5
NTFS Berechtigungen auf Datei Ebene sollen nicht vererbt werden ohne die Vererbung zu deaktivieren
Hallo Liebes Forum,
ich stehe etwas auf dem Schlauch und hoffe ihr könnt mir helfen.
Ich habe einen Hauptordner mit dem Namen "FirmenDaten",
in diesem Ordner befinden sich Dateien, z.B. "FirmenDaten\Logo.jpg" und "FirmenDaten\entwurf.docx"
sowie die Unterordner " FirmenDaten\Marketing\" , "FirmenDaten\Projekte\", "FirmenDaten\Abteilungen\"
welche wiederum Unterordner und Dateien enthalten. z.B. FirmenDaten\Abteilungen\Führungskräfte.docx
Ich möchte erreichen, dass die User alle Ordner im Verzeichnis "FirmenDaten" gelistet bekommen, aber nicht ändern oder neue erstellen bzw. löschen dürfen. Die Dateien im Ordner "FirmenDaten" ("FirmenDaten\Logo.jpg" und "FirmenDaten\entwurf.docx") sollen sie hingegen bearbeiten, löschen und ggf. neue Dateien erzeugen können.
.
Die Vererbungskette als solches darf nicht unterbrochen werden.
Ich habe es schon mit den folgenden Rechten Auf dem Ordner " FirmenDaten" versucht:
--> Nur Dieser Ordner
+Datei ausführen
+Daten lesen
+Attr. lesen
+erw. Attr. lesen
+Berechtigungen lesen
--> Nur Dateien
+Dateien ausführen
+Daten lesen
+Attr. lesen
+erw. Attr. lesen
+Dateien erstelen
+Daten anhängen
+löschen
+Berechtigungen lesen
leider werden die Berechtigungen für "nur Dateien" weiter vererbt.
D.h.:
Wenn ich nun den Usern das Recht "Lesen" für den Ordner "FirmenDaten\Abteilungen" erteile, dann hat er automatisch Änderungsrechte auf
der Datei "FirmenDaten\Abteilungen\Führungskräfte.docx". Aber er soll ja nur lesen können.
Ich hoffe es weiß jemand Rat.
Vielen Dank im Voraus
mo
ich stehe etwas auf dem Schlauch und hoffe ihr könnt mir helfen.
Ich habe einen Hauptordner mit dem Namen "FirmenDaten",
in diesem Ordner befinden sich Dateien, z.B. "FirmenDaten\Logo.jpg" und "FirmenDaten\entwurf.docx"
sowie die Unterordner " FirmenDaten\Marketing\" , "FirmenDaten\Projekte\", "FirmenDaten\Abteilungen\"
welche wiederum Unterordner und Dateien enthalten. z.B. FirmenDaten\Abteilungen\Führungskräfte.docx
Ich möchte erreichen, dass die User alle Ordner im Verzeichnis "FirmenDaten" gelistet bekommen, aber nicht ändern oder neue erstellen bzw. löschen dürfen. Die Dateien im Ordner "FirmenDaten" ("FirmenDaten\Logo.jpg" und "FirmenDaten\entwurf.docx") sollen sie hingegen bearbeiten, löschen und ggf. neue Dateien erzeugen können.
.
Die Vererbungskette als solches darf nicht unterbrochen werden.
Ich habe es schon mit den folgenden Rechten Auf dem Ordner " FirmenDaten" versucht:
--> Nur Dieser Ordner
+Datei ausführen
+Daten lesen
+Attr. lesen
+erw. Attr. lesen
+Berechtigungen lesen
--> Nur Dateien
+Dateien ausführen
+Daten lesen
+Attr. lesen
+erw. Attr. lesen
+Dateien erstelen
+Daten anhängen
+löschen
+Berechtigungen lesen
leider werden die Berechtigungen für "nur Dateien" weiter vererbt.
D.h.:
Wenn ich nun den Usern das Recht "Lesen" für den Ordner "FirmenDaten\Abteilungen" erteile, dann hat er automatisch Änderungsrechte auf
der Datei "FirmenDaten\Abteilungen\Führungskräfte.docx". Aber er soll ja nur lesen können.
Ich hoffe es weiß jemand Rat.
Vielen Dank im Voraus
mo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280910
Url: https://administrator.de/contentid/280910
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Entweder (nicht) Erben oder Sterben.
lks
Entweder (nicht) Erben oder Sterben.
lks
Moin,
und mit sinnvoll erstellen Sicherheits-Gruppen tut es auch nicht so weh.
Stefan
und mit sinnvoll erstellen Sicherheits-Gruppen tut es auch nicht so weh.
Stefan
Bin ich auch der Meinung, denn in solche Situationen kommt man meist nur weil das Konzept nicht zu Ende gedacht wurde, oder eben Manager oder nicht IT-ler sich das ausgedacht haben.
Ohne Unterbrechung der Vererbung hast du hier nur die Möglichkeit mit Verweigerungsrechten zu arbeiten, was man aber normalwerweise immer versucht zu vermeiden. Mit einer gut durchdachten Struktur ist das aber meistens vermeidbar!
Gruß jodel32
Ohne Unterbrechung der Vererbung hast du hier nur die Möglichkeit mit Verweigerungsrechten zu arbeiten, was man aber normalwerweise immer versucht zu vermeiden. Mit einer gut durchdachten Struktur ist das aber meistens vermeidbar!
Gruß jodel32
Hi,
wenn Du die ACL bearbeitest, dann geh dort mal unter "Erweitert". In diesem Dialog kannst Du beim Erstellen und Bearbeiten von ACE's angeben, wofür diese gelten
- nur dieser Ordner
- nur diesen Ordner und Dateien
- nur Unterordner
usw. usw.
Damit solltest Du das abgebildet bekommen.
Noch einen Hinweis:
Wenn man die Vererbung nicht unterbrechen möchte - warum auch immer - dann sollte man in der Planung die Rechte in der Richtung "vom Stamm zum Objekt" wachsen lassen, um sowas wie Du es haben willst, zu aufzubauen.
Noch ein Hinweis:
Einige Programme (MS Office & Konsorten) bearbeiten die Dokumente nicht, sondern erstellen de facto neue Dateien und löschen dann die alte. Dies macht so ein Szenario wie Deines kompliziert. Du solltest darüber nachdenken, ob es nicht besser wäre, für die von Dir genannten Dateien einen Unterordner zu erstellen, un dann über diesen die Rechte zu erteilen.
E.
wenn Du die ACL bearbeitest, dann geh dort mal unter "Erweitert". In diesem Dialog kannst Du beim Erstellen und Bearbeiten von ACE's angeben, wofür diese gelten
- nur dieser Ordner
- nur diesen Ordner und Dateien
- nur Unterordner
usw. usw.
Damit solltest Du das abgebildet bekommen.
Noch einen Hinweis:
Wenn man die Vererbung nicht unterbrechen möchte - warum auch immer - dann sollte man in der Planung die Rechte in der Richtung "vom Stamm zum Objekt" wachsen lassen, um sowas wie Du es haben willst, zu aufzubauen.
Noch ein Hinweis:
Einige Programme (MS Office & Konsorten) bearbeiten die Dokumente nicht, sondern erstellen de facto neue Dateien und löschen dann die alte. Dies macht so ein Szenario wie Deines kompliziert. Du solltest darüber nachdenken, ob es nicht besser wäre, für die von Dir genannten Dateien einen Unterordner zu erstellen, un dann über diesen die Rechte zu erteilen.
E.
Hallo zurück und vielen dank für eure Antworten.
@StefanKittel
Ich bein ein großer Fan des "A U DL P" Berechtigungs-Prinzips.
Spielt aber in diesem Fall keine Rolle, ob das Rech einer Gruppe oder einem User erteilt wurde.
@114757
Leider geht es hier um gewachsene Strukturen auf dem Fileserver. Die Gründe warum, was , wie gemacht wurde, kenne ich auch nicht.
@emeriks
wie in meiner Frage schon beschrieben, gelingt es auch mit den erweiterten Berechtigungen nicht. Ich bin davon ausgegangen, dass der Fokus " nur Dateien " nur auf Dateien im entsprechenden Ordner Zeigt und nicht vererbt wird. Diese Annahme war falsch. Alle anderen Rechte-Konstellationen habe ich auch probiert, aber ohne Erfolg.
Ich hatte gehofft, eine unschöne Berechtigungssituation einfach lösen zu können, jetzt werde ich wohl doch mehr Energie investieren müssen.
Nochmals vielen Dank für eure Zeit.
@StefanKittel
Ich bein ein großer Fan des "A U DL P" Berechtigungs-Prinzips.
Spielt aber in diesem Fall keine Rolle, ob das Rech einer Gruppe oder einem User erteilt wurde.
@114757
Leider geht es hier um gewachsene Strukturen auf dem Fileserver. Die Gründe warum, was , wie gemacht wurde, kenne ich auch nicht.
@emeriks
wie in meiner Frage schon beschrieben, gelingt es auch mit den erweiterten Berechtigungen nicht. Ich bin davon ausgegangen, dass der Fokus " nur Dateien " nur auf Dateien im entsprechenden Ordner Zeigt und nicht vererbt wird. Diese Annahme war falsch. Alle anderen Rechte-Konstellationen habe ich auch probiert, aber ohne Erfolg.
Ich hatte gehofft, eine unschöne Berechtigungssituation einfach lösen zu können, jetzt werde ich wohl doch mehr Energie investieren müssen.
Nochmals vielen Dank für eure Zeit.
