detten
Goto Top

Netzlaufwerk - Freigabe

Servus,

ich habe folgendes Problem:

Wir haben 5 Server mit Windows 2000 Server, 4 Server sind jeweils als DomainenController (mit eigenständiger Domain) eingerichtet und verfügen demnach über ein eigenes AD. Der 5. Server ist ein reiner "Datenserver" auf diesem Server soll ein Ordner (mit verschiedenen Unterordnern) frei gegeben. Dieser Ordner soll, per Anmeldescript, auf den einzelnen Workstations der jeweiligen Domains eigebunden. Hier bei kommt es darauf an, dass auf den "Hauptordner", nennen wir ihn mal "daten", jeder Lesezugriff haben soll, aber auf die einzelnen Unterordner der eine User nur lesen ein anderer wiederum nur schreiben und ein dritter auf diesen Ordner nur Lesezugriff aber auf einen weiteren Ordner wieder z.B. Schreiberechte hat.
Wie kann ich dieses realisieren??

Content-ID: 56485

Url: https://administrator.de/forum/netzlaufwerk-freigabe-56485.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

MoeSzyslak
MoeSzyslak 15.04.2007 um 12:29:49 Uhr
Goto Top
heisst das die Domains sind völllig unabhängig voneinader und wissen jeweils nix von der Existenz der anderen ?
Ich vermute mal das Benutzer von verschiedenen Domains auf den "Datenserver" ( Fileserver?) zugreifen sollen ?

Ist der "Datenserver" als Memberserver einer der Domains eingerichtet?

MfG
Moe
loipl
loipl 16.04.2007 um 01:11:20 Uhr
Goto Top
Vorraussetzung ist, dass der Fileserver die einzelnen Benutzer oder Gruppen "kennt", also zB. über die Domänen-Vertrauensstellungen authentifizieren kann. [Bei nur einer Domäne würde das klarerweise wegfallen]. Dann kannst du die Freigabe einrichten (zB Jeder: Ändern) und die genauen Rechte dann mit den Sicherheitsberechtigungen (NTFS) zuteilen (zB Jeder: Lesen, Gruppe1: Ändern).
detten
detten 16.04.2007 um 12:01:54 Uhr
Goto Top
heisst das die Domains sind völllig
unabhängig voneinader und wissen jeweils
nix von der Existenz der anderen ?
Ich vermute mal das Benutzer von
verschiedenen Domains auf den
"Datenserver" ( Fileserver?)
zugreifen sollen ?

Ist der "Datenserver" als
Memberserver einer der Domains eingerichtet?

MfG
Moe

Genau, die domains sollen untereinander nichts von einander wissen. Auch richtig, es sollen Benutzer aus verschiedenen Domains darauf zugreifen.
Nein, der Fileserver soll, wenn möglich, in keiner Domain als Memberserver eingerichtet werden!!
MoeSzyslak
MoeSzyslak 16.04.2007 um 17:23:00 Uhr
Goto Top
dann wirds aber sehr umständlich und nur mit hohem administrativen Aufwand zu lösen sein.
Es sei denn das es nur 2-3 Benutzer sind.

Darf man erfahren warum alle Domains total eigenständig sein sollen und der Fileserver KEIN Memberserver werden darf ?

MfG
Moe
detten
detten 16.04.2007 um 18:04:19 Uhr
Goto Top
dann wirds aber sehr umständlich und nur
mit hohem administrativen Aufwand zu
lösen sein.
Es sei denn das es nur 2-3 Benutzer sind.

Darf man erfahren warum alle Domains total
eigenständig sein sollen und der
Fileserver KEIN Memberserver werden darf ?

MfG
Moe


Sind leider nen paar mehr User kannst hinter die 2 - 3 auch ruhig zwei Nullen hinter machen, dann passt es! ;)

Das liegt wohl an unserer Firma, da gibts ne anweisung die lautet und dann muss das auch so kommen! Abewr uns Admins fragt ja leider vorher keiner...
MoeSzyslak
MoeSzyslak 16.04.2007 um 20:07:17 Uhr
Goto Top
Aber sogar als Admin darf (und in diesem Fall muss man sogar) die Hintergründe einer solchen Entscheidung hinterfragen. Denn wenn die Entscheider keine Ahung haben sollten Sie den Admin einbeziehen.

Ansonsten solltest Du Deiner Firma, bzw. dem der das entschieden hat, mitteilen das es so (wie Du das ganze hier beschrieben hast) nicht umsetzbar ist.

Wie loipl auch schon geschrieben hat irgendwoher muss der Server ja die Benutzerinformationen bekommen
damit sich diese authentifizieren können um mit unterschiedlichen rechten zugreifen können.

Das einzige was mir noch dazu einfallen würde:
Nicht mit dem Benutzerkonten welche auf den einzelnen Domains existieren sondern mit allgemeinen Konten zu arbeiten welche Du lokal auf dem Server anlegst und mit denen sich die Benutzer dann separat an diesem geheimnisvollen Server authentifizieren. Das geht natürlich nur bei einer sehr überschaubaren Anzahl verschiedener Zugriffsrechte. Also z.B. ein Account fürs lesen den Jeder benutzt einen fürs Schreiben auf einen Unterordner usw.
Aber das ganze artet sehr schnell aus und wird dann wirklich bald unadministrierbar.

Viel Erfolg !
Moe
detten
detten 17.04.2007 um 11:08:31 Uhr
Goto Top
ist hier einfach so!
ist ne, ich nene sie mal, "staatliche firma" und da bekommt man das gesagt und dann hat man das zu machen!

das mit seperaten benutzern ist auf die dauer nicht zu administrieren, dafür gibts zu viele verschieden rechte!

hab aber gerade mal nen ansatz gefunden, geht in richtung vertrauensstellung, werde das mal versuchen, wenn es geklappt hat werde ich es hier mitteilen.
MoeSzyslak
MoeSzyslak 17.04.2007 um 11:37:39 Uhr
Goto Top
geht in richtung vertrauensstellung

ich denke das sollte so nicht sein ?
detten
detten 17.04.2007 um 17:08:36 Uhr
Goto Top
eigentlich nicht,
aber was anderes funktionierendes finde ich leider nicht...

und so wie ich das bisher voreinander gebastelt und geprüft habe, ist für admin und nutzer nicht sichtbar, das es noch weitere server gibt. nur in der dns und ad vertrauensstellung konsole.

aber mal schaun, noch hab ich nicht alles überprüft...


bin aber immer noch für jeden tipp dankbar um keine vertrauensstellung einzurichten...
loipl
loipl 17.04.2007 um 20:00:32 Uhr
Goto Top
Was mir ohne Vertrauensstellung einfällt ist auch eine "Lösung" aus einem eher sensiblen Bereich...
Da hat jeder einfach für den Fileserver einen zweiten Login bekommen...

Ist aber alles andere als schön... und bringt auch nicht mehr Sicherheit
MoeSzyslak
MoeSzyslak 17.04.2007 um 20:42:11 Uhr
Goto Top
hatte ich auch schon vorgeschlagen ist aber, bei der von ihm beschriebenen useranzahl, m.E. nicht administrierbar