7
NTFS Berechtigungen in Unterverzeichnissen oder einzelnen Dateien setzen
Hallo zusammen,
ich komme bei einem speziellen Problem nicht wirklich weiter.
Ist Zustand :
Daten liegen auf einem NAS (Synology Rackstation, btrfs-Dateisystem, Freigaben für SMB, Berechtigungen durch Domain gesetzt)
Es sollen auf einzelne Dateien Schreibberechtigungen gesetzt werden, die sich in Unterverzeichnissen befinden. Dabei soll der entsprechende User die darüberliegenden Verzeichnisse nicht sehen/durchsuchen können.
Beispiel :
Verzeichnis \\Server\Freigabe\Dir1\Udir2\Udir3\Datei.txt
User A soll die Datei Datei.txt bearbeiten können, jedoch nicht die Verzeichnisse DIR1, UDir2 und UDir3 durchsuchen/sehen können.
Bisher wurde das so geregelt, dass im Homeverzeichnis des Nutzers eine Verknüpfung auf die Datei (Datei.txt) gelegt wurde.
Damit konnte der Nutzer per Klick die Datei bearbeiten.
Jetzt kommt eine Meldung, dass kein Recht vorhanden wäre.
Allerdings heißt "bisher" auch, dass ein alter Windows Server (Storage-Server 2008) als "NAS" diente.
Es soll keine Lesebrechtigung auf die obenlegenden Ordner gesetzt werden, da dort z.B. Personaldaten liegen, die derjenige User nicht sehen soll.
Ich weiß, das ist kompliziert, jedoch irgendwie so gewachsen.
Hat jemand eine Idee, wo hier mein Denkfehler liegt ?
VG
miscmike
ich komme bei einem speziellen Problem nicht wirklich weiter.
Ist Zustand :
Daten liegen auf einem NAS (Synology Rackstation, btrfs-Dateisystem, Freigaben für SMB, Berechtigungen durch Domain gesetzt)
Es sollen auf einzelne Dateien Schreibberechtigungen gesetzt werden, die sich in Unterverzeichnissen befinden. Dabei soll der entsprechende User die darüberliegenden Verzeichnisse nicht sehen/durchsuchen können.
Beispiel :
Verzeichnis \\Server\Freigabe\Dir1\Udir2\Udir3\Datei.txt
User A soll die Datei Datei.txt bearbeiten können, jedoch nicht die Verzeichnisse DIR1, UDir2 und UDir3 durchsuchen/sehen können.
Bisher wurde das so geregelt, dass im Homeverzeichnis des Nutzers eine Verknüpfung auf die Datei (Datei.txt) gelegt wurde.
Damit konnte der Nutzer per Klick die Datei bearbeiten.
Jetzt kommt eine Meldung, dass kein Recht vorhanden wäre.
Allerdings heißt "bisher" auch, dass ein alter Windows Server (Storage-Server 2008) als "NAS" diente.
Es soll keine Lesebrechtigung auf die obenlegenden Ordner gesetzt werden, da dort z.B. Personaldaten liegen, die derjenige User nicht sehen soll.
Ich weiß, das ist kompliziert, jedoch irgendwie so gewachsen.
Hat jemand eine Idee, wo hier mein Denkfehler liegt ?
VG
miscmike
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 577037
Url: https://administrator.de/contentid/577037
Ausgedruckt am: 21.11.2024 um 10:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
das ganze nennt sich ABE (Access Based Enumeration). Du findest im Internet genügend Informationen darüber.
Gruss Penny.
das ganze nennt sich ABE (Access Based Enumeration). Du findest im Internet genügend Informationen darüber.
Gruss Penny.
Du hast die Frage mißverstanden ! ABE ist mir durchaus geläufig.. Es geht darum, nur unterhalb Zugriffe zu erlauben ohne oberhalb Leserechte zu haben.
ABE - also nur anzeigen, wozu man Rechte hat, taugt dafür nicht wirklich
VG
miscmike
ABE - also nur anzeigen, wozu man Rechte hat, taugt dafür nicht wirklich
VG
miscmike
Moin,
Wie soll das gehen? Wie soll der User auf die Datei zugreifen, wenn er keine Zugriffsrechte auf den Ordner hat, in dem die Datei liegt? Das geht nicht. Das wäre so, als wolltest Du im Firmengebäude jemanden ins Büro lassen, der aber nicht das Recht hat, den Flur zu betreten. Der Denkfehler liegt in der Verzeichnisstruktur selbst. Die muss so gestaltet werden, dass die sensiblen Daten in einer anderen Hierarchie liegen.
hth
Erik
Zitat von @miscmike:
Verzeichnis \\Server\Freigabe\Dir1\Udir2\Udir3\Datei.txt
User A soll die Datei Datei.txt bearbeiten können, jedoch nicht die Verzeichnisse DIR1, UDir2 und UDir3 durchsuchen/sehen können.
Hat jemand eine Idee, wo hier mein Denkfehler liegt ?
Verzeichnis \\Server\Freigabe\Dir1\Udir2\Udir3\Datei.txt
User A soll die Datei Datei.txt bearbeiten können, jedoch nicht die Verzeichnisse DIR1, UDir2 und UDir3 durchsuchen/sehen können.
Hat jemand eine Idee, wo hier mein Denkfehler liegt ?
Wie soll das gehen? Wie soll der User auf die Datei zugreifen, wenn er keine Zugriffsrechte auf den Ordner hat, in dem die Datei liegt? Das geht nicht. Das wäre so, als wolltest Du im Firmengebäude jemanden ins Büro lassen, der aber nicht das Recht hat, den Flur zu betreten. Der Denkfehler liegt in der Verzeichnisstruktur selbst. Die muss so gestaltet werden, dass die sensiblen Daten in einer anderen Hierarchie liegen.
hth
Erik
Moinsen,
also wie man das auf deinem NAS macht weiss ich nicht.
Aber unter Windows NTFS heißt die gesuchte Funktion: "Spezielle Berechtigungen --> Ordner auflisten / Daten lesen" in Verbindung mit "Zugriffsbasierte Aufzählung aktivieren" in der Freigabe.
Nutzen wir an verschiedenen Stellen seit Jahren und macht genau das, was du haben möchtest.
VG
also wie man das auf deinem NAS macht weiss ich nicht.
Aber unter Windows NTFS heißt die gesuchte Funktion: "Spezielle Berechtigungen --> Ordner auflisten / Daten lesen" in Verbindung mit "Zugriffsbasierte Aufzählung aktivieren" in der Freigabe.
Nutzen wir an verschiedenen Stellen seit Jahren und macht genau das, was du haben möchtest.
VG
Ja, das würde ich auch so sehen, wenn ich nicht Zeuge davon wäre, dass es genau so schon mal funktioniert hat...
Hi,
ich hatte am Wochenende eine ähnlichen Fall.
Auf einem Windows Server eine Freigabe
\\server\freigabe1
Darunter Ordner
\\server\freigabe1\Ordner1
\\server\freigabe1\Ordner1\Ordner2
Ein Benutzer hat erst Zugriff ab "Ordner2". Er kann aber direkt den "Ordner2" aufrufen, auch Netzlaufwerk verbinden.
Die Daten des Servers wurde auf ein QNAP NAS umgezogen. Die Ordnerstruktur wurde 1:1 kopiert und die Berechtigungen 1:1 adaptiert, nur jetzt mit lokalen Konten des NAS.
Der Benutzer (Pendant des NAS) kann jetzt "Ordner2" nur aufrufen, wenn er für "Freigabe1" (dem zugrundeliegenden Ordner) und "Ordner1" min. List-Recht hat.
E.
ich hatte am Wochenende eine ähnlichen Fall.
Auf einem Windows Server eine Freigabe
\\server\freigabe1
Darunter Ordner
\\server\freigabe1\Ordner1
\\server\freigabe1\Ordner1\Ordner2
Ein Benutzer hat erst Zugriff ab "Ordner2". Er kann aber direkt den "Ordner2" aufrufen, auch Netzlaufwerk verbinden.
start \\server\freigabe1\Ordner1\Ordner2
oder
net use X: \\server\freigabe1\Ordner1\Ordner2Die Daten des Servers wurde auf ein QNAP NAS umgezogen. Die Ordnerstruktur wurde 1:1 kopiert und die Berechtigungen 1:1 adaptiert, nur jetzt mit lokalen Konten des NAS.
Der Benutzer (Pendant des NAS) kann jetzt "Ordner2" nur aufrufen, wenn er für "Freigabe1" (dem zugrundeliegenden Ordner) und "Ordner1" min. List-Recht hat.
E.
