miscmike
Goto Top

NTFS Berechtigungen in Unterverzeichnissen oder einzelnen Dateien setzen

Hallo zusammen,

ich komme bei einem speziellen Problem nicht wirklich weiter.

Ist Zustand :

Daten liegen auf einem NAS (Synology Rackstation, btrfs-Dateisystem, Freigaben für SMB, Berechtigungen durch Domain gesetzt)

Es sollen auf einzelne Dateien Schreibberechtigungen gesetzt werden, die sich in Unterverzeichnissen befinden. Dabei soll der entsprechende User die darüberliegenden Verzeichnisse nicht sehen/durchsuchen können.

Beispiel :

Verzeichnis \\Server\Freigabe\Dir1\Udir2\Udir3\Datei.txt

User A soll die Datei Datei.txt bearbeiten können, jedoch nicht die Verzeichnisse DIR1, UDir2 und UDir3 durchsuchen/sehen können.

Bisher wurde das so geregelt, dass im Homeverzeichnis des Nutzers eine Verknüpfung auf die Datei (Datei.txt) gelegt wurde.
Damit konnte der Nutzer per Klick die Datei bearbeiten.
Jetzt kommt eine Meldung, dass kein Recht vorhanden wäre.
Allerdings heißt "bisher" auch, dass ein alter Windows Server (Storage-Server 2008) als "NAS" diente.

Es soll keine Lesebrechtigung auf die obenlegenden Ordner gesetzt werden, da dort z.B. Personaldaten liegen, die derjenige User nicht sehen soll.

Ich weiß, das ist kompliziert, jedoch irgendwie so gewachsen.

Hat jemand eine Idee, wo hier mein Denkfehler liegt ?

VG

miscmike

Content-ID: 577037

Url: https://administrator.de/forum/ntfs-berechtigungen-in-unterverzeichnissen-oder-einzelnen-dateien-setzen-577037.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

Penny.Cilin
Penny.Cilin 05.06.2020 um 12:50:28 Uhr
Goto Top
Hallo,

das ganze nennt sich ABE (Access Based Enumeration). Du findest im Internet genügend Informationen darüber.

Gruss Penny.
miscmike
miscmike 05.06.2020 um 13:01:05 Uhr
Goto Top
Du hast die Frage mißverstanden ! ABE ist mir durchaus geläufig.. Es geht darum, nur unterhalb Zugriffe zu erlauben ohne oberhalb Leserechte zu haben.
ABE - also nur anzeigen, wozu man Rechte hat, taugt dafür nicht wirklich

VG
miscmike
erikro
erikro 05.06.2020 um 13:27:02 Uhr
Goto Top
Moin,

Zitat von @miscmike:
Verzeichnis \\Server\Freigabe\Dir1\Udir2\Udir3\Datei.txt

User A soll die Datei Datei.txt bearbeiten können, jedoch nicht die Verzeichnisse DIR1, UDir2 und UDir3 durchsuchen/sehen können.

Hat jemand eine Idee, wo hier mein Denkfehler liegt ?

Wie soll das gehen? Wie soll der User auf die Datei zugreifen, wenn er keine Zugriffsrechte auf den Ordner hat, in dem die Datei liegt? Das geht nicht. Das wäre so, als wolltest Du im Firmengebäude jemanden ins Büro lassen, der aber nicht das Recht hat, den Flur zu betreten. Der Denkfehler liegt in der Verzeichnisstruktur selbst. Die muss so gestaltet werden, dass die sensiblen Daten in einer anderen Hierarchie liegen.

hth

Erik
Possibaer
Possibaer 05.06.2020 aktualisiert um 13:41:33 Uhr
Goto Top
Moinsen,

also wie man das auf deinem NAS macht weiss ich nicht.
Aber unter Windows NTFS heißt die gesuchte Funktion: "Spezielle Berechtigungen --> Ordner auflisten / Daten lesen" in Verbindung mit "Zugriffsbasierte Aufzählung aktivieren" in der Freigabe.

Nutzen wir an verschiedenen Stellen seit Jahren und macht genau das, was du haben möchtest.

VG
miscmike
miscmike 05.06.2020 um 15:26:22 Uhr
Goto Top
Ja, das würde ich auch so sehen, wenn ich nicht Zeuge davon wäre, dass es genau so schon mal funktioniert hat...
miscmike
miscmike 05.06.2020 um 15:27:22 Uhr
Goto Top
@Possibaer

Ich prüfe das mal am Montag nach. Ggf. hat es da irgendwas nicht korrektes.. Danke !
emeriks
emeriks 08.06.2020 um 08:10:20 Uhr
Goto Top
Hi,
ich hatte am Wochenende eine ähnlichen Fall.
Auf einem Windows Server eine Freigabe
\\server\freigabe1

Darunter Ordner
\\server\freigabe1\Ordner1
\\server\freigabe1\Ordner1\Ordner2

Ein Benutzer hat erst Zugriff ab "Ordner2". Er kann aber direkt den "Ordner2" aufrufen, auch Netzlaufwerk verbinden.
start \\server\freigabe1\Ordner1\Ordner2
oder
net use X: \\server\freigabe1\Ordner1\Ordner2

Die Daten des Servers wurde auf ein QNAP NAS umgezogen. Die Ordnerstruktur wurde 1:1 kopiert und die Berechtigungen 1:1 adaptiert, nur jetzt mit lokalen Konten des NAS.
Der Benutzer (Pendant des NAS) kann jetzt "Ordner2" nur aufrufen, wenn er für "Freigabe1" (dem zugrundeliegenden Ordner) und "Ordner1" min. List-Recht hat.

E.