Freigaben vs. Vererbung von NTFS-Berechtigungen
Der übergeordnete Freigabeordner soll für die ganze Abteilung verfügbar sein, die Unterordner nur jeweils für spezielle Mitarbeiter. Wie kann ich das (in den NTFS-Zugriffsrechten) festlegen, ohne die Vererbung auszuschalten.
Hallo zusammen.
Habe eine Frage, die zumindest so noch nicht beantwortet worden ist, deshalb eröffne ich hier einen neuen Beitrag.
Wir haben verschiedene Abteilungen mit verschiedenen Fachbereichen.
Gewünschte Lösung wäre folgende:
Auf dem Fileserver im Ordner "Buchhaltung" (beispielsweise) liegen die einzelnen Unterordner, für die es verschiedene Zugriffsrechte gibt. Der Ordner "Buchhaltung" selbst ist nicht freigegeben und hat auch nur die vom Laufwerk vererbten Standardfreigaben (Admin, System). Freigegeben ist jeder der Unterordner (z.B. als "Buchhaltung-Verwaltung"). Bei diesen Unterordnern werden auch zusätzliche Zugriffsrechte (NTFS) vergeben (z.B. die Gruppe "DL-BH-VW-lesen" kriegt Vollzugriff).
D.h., ich habe eine klare Ordnerstruktur auf dem Server, bei dem alle Freigaben jeweils andere Zugriffsrechte haben, was auch mit der Vererbung prima geht. Nachteil: Ich habe zig Freigaben, die ich entweder alle mappen muss (nicht praktikabel), oder die alle in meinem Netzwerk angezeigt werden (nicht gut für die DAUs, die dann nichts mehr finden).
Ändere ich dieses System, so dass die Freigabe auf dem Überordner "Buchhaltung" liegt, so muss ich hier auch NTFS-Zugriffsrechte setzen und zwar für die ganze Abteilung. Diese Rechte würden sich aber nach unten Vererben, so dass entweder jedes Mitglied der Gruppe Buchhaltung einen verebten (mindestens Lese-)Zugriff auf alles hat (was geheimniskrämerischerweise nicht gewollt ist), oder aber ich die Vererbung ausschalten muss, was ich auch nicht will, weil ich meine Zugriffsrechte im Active Directory verwalten und nicht auf allen Ordnern rumklicken will.
Daher wäre es für uns bei der Einrichtung optimal, wenn für jeden Netzwerkbenutzer einfach nur die Freigaben sichtbar wären, die er auch nutzen darf. Es gab hierzu einen Link auf Microsoft ABE (Access-based Enumeration), was mir allerdings nicht hilft, da dieses Tool nicht die Freigaben selbst ausblendet, sondern nur deren Unterordner. D.h. für mich bleibt entweder das Problem mit der Vererbung (die oberste Freigabe muss für jeden Benutzer zugänglich sein, so dass ich untergeordnete Ordner nur durch Ausschalten der Vererbung sperren kann), oder es bleibt das Problem, dass trotzdem zig Freigaben im Netz erscheinen, weil diese durch MS ABE nicht versteckt werden.
Hat hier schon jemand Erfahrungen gesammelt?
Viele Grüße,
die Kaffeepause (momentan eher pausenlos)
Hallo zusammen.
Habe eine Frage, die zumindest so noch nicht beantwortet worden ist, deshalb eröffne ich hier einen neuen Beitrag.
Wir haben verschiedene Abteilungen mit verschiedenen Fachbereichen.
Gewünschte Lösung wäre folgende:
Auf dem Fileserver im Ordner "Buchhaltung" (beispielsweise) liegen die einzelnen Unterordner, für die es verschiedene Zugriffsrechte gibt. Der Ordner "Buchhaltung" selbst ist nicht freigegeben und hat auch nur die vom Laufwerk vererbten Standardfreigaben (Admin, System). Freigegeben ist jeder der Unterordner (z.B. als "Buchhaltung-Verwaltung"). Bei diesen Unterordnern werden auch zusätzliche Zugriffsrechte (NTFS) vergeben (z.B. die Gruppe "DL-BH-VW-lesen" kriegt Vollzugriff).
D.h., ich habe eine klare Ordnerstruktur auf dem Server, bei dem alle Freigaben jeweils andere Zugriffsrechte haben, was auch mit der Vererbung prima geht. Nachteil: Ich habe zig Freigaben, die ich entweder alle mappen muss (nicht praktikabel), oder die alle in meinem Netzwerk angezeigt werden (nicht gut für die DAUs, die dann nichts mehr finden).
Ändere ich dieses System, so dass die Freigabe auf dem Überordner "Buchhaltung" liegt, so muss ich hier auch NTFS-Zugriffsrechte setzen und zwar für die ganze Abteilung. Diese Rechte würden sich aber nach unten Vererben, so dass entweder jedes Mitglied der Gruppe Buchhaltung einen verebten (mindestens Lese-)Zugriff auf alles hat (was geheimniskrämerischerweise nicht gewollt ist), oder aber ich die Vererbung ausschalten muss, was ich auch nicht will, weil ich meine Zugriffsrechte im Active Directory verwalten und nicht auf allen Ordnern rumklicken will.
Daher wäre es für uns bei der Einrichtung optimal, wenn für jeden Netzwerkbenutzer einfach nur die Freigaben sichtbar wären, die er auch nutzen darf. Es gab hierzu einen Link auf Microsoft ABE (Access-based Enumeration), was mir allerdings nicht hilft, da dieses Tool nicht die Freigaben selbst ausblendet, sondern nur deren Unterordner. D.h. für mich bleibt entweder das Problem mit der Vererbung (die oberste Freigabe muss für jeden Benutzer zugänglich sein, so dass ich untergeordnete Ordner nur durch Ausschalten der Vererbung sperren kann), oder es bleibt das Problem, dass trotzdem zig Freigaben im Netz erscheinen, weil diese durch MS ABE nicht versteckt werden.
Hat hier schon jemand Erfahrungen gesammelt?
Viele Grüße,
die Kaffeepause (momentan eher pausenlos)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52281
Url: https://administrator.de/contentid/52281
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
7 Kommentare
Neuester Kommentar
Auch wenn das vielleicht nicht ganz dein Problem löst, aber was ist denn mit versteckten Freigaben. Die kann man im Netzwerk nicht sehen und jeder User bekommt nur die Pfade zu den Freigaben, auf denen er Zugriff hat.
so umgehst du das Problem der Vererbung und es sind nicht alle Frigaben sichtbar.
so umgehst du das Problem der Vererbung und es sind nicht alle Frigaben sichtbar.
Leider schreibst du, das du "nicht in den Ordner rumklicken möchtest". Es gibt jedoch diverse Kommandozeilen basierende Tools, mit denen NTFS Berechtigungen verwaltet werden können. Wenn man das ganze per Script abfeuert, hat das ganze auch Dokumentationscharacter.
Ich halte die Lösung, das Verzeichnis Buchhaltung zu mappen, die Berechtigungen per NTFS zu setzen und an gegebenen Stellen die Vererbung zu kappen für sinnvoller.
Ich halte die Lösung, das Verzeichnis Buchhaltung zu mappen, die Berechtigungen per NTFS zu setzen und an gegebenen Stellen die Vererbung zu kappen für sinnvoller.
Und was ist, wenn du einen Ordner, z.B. Freigaben, erstellst und dort alle Ordner hinterlegst. Wenn du dann Microsoft ABE installierst und die Berechtigungen setzt, können alle diesen Ordner mappen und jeder sieht nur die für ihn bestimmten Ordner.
So habe ich es jetzt bei einem Kunden gelöst.
So habe ich es jetzt bei einem Kunden gelöst.