hosts enthält und gebe der Gruppe volle Berechtigungen auf den Share. Dies könnte in der Tat bei der Ausführung wirklich funktionieren, da ich festgestellt habe, dass der Owner einer der Server ist, jedoch bei der Installation reichen die Rechte leider nicht aus.
Hi.
Ich kann Dir nicht helfen, wenn Du keine definierte Ausgangslage hast.
Zu Deinem konkreten Beispiel: "User Profile Disks" wird eine Doku bei Microsoft haben. Beim besten Willen glaube ich nicht, dass es da nicht deutlich steht.
Ich kann Dir nicht helfen, wenn Du keine definierte Ausgangslage hast.
Zu Deinem konkreten Beispiel: "User Profile Disks" wird eine Doku bei Microsoft haben. Beim besten Willen glaube ich nicht, dass es da nicht deutlich steht.
Hallo
Siehe Post als gelöst markiert. Ich wollte eine allgemeine Lösung wie man es sonst angehen kann ohne das es spezifisch irgendwo geschrieben steht.
Gruss und Danke für die Lösungsansätze
Ich kann Dir nicht helfen, wenn Du keine definierte Ausgangslage hast.
Mir wurde doch schon geholfen Siehe Post als gelöst markiert. Ich wollte eine allgemeine Lösung wie man es sonst angehen kann ohne das es spezifisch irgendwo geschrieben steht.Zu Deinem konkreten Beispiel: "User Profile Disks" wird eine Doku bei Microsoft haben. Beim besten Willen glaube ich
nicht, dass es da nicht deutlich steht.
Wie schon oben erwähnt, habe ich schon lange danach gesucht und bin eben nicht fündig geworden. Ich habe diverse Anleitungen im Internet angeschaut und auch hier ein Buch über Win2k12 und es steht leider nichts darüber drin. Nun könnte ich natürlich ins Microsoft Forum posten und einen halben Tag auf eine Antwort hoffen, dann kriege ich eventuell eine Antwort spezifisch für das Problem, bin jedoch abhängig bis jemand mir auf die Frage antwortet. Wenn ich es monitoren kann, so in etwa wie ich ein Port bei der Firewall freigebe, geht doch das viel schneller und effizienter.nicht, dass es da nicht deutlich steht.
Gruss und Danke für die Lösungsansätze
Moin.
Einspruch:
Share Permission auf "Authenticated User: Full" und in den NTFS-ACLs "CREATOR-OWNER" rausnehmen!
Stattdessen bekommen die User (gruppiert, natürlich) "Modify" in den ACLs und schon ist der Drops gelutscht. Auf diesem Weg ändert der User, der schreiben/umbenennen/löschen darf keine ACLs mehr.
Cheers,
jsysde
Zitat von @DerWoWusste:
Everyone:full macht man nicht bei Freigabeberechtigungen. Auch nicht auth users:full. Auch nicht domain users: full. Full hat den
Sinn, dass der Berechtigte Rechte ändern kann - willst Du das? Nein. Und wenn dann Admins sagen, dass sie es mit den
NTFS-Berechtigungen beschränken können, dann irren sie leider. Gebt everyone:full auf eine Freigabe und User A
Schreibzugriff (nicht Vollzugriff)...nun lasst User A dort einen Ordner erstellen - ihr werdet nun nicht mehr verhindern
können, dass er die ACL dieses Ordners umschreiben kann, denn er ist der Besitzer. Um dies zu verhindern, MUSS in den
Freigabeberechtigungen "everyone/auth/dom...:full" vermieden werden, sonst geht es nicht einmal mit NTFS denials.
Deswegen: jeder:ändern und Rest mit NTFS.
Everyone:full macht man nicht bei Freigabeberechtigungen. Auch nicht auth users:full. Auch nicht domain users: full. Full hat den
Sinn, dass der Berechtigte Rechte ändern kann - willst Du das? Nein. Und wenn dann Admins sagen, dass sie es mit den
NTFS-Berechtigungen beschränken können, dann irren sie leider. Gebt everyone:full auf eine Freigabe und User A
Schreibzugriff (nicht Vollzugriff)...nun lasst User A dort einen Ordner erstellen - ihr werdet nun nicht mehr verhindern
können, dass er die ACL dieses Ordners umschreiben kann, denn er ist der Besitzer. Um dies zu verhindern, MUSS in den
Freigabeberechtigungen "everyone/auth/dom...:full" vermieden werden, sonst geht es nicht einmal mit NTFS denials.
Deswegen: jeder:ändern und Rest mit NTFS.
Einspruch:
Share Permission auf "Authenticated User: Full" und in den NTFS-ACLs "CREATOR-OWNER" rausnehmen!
Stattdessen bekommen die User (gruppiert, natürlich) "Modify" in den ACLs und schon ist der Drops gelutscht. Auf diesem Weg ändert der User, der schreiben/umbenennen/löschen darf keine ACLs mehr.
Cheers,
jsysde
Hi jsysde.
Steht in den NTFS-ACLS denn Creator-Owner drin? Meines Wissens nicht.
Steht in den NTFS-ACLS denn Creator-Owner drin? Meines Wissens nicht.
Mahlzeit.
Sicher steht der drin.
http://1drv.ms/1mGhcY3
Cheers,
jsysde
Zitat von @DerWoWusste:
Hi jsysde.
Steht in den NTFS-ACLS denn Creator-Owner drin? Meines Wissens nicht.
Hi jsysde.
Steht in den NTFS-ACLS denn Creator-Owner drin? Meines Wissens nicht.
Sicher steht der drin.
http://1drv.ms/1mGhcY3
Cheers,
jsysde
Es steht drin bei Ordnern, die dieses erben (wie hier von c: geerbt wurde), aber das sind ja nicht alle Ordner. Insofern probiere es einfach aus und wundere Dich (die Diskussion hatten wir hier schon oft 
)
)
