d46505pl
Goto Top

NTFS-Berechtigungen und Zugriffssteuerung: Tipps und Lösungen gesucht

Hallo zusammen,

ich beschäftige mich derzeit mit NTFS-Berechtigungen und möchte bestimmten Benutzern Zugriff auf Ordner und Dateien gewähren, während alle anderen keine Berechtigung haben und den Ordner daher nicht sehen können (ausgeblendet). Damit der Ordner ausgeblendet wird, muss die Dateiberechtigung entsprechend gesetzt werden. Leider setzt Windows Server 2016 und Server 2019 die Verweigerung jedoch immer an die erste Position, was den Nachteil hat, dass die Personen und Gruppen, die Berechtigungen haben, konsequenterweise auch keine Berechtigung mehr haben.

Vererbungen sind deaktiviert, und es spielt keine Rolle, an welcher Stelle die Verweigerung hinzugefügt wird - sie rutscht immer an die erste Stelle im Post.

Gibt es eine Möglichkeit, die Sortierung entsprechend zu ändern?

Ich freue mich auf Input hierzu face-smile
ntfs

Content-ID: 6758829869

Url: https://administrator.de/forum/ntfs-berechtigungen-und-zugriffssteuerung-tipps-und-loesungen-gesucht-6758829869.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

vossi31
vossi31 13.04.2023 um 19:21:04 Uhr
Goto Top
Moin,

Gibt es eine Möglichkeit, die Sortierung entsprechend zu ändern?
Nein, gibt es nicht. Die Verweigerungen haben immer Vorrang.

Aber das ist auch nicht nötig. Das Ausblenden der nicht berechtigten Ordner erreichts du nicht bei den NTFS-Rechten sondern bei der Freigabe der Ordner. Hier ist es beschrieben:
https://hilfe24.zendesk.com/hc/de/articles/360012469319-Nur-Ordner-mit-B ...

Henning
D46505Pl
D46505Pl 13.04.2023 um 19:25:41 Uhr
Goto Top
Hallo Henning,

vielen Dank für deine schnelle Antwort. Ich hatte den Post bereits gefunden, aber leider hat der vorgeschlagene Lösungsansatz nicht funktioniert. Das Problem wurde erst behoben, als ich den betreffenden Benutzer explizit gesperrt hatte.

Viele Grüße.
Penny.Cilin
Penny.Cilin 13.04.2023 um 20:10:32 Uhr
Goto Top
Hallo,

das was Du suchst nennt sich ABE (Access Based Enumeration). Bin Grade unterwegs, kann Dir deshalb nicht mehr Informationen liefern. Du findest im Internet genügend Informationen.

Gruss Penny.
departure69
departure69 14.04.2023 aktualisiert um 08:44:50 Uhr
Goto Top
@D46505Pl:

Hallo.

Verweigern per NTFS ist selten eine gute Idee. Ein sehr striktes Recht, das stets Vorrang vor allem anderen hat und bei Nichtbeherrschung im Extremfall bis zur kompletten, unauflösbaren Aussperrung (=Datenverlust) führen kann. Davor hab' ich größten Respekt und deshalb auch noch nie mit Verweigerung gearbeitet.

Ich schließe mich @Penny.Cilin an, was Du eigentlich suchst und brauchst, nennt sich Access Based Enumeration ("ABE"), Ordner/Verzeichnisse sind beim Einsatz von ABE nur für User oder Gruppen sichtbar, die mindestens Leserecht haben. Hat jemand oder eine Gruppe nicht mindestens Leserecht auf einen Ordner/Verzeichnis, sieht sie ihn gar nicht.

Hier ist einiges davon näher erklärt:

https://www.tenfold-security.com/listrechte-und-access-based-enumeration ...


Viele Grüße

von

departure69
Hubert.N
Lösung Hubert.N 14.04.2023, aktualisiert am 19.04.2023 um 09:47:21 Uhr
Goto Top
Moin

ergänzend zu dem, was schon geschrieben wurde:
Das effektive Zugriffsrecht wird aus der Kombination der gegebenen Rechte festgelegt. Weshalb eine Sortierung in der Ansicht auch nichts bewirken würde. Wenn also Nutzer A über eine Gruppe das Recht zum Lesen eingeräumt wird und der Benutzer über eine andere Gruppe das Recht zum Ändern hat, dann kann der Benutzer in dem Ordner ändern. In welcher Reihenfolge die Darstellung ist, spielt dabei keine Rolle. Das meistreichende Recht gewinnt. Ausnahme ist Verweigern, welches immer Vorrang hat.

Was Du also ganz praktisch machen musst:
- Löschen der nicht gewünschten Zugriffsrechte (z.B. "Jeder") auf den Ordnern. Ggf. musst Du dafür die Vererbung deaktivieren
- Hinzufügen der gewünschten Gruppen mit den vorgesehenen Zugriffsrechten.
- Aktivieren von ABE für die Freigabe im Servermanager unter Datei-Speicherdienste -> Freigaben -> Eigenschaften -> Zugriffsbasierte Auflistung aktivieren

Das ist schon alles face-smile

Gruß
mayho33
mayho33 14.04.2023 aktualisiert um 20:51:14 Uhr
Goto Top
Zitat von @D46505Pl:

Hallo zusammen,

ich beschäftige mich derzeit mit NTFS-Berechtigungen und möchte bestimmten Benutzern Zugriff auf Ordner und Dateien gewähren, während alle anderen keine Berechtigung haben und den Ordner daher nicht sehen können (ausgeblendet).
Wir sprechen von AD-Usern oder lokal?

Damit der Ordner ausgeblendet wird, muss die Dateiberechtigung entsprechend gesetzt werden. Leider setzt Windows Server 2016 und Server 2019 die Verweigerung jedoch immer an die erste Position, was den Nachteil hat, dass die Personen und Gruppen, die Berechtigungen haben, konsequenterweise auch keine Berechtigung mehr haben.
Vererbungen sind deaktiviert, und es spielt keine Rolle, an welcher Stelle die Verweigerung hinzugefügt wird - sie rutscht immer an die erste Stelle im Post.

Gibt es eine Möglichkeit, die Sortierung entsprechend zu ändern?
Die Reihung in der GUI entspricht nicht der tatsächlichen Reihung der ACL.

Siehe:
https://learn.microsoft.com/de-de/iis/web-hosting/configuring-servers-in ...

https://learn.microsoft.com/de-de/windows/security/identity-protection/a ...

https://learn.microsoft.com/de-de/windows-server/storage/file-server/ntf ...
D46505Pl
D46505Pl 19.04.2023 um 09:39:41 Uhr
Goto Top
Hallo Zusammen,

es geht nun. Ich danke euch für die Denkanstösse.