Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freigaben mit unterschiedlichen Rechten im ADS

Mitglied: tierchen79

tierchen79 (Level 1) - Jetzt verbinden

24.12.2005, aktualisiert 10.01.2006, 5251 Aufrufe, 10 Kommentare

Hallo zusammen,

fuer jeden User kann im ADS ein User-Verzechnis eingetragen werden. Damit die Freigaben nicht so unuebersichtlich werden und jedes User Verzeichnis freigegeben wird, habe ich das Verzechnis \\server\users\ freigegeben. In diesem Verzeichnis liegen alle Verzeichnisse der User, welche aber nicht ueber eine eigene Freigabe verfuegen.

Das Verzeichniss \Users beinhaltet Zugriffe auf Gruppen Ebene. So das jeder User ueber die Gruppe Lese Rechte bekommt.
Wenn er nun auf diese Freigabe zugreift, bekommt er zum jetzigen Zeitpunkt auf alle unteren Verzeichnisse durch die Vererbung Lesezugriff. Damit nicht jeder User in fremden Verzeichnissen "spielt", habe ich dann in den "Erweiterten Sicherheit" die Vererbung deaktiviert. Die Zugriffe erstmal so uebernommen und nachbearbeitet, indem ich der Gruppe Benutzer die Rechte genommen habe (bewirkt, das nicht mehr jeder Zugriff auf das Verzeichniss hat) und dann den User direkt in die Richtlinie eingefueht habe mit Vollzugriff.

Soweit die Ausgangssituation. Wenn ein User jetzt das Laufwerk gemappt bekommt, bekommt er fuer das Verzeichniss \\server\users lese Rechte und fuer das personifizierte Verzeichnis den Vollzugriff aufaddiert. So sollte es in der Theorie aussehen.

Wenn der User jetzt versucht eine Datei oder aehnliches in seinem Verzeichnis erstellen will, wird das mangels Rechte abgelehnt, obwohl er Vollzugriff hat.

Kann mir dazu jemand sagen woran das liegt, bzw. wie ich das hinbekomme?
Mitglied: khhess
24.12.2005 um 14:14 Uhr
Hallo,
welchens OS?

Warum nicht einfacher?
Erstelle doch einfach eine Gruppenrichtlinie mit der Option Ordner umleiten.
Bitte warten ..
Mitglied: khhess
24.12.2005 um 14:18 Uhr
Ach so!

Wenn du in der Freigabe das Schreiben verweigerts, kann der User auch über diese Freigabe nicht schreiben
Bitte warten ..
Mitglied: wiri
24.12.2005 um 14:33 Uhr
Hallo zusammen,

fuer jeden User kann im ADS ein
User-Verzechnis eingetragen werden. Damit
die Freigaben nicht so unuebersichtlich
werden und jedes User Verzeichnis
freigegeben wird, habe ich das Verzechnis
\\server\users\ freigegeben. In diesem
Verzeichnis liegen alle Verzeichnisse der
User, welche aber nicht ueber eine eigene
Freigabe verfuegen.
das solltest du dir aber noch mal überlegen, die Freigaben werden ja nicht dadurch unübersichtlich das jeder ein
eindeutiges personifiziertes Homeshare bekommen, wo nur sie und nur sie die RW Rechte haben.
Es werden halt nur viele Shares wie User.


Das Verzeichniss \Users beinhaltet Zugriffe
auf Gruppen Ebene. So das jeder User ueber
die Gruppe Lese Rechte bekommt.
Wenn er nun auf diese Freigabe zugreift,
bekommt er zum jetzigen Zeitpunkt auf alle
unteren Verzeichnisse durch die Vererbung
Lesezugriff.
logisch
Damit nicht jeder User in
fremden Verzeichnissen "spielt",
habe ich dann in den "Erweiterten
Sicherheit" die Vererbung deaktiviert.
und damit wieder zu nichte gemacht.
Die Zugriffe erstmal so uebernommen und
nachbearbeitet, indem ich der Gruppe
Benutzer die Rechte genommen habe (bewirkt,
das nicht mehr jeder Zugriff auf das
Verzeichniss hat) und dann den User direkt
in die Richtlinie eingefueht habe mit
Vollzugriff.
einfach kompliziert und es läuft ja nicht.


Soweit die Ausgangssituation. Wenn ein User
jetzt das Laufwerk gemappt bekommt, bekommt
er fuer das Verzeichniss \\server\users lese
Rechte und fuer das personifizierte
Verzeichnis den Vollzugriff aufaddiert. So
sollte es in der Theorie aussehen.

Wenn der User jetzt versucht eine Datei oder
aehnliches in seinem Verzeichnis erstellen
will, wird das mangels Rechte abgelehnt,
obwohl er Vollzugriff hat.

Kann mir dazu jemand sagen woran das liegt,
bzw. wie ich das hinbekomme?


mache es so, unter users ein Ordner (ev sogar als share) mit dem Anmeldenamen(samaccount) des Users anlegen mit Rechte FC.
so hat jeder Ordner, sprich Homedir des Users nur diese die Rechte und die anderen keine Rechte.
das kann ein kleiens Batch machen.
Fertig , das geht und ist standard.
cu
willi
Bitte warten ..
Mitglied: tierchen79
24.12.2005 um 14:51 Uhr
also ist es unter windows2003 standart server nicht moeglich eine freigabe so zu gestalten, das verschiedene user in unterverzeichnissen andere zugriffsrechte haben?

Beispiel:
\users (Read fuer Gruppe Mitarbeiter)
\users\mitarbeiter1 (rwx fuer den Mitarbeiter1, ohne Zugriff der Gruppe Mitarbeiter)

wenn ich jetzt z.b. verschiedene Abteilungen habe worin verschiedene Arbeitsgruppen verschiedene Verzeichnisse zur Ablage haben, diese aber nicht den Inhalt andere Gruppen sehen sollen, wird es als Shares voellig chaotisch.

Beispiel:

\Abteilung1\ (Read fuer die Gruppe Abteilung1)
\Abteilung1\Projektentwicklung (Zugriff nur fuer Gruppe der Projektentwickler der Abteilung1)
\Abteilung1\Einkauf (......s.o.)
usw.

Wenn ich das jeweils als eigenen Share freigebe, dann muss ich jedem Ordner einen eindeutigen Namen geben und mit dem Mapping wird es dann auch unuebersichtlich.

Bei der gesuchten Variante muesste ich nurnoch das Verzeichnis \Abteilung freigeben und mappen. Also wesentlich einfacher zu verwalten.
Bitte warten ..
Mitglied: wiri
24.12.2005 um 15:42 Uhr
also ist es unter windows2003 standart server
nicht moeglich eine freigabe so zu gestalten,
das verschiedene user in unterverzeichnissen
andere zugriffsrechte haben?
doch das geht, sogar sehr gut!

Beispiel:
\users (Read fuer
Gruppe Mitarbeiter)
\users\mitarbeiter1 (rwx fuer den
Mitarbeiter1, ohne Zugriff der Gruppe
Mitarbeiter)

wenn ich jetzt z.b. verschiedene Abteilungen
habe worin verschiedene Arbeitsgruppen
verschiedene Verzeichnisse zur Ablage haben,
diese aber nicht den Inhalt andere Gruppen
sehen sollen, wird es als Shares voellig
chaotisch.

Beispiel:

\Abteilung1\
(Read fuer die Gruppe Abteilung1)
\Abteilung1\Projektentwicklung (Zugriff
nur fuer Gruppe der Projektentwickler der
Abteilung1)
\Abteilung1\Einkauf
(......s.o.)
usw.

Wenn ich das jeweils als eigenen Share
freigebe, dann muss ich jedem Ordner einen
eindeutigen Namen geben und mit dem Mapping
wird es dann auch unuebersichtlich.

Bei der gesuchten Variante muesste ich
nurnoch das Verzeichnis \Abteilung freigeben
und mappen. Also wesentlich einfacher zu
verwalten.


nach weihnachten kann ich mal dazu antworten
mit Beispielen
Frohes Fest noch

willi
Bitte warten ..
Mitglied: win-admin
25.12.2005 um 10:29 Uhr
Frohe Weihnachten erstmal!

Also: Entweder versteh ich das extrem schwerwiegende Problem nicht oder viele die hier schreiben haben von der Materie Null Ahnung. Du willst doch lediglich ein stinknormales Home-Laufwerk mappen lassen, auf das nur der jeweilige User Vollzugriff bzw. mind Schreibrechte hat oder?

1. Machs nicht komplizierter als es sein muss! D.h.: Lass die Finger von Vererbungen

2. Erstelle einen Homeordner, gib den frei, unter "Berechtigungen" gibste "Jeder" Vollzugriff und unter dem Reiter Sicherheit gibste deiner Gruppe (wo die User drin sind) Leserechte

3. Entweder erstellste jetzt die Einelnen Unterordner von Hand und gibst auf diese Unterordner den Usern Vollzugriff bzw mind. Schreibrechte oder du lässt beide Schritte automatisch von Windows erledigen.

Das geht dann, wenn du im AD den "Basisordner" des Users zusammen mit nen Laufwerksbuchstaben angibst und das HomeLaufwerk nicht manuell mit nem Script mappst.

Dann erstellt Windows automatisch den Unterordner und gibt gleichzeitig dem entsprechenden User Vollzugriff.

Mfg
Bitte warten ..
Mitglied: tierchen79
27.12.2005 um 14:37 Uhr
Frohe Weihnachten erstmal!

Also: Entweder versteh ich das extrem
schwerwiegende Problem nicht oder viele die
hier schreiben haben von der Materie Null
Ahnung. Du willst doch lediglich ein
stinknormales Home-Laufwerk mappen lassen,
auf das nur der jeweilige User Vollzugriff
bzw. mind Schreibrechte hat oder?

1. Machs nicht komplizierter als es sein
muss! D.h.: Lass die Finger von Vererbungen

2. Erstelle einen Homeordner, gib den frei,
unter "Berechtigungen" gibste
"Jeder" Vollzugriff und unter dem
Reiter Sicherheit gibste deiner Gruppe (wo
die User drin sind) Leserechte

3. Entweder erstellste jetzt die Einelnen
Unterordner von Hand und gibst auf diese
Unterordner den Usern Vollzugriff bzw mind.
Schreibrechte oder du lässt beide
Schritte automatisch von Windows erledigen.

Das geht dann, wenn du im AD den
"Basisordner" des Users zusammen
mit nen Laufwerksbuchstaben angibst und das
HomeLaufwerk nicht manuell mit nem Script
mappst.

Dann erstellt Windows automatisch den
Unterordner und gibt gleichzeitig dem
entsprechenden User Vollzugriff.

Mfg



Habe ich so gemacht, wobei es aber nicht wirklich das Ergebnis erzielt.
Jeder User kann in jedem Mitarbeiterverzeichnis alles machen.
Bitte warten ..
Mitglied: win-admin
27.12.2005 um 15:24 Uhr
Hi!

Son Problem gehste ganz einfach an:

Schmeiß alle Berechtigungen in den Unterordnern des Reiters "Sicherheit" raus, außer die, die Windows automatisch erstellt (SYSTEM und Administratoren).

Dann setzte NUR den USER rein, keine Gruppe und kein gar nix, NUR den User mit Schreibrechten.

Und dann müssts gehen.

Ich vermute nämlich mal, dass du ner Gruppe Schreibrechte gegeben hast, wo alle User drin sitzen. Überprüf das mal! (z.B. in der Gruppe Administratoren)

Mfg
Bitte warten ..
Mitglied: badrulecracker
10.01.2006 um 14:55 Uhr
Ich vermute nämlich mal, dass du ner
Gruppe Schreibrechte gegeben hast, wo alle
User drin sitzen. Überprüf das
mal! (z.B. in der Gruppe Administratoren)

Mfg



Hi,

was ist daran falsch eine Gruppe die Berechtigung zu geben anstatt dem Benutzer. Ich stehe nämlich gerade vor genau dem gleichen Problem wie tierchen79.

Komischerweise habe ich genau das erlebt, was du eben beschrieben hast. Ich habe einer Gruppe die Schreibrechte gegeben, in der der Benutzer enthalten ist, jedoch darf er dann nicht drauf zugreifen. Sobald er allein drin steht in den Sicherheitseinstellungen, geht es...

ich bin etwas verzweifelt!

ciao
Bitte warten ..
Mitglied: win-admin
10.01.2006 um 15:32 Uhr
Hallo!

Bei tierchen79 war ja dass Problem dass alle alles machen konnten. Und nicht wie bei dir, dass alle nix machen können. Deswegen hab ich vermutet, dass er evtl eine FALSCHE Gruppe, bzw eine Gruppe die nicht da rein gehört autorisiert hat.
Grundsätzlich spricht natürlich nichts dagegen Gruppen reinzusetzen, dafür sind sie ja da.

Zu deinem Problem: Ich weiß leider nicht wie tief der Ordner oder die Datei zu der du die Sicherheitseinstellungen gemacht hast in deiner Dateistruktur sitzt. Daher würde ich dir folgendes raten:

Erstelle einen Ordner möglich direkt in einem Laufwerk auf das der User Zugriff hat. (Das bitte vorher sicherstellen). Dann setz da mal die Gruppe rein. Ansonsten dürfen nur noch Administratoren und SYSTEM drin stehen. Und probiers jetzt nochmal. Eigentlich sollte es dann funktionieren.

Mfg
Bitte warten ..
Ähnliche Inhalte
Samba
Nicht passende Rechte auf Samba-Freigab
Frage von diwaffmSamba9 Kommentare

Hi Leute, ich habe hier einen openSUSE Server auf dem ein Samba läuft. Auf die Freigaben dieses Samba greifen ...

Windows Server
Recht Administrator
gelöst Frage von rudeboyWindows Server8 Kommentare

Hi! Kann mir jemand sagen wie ich das deuten soll? NTFS-Berechtigung Vollzugriff für den Admin aber trotzdem rot ausgekreuzt? ...

CPU, RAM, Mainboards

RAM - gleiche Nummer dennoch unterschiedlich

gelöst Frage von HenereCPU, RAM, Mainboards15 Kommentare

Servus zusammen, möchte meinem Server weitere 64GB RAM spendieren. Nun hatte ich die gleichen Module bestellt, wie ich schon ...

Linux Desktop

2 USB Geräte bei Raspbian unterschiedlich behandeln

gelöst Frage von chemikusLinux Desktop11 Kommentare

Hallöchen, wir haben hier einen Raspberry Pi im Kiosk-Modus (Firefox-Browser) und 2 Kartenleser. Diese sind per USB angeschlossen und ...

Neue Wissensbeiträge
Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 19 StundenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 4 TageniOS3 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 4 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 6 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Heiß diskutierte Inhalte
Windows Server
Einziger Domänencontroller ersetzen - Windows Server 2012R2 - Hostname
Frage von DeRo93Windows Server29 Kommentare

Guten Tag, Leider haben wir einen Domänencontroller dessen Komponentenspeicher defekt ist. Alle Maßnahmen sind da leider fehlgeschlagen. Nun wurde ...

Server-Hardware
WS 2016 Essentials Hardware
Frage von ChefknechtServer-Hardware20 Kommentare

Moin welche Hardware würdet ihr empfehlen? Dell Poweredge HP Proliant Fujitsu Ich bin total konfus was nun nötig ist, ...

Windows Server
Welche Option fürs Windows Server Installations besser
Frage von backitWindows Server20 Kommentare

Hi Zusammen, ich werde unserer AD (SBS 2011) und Exchange 2010 Servern auf neuen physikalischen Server umziehen. ich habe ...

Windows Update
Fehler bei Updates über WSUS
Frage von Hendrik2586Windows Update19 Kommentare

Guten Tag liebe Kolleginen und Kollegen, lang lang ist meine letzte Anfrage her. Hier etwas das mich nun schon ...