aubanan
Goto Top

NTFS Berechtigungen bei Freigaben

Hallo zusammen,

auf einem Server 2022 liegt auf D:\Datenbank eine Software (EXE Datei), die über das LAN ausgeführt werden soll.
Ausführen der EXE sollen aber nur bestimmte User können. Deshalb wurde im AD eine Gruppe grp_DBuser angelegt und dieser Gruppe das Recht lesen & ausführen auf dem Ordner gegeben.

Per (Windows) default haben auf D:\ alle lokalen Benutzer das Recht "Lesen, ausführen" und dieses wird vererbt auf die Unterordner.

Bei einem Test zeigte sich, dass ein User über das LAN auf die Freigabe und die EXE zugreifen kann, obwohl dieser nicht in der Gruppe grp_DBuser ist.

Das liegt offenbar daran, dass in der Gruppe der lokalen Benutzer die "Domänenbenutzer" und "NT-Authorität\Authentifizierte Benutzer" sind.

Ich habe zunächst mal die Domänenbenutzer aus der Gruppe der lokalen Benutzer geworfen.
Anschließend die "Authentifizierte Benutzer". Jetzt läuft es so wie ich es mir wünsche:
Mitglieder aus grp_DBuser können per LAN auf das Share zugreifen.
User, die sich z.B. zur Wartung lokal an dem Server anmelden, können auf D: Zugreifen.

Wie wäre denn hier die saubere Lösung?

Vielen Dank!

Content-Key: 7905614190

Url: https://administrator.de/contentid/7905614190

Printed on: June 15, 2024 at 00:06 o'clock

Member: DerWoWusste
DerWoWusste Jul 20, 2023 at 11:52:46 (UTC)
Goto Top
Man durchbricht die Vererbung und entfernt die genannten Grupen und fügt die gewollte Gruppe hinzu - sauberer wird's nicht.
Member: erikro
erikro Jul 20, 2023 at 14:14:22 (UTC)
Goto Top
Moin,

wenn ich Deine Beschreibung richtig verstanden habe, dann macht man das genau so.

Liebe Grüße

Erik
Member: DerWoWusste
DerWoWusste Jul 20, 2023 at 14:24:46 (UTC)
Goto Top
Aber er schreibt doch:
Ich habe zunächst mal die Domänenbenutzer aus der Gruppe der lokalen Benutzer geworfen.
Und DAS macht man lieber nicht.
Member: erikro
erikro Jul 20, 2023 at 14:42:00 (UTC)
Goto Top
Zitat von @DerWoWusste:

Aber er schreibt doch:
Ich habe zunächst mal die Domänenbenutzer aus der Gruppe der lokalen Benutzer geworfen.
Und DAS macht man lieber nicht.

Das stimmt. Ich hatte das so verstanden, dass er die Gruppe aus den NTFS-Rechten des Verzeichnisses entfernt hätte und durch die dezidierte Gruppe ersetzt hat.
Member: anteNope
anteNope Jul 20, 2023 updated at 15:06:46 (UTC)
Goto Top
Setz doch auf D:\ erstmal die Rechte ordentlich.
System + Administratoren + Domänen-Administratoren

Und dann fügst du bei den Unterordnern die entsprechenden Rechte hinzu!

Ich habe zunächst mal die Domänenbenutzer aus der Gruppe der lokalen Benutzer geworfen.
Mutig ...
Member: nEmEsIs
nEmEsIs Jul 20, 2023 at 18:35:27 (UTC)
Goto Top
Hi

Steht in der Freigabeberechtigung jeder oder Authentifizierte Benutzer drinnen ?

Ändere das mal auf die grp_DBUser.

Dann können nurnoch die zugreifen

Mit freundlichen Grüßen
Nemesis
Member: Aubanan
Aubanan Jul 20, 2023 at 23:07:20 (UTC)
Goto Top
Hallo zusammen.
Zitat von @DerWoWusste:

Aber er schreibt doch:
Ich habe zunächst mal die Domänenbenutzer aus der Gruppe der lokalen Benutzer geworfen.
Und DAS macht man lieber nicht.

Warum sollte auf einem Server, der nur für diesen einen Zweck (eine DB lauft darauf und eine EXE auf einem Share wird ausgeführt) läuft, die Gruppe der Domänenbenutzer in der Gruppe der lokalen Benutzer enthalten sein?

Das unterbrechen von Vererbungen sehe ich prinzipiell eher als eine Notlösung. Und dann auch noch den lokalen Benutzern den Zugriff auf den lokalen Ordner entziehen. Hm. Gefällt mir irgendwie nicht wirklich.

Den Zugriff über die Beschränkung der Freigabe zu regeln "macht man nicht"face-smile kann ich aus dem Stehgreif garnicht begründen, aber das sollte über NTFS laufen.

Ich denk nochmal drüber nach ... aber ich hänge aktuell an:
ALLE Domainuser sind grundsätzlich auch Mitglied der lokalen User auf ALLEN Systemen im LAN.
Das klingt nicht gut und nicht logisch.

thx
Member: DerWoWusste
DerWoWusste Jul 21, 2023 at 07:34:31 (UTC)
Goto Top
Warum sollte auf einem Server, der nur für diesen einen Zweck (eine DB lauft darauf und eine EXE auf einem Share wird ausgeführt) läuft, die Gruppe der Domänenbenutzer in der Gruppe der lokalen Benutzer enthalten sein?
Das ist der Default. An Defaults zu schrauben macht man immer nur mit Bedacht. Die Mitgliedschaft beinhaltet bestimmte Privilegien, zum Beispiel das Recht der lokalen Anmeldung.
Und dann auch noch den lokalen Benutzern den Zugriff auf den lokalen Ordner entziehen. Hm. Gefällt mir irgendwie nicht wirklich.
Du sprachst bislang noch nicht davon, dass es lokale Nutzer gibt. Das wäre dann ein Terminalserver (?). Die Admins kommen ja weiterhin rauf.

Mach es wie Du magst - ich habe nur darauf hingewiesen, dass es Konsequenzen hat, die Mitgliedschaft in der Gruppe der lokalen Nutzer zu entfernen.
Member: Hubert.N
Hubert.N Jul 21, 2023 at 08:54:41 (UTC)
Goto Top
Moin

Zitat von @Aubanan:
Warum sollte auf einem Server, der nur für diesen einen Zweck (eine DB lauft darauf und eine EXE auf einem Share wird ausgeführt) läuft, die Gruppe der Domänenbenutzer in der Gruppe der lokalen Benutzer enthalten sein?

Das unterbrechen von Vererbungen sehe ich prinzipiell eher als eine Notlösung. Und dann auch noch den lokalen Benutzern den Zugriff auf den lokalen Ordner entziehen. Hm. Gefällt mir irgendwie nicht wirklich.

Was bleibt Dir aber anderes übrig, wenn Du nicht auf einem Laufwerk/einer Freigabe nur einen Satz an Berechtigungen haben willst? Diese "Notlösung" ist eher der Standard, wenn man mit Berechtigungen arbeiten will.

Den Zugriff über die Beschränkung der Freigabe zu regeln "macht man nicht"face-smile kann ich aus dem Stehgreif garnicht begründen, aber das sollte über NTFS laufen.

Genau. Freigabeberechtigungen fast man nicht wirklich an. Da kann man auch durch aus mit "Jeder" und ""ändern" arbeiten. Wenn Du anfängst, Zugriffsrechte über die Freigabe zu setzen, produzierst Du nur unnötiges Chaos.

Ich denk nochmal drüber nach ... aber ich hänge aktuell an:
ALLE Domainuser sind grundsätzlich auch Mitglied der lokalen User auf ALLEN Systemen im LAN.
Das klingt nicht gut und nicht logisch.

Doch.. das ist absolut logisch face-smile @DerWoWusste hat recht...

Die Domänenbenutzer bekommen ihre Rechte auf dem lokalen System dadurch, dass sie als Gruppe Mitglied in der Benutzergruppe sind. Domänenbenutzer an sich haben keine Rechte auf den Systemen. Die Rechte erhalten sie erst durch diese Verschachtelung.
Was übrigens auch für die administrativen Rechte gilt. Der Domänenadministrator hat nur deshalb administrative Rechte auf dem Client, weil er durch die Aufnahme des Clients der lokale Administratorgruppe über die Gruppe der Domänenadministratoren hinzugefügt wird.

Ich habe da gerade "live" bei einem Kunden erlebt, dass der Buchhalter meinte, er müsse an den Berechtigungen auf seinem DATEV-System rumbasteln. Irgendwann lief auf dem System nicht mehr viel. Wir habe es veruscht, das alles irgendwie noch zu reparieren - schlussendlich haben wir die Maschine aus dem Backup wiederhergestellt.

Gruß
Member: emeriks
Solution emeriks Jul 21, 2023 at 12:20:49 (UTC)
Goto Top
Hi,
wenn ich einem Server ein Datenlaufwerk verpasse, dann ist es so ziemlich das Erste was ich nach der Formatierung mit NTFS mache, die ACL der Laufwerkswurzel zu bearbeiten und alles außer SYSTEM und Administratoren rauszuschmeißen. Das impliziert dann automatisch, dass man für jedes neue Datenverzeichnis auf diesem Laufwerk bewusst Zugriffsrechte erteilen muss, wenn dort nicht bloß SYSTEM und Administratoren drauf zugreifen müssen. Ich folge also hier primär dem Ansatz "nicht unterbrechen, nur hinzufügen".

Das funktioniert in 99,9999% aller Fälle. Der einzige Fall, welcher mir spontan einfällt, ist der WSUS Server, wo man aufpassen muss. Dieser verlangt, dass, wenn man die Ordner des WSUS-Servers auf das Datenlaufwerk verlegt, man dann dem Benutzer "Netzwerkdienst" ab der Root min. Lese-Rechte erteilt.

E.
Member: anteNope
anteNope Jul 21, 2023 at 12:33:27 (UTC)
Goto Top
Zitat von @emeriks:

Hi,
wenn ich einem Server ein Datenlaufwerk verpasse, dann ist es so ziemlich das Erste was ich nach der Formatierung mit NTFS mache, die ACL der Laufwerkswurzel zu bearbeiten und alles außer SYSTEM und Administratoren rauszuschmeißen. Das impliziert dann automatisch, dass man für jedes neue Datenverzeichnis auf diesem Laufwerk bewusst Zugriffsrechte erteilen muss, wenn dort nicht bloß SYSTEM und Administratoren drauf zugreifen müssen. Ich folge also hier primär dem Ansatz "nicht unterbrechen, nur hinzufügen".

Das funktioniert in 99,9999% aller Fälle. Der einzige Fall, welcher mir spontan einfällt, ist der WSUS Server, wo man aufpassen muss. Dieser verlangt, dass, wenn man die Ordner des WSUS-Servers auf das Datenlaufwerk verlegt, man dann dem Benutzer "Netzwerkdienst" ab der Root min. Lese-Rechte erteilt.

E.

Absolut, genau so! Bei SQL und HyperV muss man auch aufpassen.
Member: Aubanan
Aubanan Jul 25, 2023 at 14:07:49 (UTC)
Goto Top
Zitat von @emeriks:

wenn ich einem Server ein Datenlaufwerk verpasse, dann ist es so ziemlich das Erste was ich nach der Formatierung mit NTFS mache, die ACL der Laufwerkswurzel zu bearbeiten und alles außer SYSTEM und Administratoren rauszuschmeißen. [...]

Das klingt schonmal nach einem sauberen Ansatz.
Bedeutet aber, wenn ich als Admin etwas an den Dateien auf der Platte machen will, muss ich immer den Explorer z.B. mit erhöhten Rechten starten.

Grüße
Member: emeriks
emeriks Jul 25, 2023 updated at 14:14:21 (UTC)
Goto Top
Zitat von @Aubanan:
Bedeutet aber, wenn ich als Admin etwas an den Dateien auf der Platte machen will, muss ich immer den Explorer z.B. mit erhöhten Rechten starten.
Nö.
Entweder Du machst es von einem anderen Rechner über Netzwerk: \\server\lw$
Oder Du erstellst eine lokale Gruppe, z.B. "FileserverAdmins", und packst dort alle berechtigten Benutzer rein. Diese Gruppe bekommt ebenfalls Vollzugriff auf die Root des Laufwerks.
Statt lokaler Gruppe geht auch domänenlokale Gruppe.
Member: Aubanan
Aubanan Jul 27, 2023 at 10:12:58 (UTC)
Goto Top
Hallo!
Zunächst habe ich, wie oben beschrieben, aus den Berechtigungen des Root der Platte alle außer System und Administratoren entfernt.
In der Folge konnte ich nicht mehr mit dem Explorer auf das Laufwerk zugreifen.
Zu meiner Verwunderung auch dann nicht, wenn der Explorer "Als Administrator ausführen" gestartet wird.
Der TotalCommander hingegen kann, "Als Administrator ausführen" gestartet, zugreifen.

Zitat von @emeriks:
... Du erstellst eine lokale Gruppe, z.B. "FileserverAdmins", und packst dort alle berechtigten Benutzer rein. Diese Gruppe bekommt ebenfalls Vollzugriff auf die Root des Laufwerks.

So habe ich es nun gemacht.
Es gibt nun eine lokale Gruppe der Lusers face-smile
Hier kam ein weiterer Aha Effekt: Die Gruppe der (lokalen) Administratoren lässt sich nicht in diese neue Gruppe hinzufügen.
Member: DerWoWusste
DerWoWusste Jul 27, 2023 updated at 11:28:36 (UTC)
Goto Top
Zu meiner Verwunderung auch dann nicht, wenn der Explorer "Als Administrator ausführen" gestartet wird.
Um den Explorer wirklich elevated starten zu können, gehe so vor:
start regedit.exe and go to the following key:
HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}
make a right click on Permissions and set your user as owner (click on advanced button to be
able to take ownership) of the key and give your current user writing permissions.

Next, rename the value RunAs to _Runas
Danach kann man explorer.exe Rechtsklicken und „als Administrator ausführen wählen“ und er
handelt dann auch so wie erwartet.
Member: Aubanan
Aubanan Jul 27, 2023 at 12:17:33 (UTC)
Goto Top
Zitat von @DerWoWusste:

Um den Explorer wirklich elevated starten zu können, gehe so vor:
start regedit.exe and go to the following key:
[...]
Danke für die Info.
Das werde ich so nicht machen. Da bleibe ich lieber beim TotalCommander.

Grüße