7
NTFS-Berechtigungen und Zugriffssteuerung: Tipps und Lösungen gesucht
Hallo zusammen,
ich beschäftige mich derzeit mit NTFS-Berechtigungen und möchte bestimmten Benutzern Zugriff auf Ordner und Dateien gewähren, während alle anderen keine Berechtigung haben und den Ordner daher nicht sehen können (ausgeblendet). Damit der Ordner ausgeblendet wird, muss die Dateiberechtigung entsprechend gesetzt werden. Leider setzt Windows Server 2016 und Server 2019 die Verweigerung jedoch immer an die erste Position, was den Nachteil hat, dass die Personen und Gruppen, die Berechtigungen haben, konsequenterweise auch keine Berechtigung mehr haben.
Vererbungen sind deaktiviert, und es spielt keine Rolle, an welcher Stelle die Verweigerung hinzugefügt wird - sie rutscht immer an die erste Stelle im Post.
Gibt es eine Möglichkeit, die Sortierung entsprechend zu ändern?
Ich freue mich auf Input hierzu
ich beschäftige mich derzeit mit NTFS-Berechtigungen und möchte bestimmten Benutzern Zugriff auf Ordner und Dateien gewähren, während alle anderen keine Berechtigung haben und den Ordner daher nicht sehen können (ausgeblendet). Damit der Ordner ausgeblendet wird, muss die Dateiberechtigung entsprechend gesetzt werden. Leider setzt Windows Server 2016 und Server 2019 die Verweigerung jedoch immer an die erste Position, was den Nachteil hat, dass die Personen und Gruppen, die Berechtigungen haben, konsequenterweise auch keine Berechtigung mehr haben.
Vererbungen sind deaktiviert, und es spielt keine Rolle, an welcher Stelle die Verweigerung hinzugefügt wird - sie rutscht immer an die erste Stelle im Post.
Gibt es eine Möglichkeit, die Sortierung entsprechend zu ändern?
Ich freue mich auf Input hierzu
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6758829869
Url: https://administrator.de/contentid/6758829869
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Aber das ist auch nicht nötig. Das Ausblenden der nicht berechtigten Ordner erreichts du nicht bei den NTFS-Rechten sondern bei der Freigabe der Ordner. Hier ist es beschrieben:
https://hilfe24.zendesk.com/hc/de/articles/360012469319-Nur-Ordner-mit-B ...
Henning
Gibt es eine Möglichkeit, die Sortierung entsprechend zu ändern?
Nein, gibt es nicht. Die Verweigerungen haben immer Vorrang.Aber das ist auch nicht nötig. Das Ausblenden der nicht berechtigten Ordner erreichts du nicht bei den NTFS-Rechten sondern bei der Freigabe der Ordner. Hier ist es beschrieben:
https://hilfe24.zendesk.com/hc/de/articles/360012469319-Nur-Ordner-mit-B ...
Henning
Hallo Henning,
vielen Dank für deine schnelle Antwort. Ich hatte den Post bereits gefunden, aber leider hat der vorgeschlagene Lösungsansatz nicht funktioniert. Das Problem wurde erst behoben, als ich den betreffenden Benutzer explizit gesperrt hatte.
Viele Grüße.
vielen Dank für deine schnelle Antwort. Ich hatte den Post bereits gefunden, aber leider hat der vorgeschlagene Lösungsansatz nicht funktioniert. Das Problem wurde erst behoben, als ich den betreffenden Benutzer explizit gesperrt hatte.
Viele Grüße.
Hallo,
das was Du suchst nennt sich ABE (Access Based Enumeration). Bin Grade unterwegs, kann Dir deshalb nicht mehr Informationen liefern. Du findest im Internet genügend Informationen.
Gruss Penny.
das was Du suchst nennt sich ABE (Access Based Enumeration). Bin Grade unterwegs, kann Dir deshalb nicht mehr Informationen liefern. Du findest im Internet genügend Informationen.
Gruss Penny.
1
@D46505Pl:
Hallo.
Verweigern per NTFS ist selten eine gute Idee. Ein sehr striktes Recht, das stets Vorrang vor allem anderen hat und bei Nichtbeherrschung im Extremfall bis zur kompletten, unauflösbaren Aussperrung (=Datenverlust) führen kann. Davor hab' ich größten Respekt und deshalb auch noch nie mit Verweigerung gearbeitet.
Ich schließe mich @Penny.Cilin an, was Du eigentlich suchst und brauchst, nennt sich Access Based Enumeration ("ABE"), Ordner/Verzeichnisse sind beim Einsatz von ABE nur für User oder Gruppen sichtbar, die mindestens Leserecht haben. Hat jemand oder eine Gruppe nicht mindestens Leserecht auf einen Ordner/Verzeichnis, sieht sie ihn gar nicht.
Hier ist einiges davon näher erklärt:
https://www.tenfold-security.com/listrechte-und-access-based-enumeration ...
Viele Grüße
von
departure69
Hallo.
Verweigern per NTFS ist selten eine gute Idee. Ein sehr striktes Recht, das stets Vorrang vor allem anderen hat und bei Nichtbeherrschung im Extremfall bis zur kompletten, unauflösbaren Aussperrung (=Datenverlust) führen kann. Davor hab' ich größten Respekt und deshalb auch noch nie mit Verweigerung gearbeitet.
Ich schließe mich @Penny.Cilin an, was Du eigentlich suchst und brauchst, nennt sich Access Based Enumeration ("ABE"), Ordner/Verzeichnisse sind beim Einsatz von ABE nur für User oder Gruppen sichtbar, die mindestens Leserecht haben. Hat jemand oder eine Gruppe nicht mindestens Leserecht auf einen Ordner/Verzeichnis, sieht sie ihn gar nicht.
Hier ist einiges davon näher erklärt:
https://www.tenfold-security.com/listrechte-und-access-based-enumeration ...
Viele Grüße
von
departure69
Moin
ergänzend zu dem, was schon geschrieben wurde:
Das effektive Zugriffsrecht wird aus der Kombination der gegebenen Rechte festgelegt. Weshalb eine Sortierung in der Ansicht auch nichts bewirken würde. Wenn also Nutzer A über eine Gruppe das Recht zum Lesen eingeräumt wird und der Benutzer über eine andere Gruppe das Recht zum Ändern hat, dann kann der Benutzer in dem Ordner ändern. In welcher Reihenfolge die Darstellung ist, spielt dabei keine Rolle. Das meistreichende Recht gewinnt. Ausnahme ist Verweigern, welches immer Vorrang hat.
Was Du also ganz praktisch machen musst:
- Löschen der nicht gewünschten Zugriffsrechte (z.B. "Jeder") auf den Ordnern. Ggf. musst Du dafür die Vererbung deaktivieren
- Hinzufügen der gewünschten Gruppen mit den vorgesehenen Zugriffsrechten.
- Aktivieren von ABE für die Freigabe im Servermanager unter Datei-Speicherdienste -> Freigaben -> Eigenschaften -> Zugriffsbasierte Auflistung aktivieren
Das ist schon alles
Gruß
ergänzend zu dem, was schon geschrieben wurde:
Das effektive Zugriffsrecht wird aus der Kombination der gegebenen Rechte festgelegt. Weshalb eine Sortierung in der Ansicht auch nichts bewirken würde. Wenn also Nutzer A über eine Gruppe das Recht zum Lesen eingeräumt wird und der Benutzer über eine andere Gruppe das Recht zum Ändern hat, dann kann der Benutzer in dem Ordner ändern. In welcher Reihenfolge die Darstellung ist, spielt dabei keine Rolle. Das meistreichende Recht gewinnt. Ausnahme ist Verweigern, welches immer Vorrang hat.
Was Du also ganz praktisch machen musst:
- Löschen der nicht gewünschten Zugriffsrechte (z.B. "Jeder") auf den Ordnern. Ggf. musst Du dafür die Vererbung deaktivieren
- Hinzufügen der gewünschten Gruppen mit den vorgesehenen Zugriffsrechten.
- Aktivieren von ABE für die Freigabe im Servermanager unter Datei-Speicherdienste -> Freigaben -> Eigenschaften -> Zugriffsbasierte Auflistung aktivieren
Das ist schon alles
Gruß
1
Zitat von @D46505Pl:
Hallo zusammen,
ich beschäftige mich derzeit mit NTFS-Berechtigungen und möchte bestimmten Benutzern Zugriff auf Ordner und Dateien gewähren, während alle anderen keine Berechtigung haben und den Ordner daher nicht sehen können (ausgeblendet).
Wir sprechen von AD-Usern oder lokal?Hallo zusammen,
ich beschäftige mich derzeit mit NTFS-Berechtigungen und möchte bestimmten Benutzern Zugriff auf Ordner und Dateien gewähren, während alle anderen keine Berechtigung haben und den Ordner daher nicht sehen können (ausgeblendet).
Damit der Ordner ausgeblendet wird, muss die Dateiberechtigung entsprechend gesetzt werden. Leider setzt Windows Server 2016 und Server 2019 die Verweigerung jedoch immer an die erste Position, was den Nachteil hat, dass die Personen und Gruppen, die Berechtigungen haben, konsequenterweise auch keine Berechtigung mehr haben.
Vererbungen sind deaktiviert, und es spielt keine Rolle, an welcher Stelle die Verweigerung hinzugefügt wird - sie rutscht immer an die erste Stelle im Post.
Gibt es eine Möglichkeit, die Sortierung entsprechend zu ändern?
Die Reihung in der GUI entspricht nicht der tatsächlichen Reihung der ACL.Vererbungen sind deaktiviert, und es spielt keine Rolle, an welcher Stelle die Verweigerung hinzugefügt wird - sie rutscht immer an die erste Stelle im Post.
Gibt es eine Möglichkeit, die Sortierung entsprechend zu ändern?
Siehe:
https://learn.microsoft.com/de-de/iis/web-hosting/configuring-servers-in ...
https://learn.microsoft.com/de-de/windows/security/identity-protection/a ...
https://learn.microsoft.com/de-de/windows-server/storage/file-server/ntf ...
Hallo Zusammen,
es geht nun. Ich danke euch für die Denkanstösse.
es geht nun. Ich danke euch für die Denkanstösse.
