kruemel195
Goto Top

NTFS Berechtigung Ordner durchsuchen

Hallo,

bin gerade beim durcharbeiten des MS-Press Buches 70-270 und hätte jetzt mal ne Frage zu den NTFS-Berechtigungen. Irgendwie steht ich gerade auf der Leitung oder ich habe das flasch verstanden.

Also,

folgendes Problem. Es gibt ja die Berechtigung "Ordner durchsuchen/Datei ausführen". Im Buch (Seite 394) steht, dass ein Benutzer auf einen Unterordner zugreifen kann, obwohl er keine Rechte auf den übergeordneten Ordner hat, wenn er das Recht "Ordner durchsuchen" hat. Hm, bei mir nicht.

Szenario: User A ist in der Gruppe Benutzer. Auf C:\ gibt es den Ordner c:\Test mit einigen Dateien drin. Drunter den Ordner c:\Test\Test1, wieder mit Dateien drin. User A hat auf c:\Test\test1 Vollzugriff aber auf c:\Test nur das Recht "Ordner durchsuchen". Wie kommt User A jetzt auf c:\Test\Test1?

Im Explorer sieht er zwar den Ordner c:\Test, beim anklicken kommt aber sofort Fehlermeldung Zugriff verweigert. Ist ja auch logisch, User A hat ja keine Rechte auf c:\Test. Wenn ich jetzt auf Start-ausführen gehe und da c:\test\test1\abc.txt eingebe, wird die Datei die in dem Ordner Test1 ist geöffnet. Eigentlich auch klar, User A hat ja Vollzugriff auf den Ordner Test1. Hmmm.... Hab ich da jetzt was falsch verstanden? Um eine Datei zu öffnen die sich im Ordner Test1 befindet müsste der User ja vorher wissen wie die Dateien in dem Ordner heissen, denn sehen tut er sie ja im Explorer nicht. Er kann ja nicht auf c:\test klicken.

Wenn ich jetzt dem User A auf c:\Test noch das Recht gebe "Ordner auflisten" kann er zwar auf C:\test klicken, aber er sieht ja jetzt im Explorer auch die Dateien, die in dem Ordner c:\test sind. Das möchte ich aber nicht. Gibt es eine Möglichkeit das der User A den Ordenr c:\test\test1 und die darin enthaltenen Dateien im Explorer sehen kann? Wenn ja, welche Berechtigungen muss ich dem User A geben.

Das das ganze mit einer Freigabe auf c:\test\test1 funktioniert ist mir klar. Verknüpfung auf Desktop und er sieht nur den Inhalt c:\test\test1. Mir geht es aber um das Recht "Ordner durchsuchen" Für irgendwas muss das ja gut sein.

Gruß

Thomas

Content-ID: 135437

Url: https://administrator.de/forum/ntfs-berechtigung-ordner-durchsuchen-135437.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

60730
60730 08.02.2010 um 16:13:27 Uhr
Goto Top
Servus
Mir geht es aber um das Recht "Ordner durchsuchen" Für irgendwas muss das ja gut sein.

angenommen - jemand hat eine Freigabe "User" auf seinem Server angelegt (ich weiß klingt konstruiert - ist es auch)
weiter angenommen - jeder User hätte zugriff auf einen -seinen Unterordner unterhalb der Userfreigabe.
Wenn jetzt ein ganz pöser so schlau wäre und aus der Freigabe - Pfad seinen Ordner/Namen herauszukabüstern - wüßte der - wenn die besagten rechte nicht gesetzt wurden - was oder wer da noch seine Ordner hat.

Oder anders
Angenommen die Hiwis vom Chef sammeln für Ihn im Ordner statistik\eingang diverse Daten, die er dann im Ordner statistik\zahlen zusammenfasst - würde jeder, der zugang zu Statistik\eingang hätte auch sehen, welche Zahlen aus anderen Abteilungen kommen.

Für sowas und noch vieles mehr - gibts den Schalter.

Gruß
kruemel195
kruemel195 08.02.2010 um 17:10:45 Uhr
Goto Top
Servus zurück,

angenommen - jemand hat eine Freigabe "User" auf seinem Server angelegt (ich weiß klingt konstruiert - ist es
auch
)

Warum? Bei uns gibts so einen Ordner mit genau dieser Freigabe User.

weiter angenommen - jeder User hätte zugriff auf einen -seinen Unterordner unterhalb der Userfreigabe.

gibts bei uns auch.

\\servername\user\Fritz
\\servername\user\Otto

usw....

Wenn jetzt ein ganz pöser so schlau wäre und aus der Freigabe - Pfad seinen Ordner/Namen herauszukabüstern -
wüßte der - wenn die besagten rechte nicht gesetzt wurden - was oder wer da noch seine Ordner hat.


das versteh ich jetzt nicht. Mit \\servername\user sehe ich den ganzen Ordner User mit seinen Unterordnern. Aber Fritz kommt nicht auf Otto und Otto nicht auf Fritz, ob mit oder ohne das Recht "Ordner durchsuchen". Das Recht "Ordner durchsuchen" ist doch normalerweise auch standardmässig nicht gesetzt. Wenn ich auf einem Server einen Ordner erstelle, hat die Gruppe Benutzer standardmässig die Rechte "Lesen", "Lesen, ausführen", "Ordenerinhalt auflisten" und das spezielle Recht "Dateien erstellen/Daten schreiben" sowie "Ordner erstellen/Daten anhängen" .Der Benutzer sieht doch dann im Explorer den kompletten Ordner mit seinen Unterordnern. Dazu brauche ich doch das Recht "Ordner durchsuchen" nicht.


Gruß von einem etwas verwirrtem

P.S. Eigentlich ging es mir ja überhaupt nicht um eine Freigabe. Das kommt erst im nächsten Kapitel in dem Buch. Bin erst bis Seite 431 vorgedrungen.
DerWoWusste
DerWoWusste 08.02.2010 um 20:41:11 Uhr
Goto Top
Hi.
Du hast vermutlich zu wenige Berechtigungen vergeben.
Korrekt wäre (englisch):
-traverse folder/execute file
-list folder /read data
-read attributes
-read extended attributes
-read permissions

Dann läuft es wie erwartet. Vermutlich sind die letzten 3 optional.
kruemel195
kruemel195 08.02.2010 um 22:17:47 Uhr
Goto Top
Hallo DerWoWusste,

hast du mein erstes Posting gelesen? Hab doch geschrieben, wenn ich dem User A noch das Recht "Ordner auflisten/Daten lesen" "list folder/read data" gebe sieht er den Ordner c:\test und c:\test\test1 im Explorer, aber er sieht dann auch die Dateien des Ordners c:\test. User A kann zwar auf c:\Test nichts öffnen, da er ja keine Rechte hat, aber er sieht die Dateien des Ordners.

Hier mal die Beschreibung aus dem Buch:

Ordner durchsuchen/DAtei ausführen:

Diese Berechtigung gestattet oder verweigert das Durchsuchen von Ordnern, um auf andere Dateien oder Ordner zuzugreifen, selbst dann, wenn der Benutzer keine Berechtigungen für den durchsuchten Ordner besitzt. Beispiel, ein Benutzer hat keine Berechtigung für den Ordner Verkauf, er braucht die Berechtigung aber um auf einen Unterordner namens Werbematerial zuzugreifen, der sich unterhalb des Ordners Verkauf befindet. Wenn dem Benutzer die Berechtigung "Ordner durchsuchen" gewährt wird, kann er auf den Ordner "Werbematerial" zugreifen.

Wie kommt der User jetzt auf den Ordner Werbematerial, wenn er nur das Recht "Ordner durchsuchen" im übergeordneten Ordner Verkauf hat. Versteh ich nicht, und bekomme es auch nicht hin.

Was ich hinbekomme ist. Wenn ich Notepad oder ein anders Programm öffne, und gehe auf Datei öffnen und gebe da im feld Dateiname den kompletten Pfad c:\test\test1\ an, werden mir die darin enthaltenen Dateien angezeigt, obwohl ich ja auf c:\test eigentlich keine Rechte habe zuzugreifen, außer dem Recht Ordner durchsuchen.

Wird das irgendwie/wo eingesetzt?
DerWoWusste
DerWoWusste 08.02.2010 um 22:26:49 Uhr
Goto Top
OK, das hatte ich nicht aufmerksam genug gelesen. Das Sehen der Namen der Dateien Dateien in den Ordnern ist so nicht zu unterdrücken (ist auch nicht gewollt) - vielleicht jedoch mit ABE, was Du auf Servern einrichten kannst http://www.google.com/search?q=access+based+enumeration+download&rl ...