departure69
Goto Top

NTFS, Unterverz. in Freigabe, Gruppe speziell berechtigen

Hallo.

Äußerst ungern, ich baue für solche Anforderungen am liebsten einen neuen gemeinsamen Netzwerkordner, der freigegeben und auf Share- und NTFS-Ebene für entspr. Gruppen berechtigt wird, muß ich jetzt einer bestimmten Gruppe (Gruppe B) in einem Unterverzeichnis eines Shares, das eigentlich einer anderen Gruppe "gehört" (Gruppe A), Berechtigungen erteilen. Also nur Lesen und Schreiben für das Unterverzeichnis.

Problem: Diese spezielle Gruppe muß ja erstmal in das übergeordnete Verzeichnis/Share überhaupt hinein können und danach nur zu dem Unterverz., in dem sie Rechte hat, nach unten "wandern" können.

Somit:

- das Share "gehört" Gruppe A

- Gruppe A ist sowohl freigabe- als auch NTFS-seitig lese und schreibberechtigt

- in dem Verzeichnis sind viele Unterverzeichnisse

- ein Unterverzeichnis davon ist das, um das es hier geht, nennen wir es "Spezial"

- Gruppe B soll Lese- und Schreibzugriff nur auf das Unterverzeichnis "Spezial" haben/kriegen, nicht auf die anderen Verzeichnisse auf gleicher Ebene


Was hab' ich bisher unternommen?

- Active Directory, Gruppe "B" gegründet, 2 Mitglieder hinzugefügt

- Logon-Skripte der beiden Mitglieder abgeändert, damit ihnen das Share "A" verbunden wird

- Gruppe B für das Share "A" berechtigt (nur Freigabeberechtigung, das muß sein, sonst klappt "net use" nicht), aber noch nicht NTFS

- der Gruppe B im konkreten Unterverzeichnis "Spezial" Lese- und Schreibberechtigung erteilt

- Gruppe A darf in dem gesamten Share "A" lesen und schreiben, auch in dem Unterverzeichnis "Spezial", Gruppe B darf aber nur in dem Unterverzeichnis "Spezial" lesen und schreiben und soll die anderen Verzeichnisse im Share A idealerweise noch nicht mal sehen, Access-Based-Enumeration ist eingerichtet

So, und nun endlich die m. E. einzige Frage:

Was ich muß ich hier, auf oberster Ebene des Share/Verzeichnis "A" für die Gruppe B berechtigen, damit die Gruppe B nur durch das Share A bis zu ihrem Unterverzeichnis Spezial "durchwandern" darf?

Besonders unsicher bin ich bei dem Punkt "Ordner auflisten / Daten lesen" - kommt dann Gruppe B in die Verzeichnisse der Gruppe A hinein oder nicht (was nicht sein dürfte)?

ab

Danke Euch erstmal.

Achja, bitte keine Vorschläge zur Verbindung von Netzlaufwerken. Wir machen das immer noch per Logon-Skript, das klappt nach wie vor einwandfrei und es soll nichts daran geändert werden, auch wenn es sicherlich "eleganter" ist, dies per GPP/GPO zu tun. Tut hier ohnehin nichts zur Sache (aber ich rechne damit, daß ich darauf hingewiesen werde, daß "man das nicht mehr so macht").

Viele Grüße

von

departure69

Content-ID: 4809440201

Url: https://administrator.de/contentid/4809440201

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

gravelking
Lösung gravelking 30.11.2022 um 09:27:59 Uhr
Goto Top
Servus,

Ordner auflisten /Daten lesen sollte passen.
Allerdings musst du "Anwenden auf" ändern auf "nur diesen Ordner"

Grüße
departure69
departure69 30.11.2022 um 09:33:13 Uhr
Goto Top
@gravelking:

Hallo.

Vielen Dank für Deine rasche Antwort.

Und das eine Häkchen reicht dann aus, damit Gruppe B in das Verzeichnis A überhaupt "hineinkommt" und sodann in ihr Unterverzeichnis "Spezial", dort dann mit den dortigen Rechten, aufsuchen und darin arbeiten kann?

Falls ja, ist das die (erstaunlich einfache) Lösung, dann schonmal vorab vielen Dank.

Ich probier's dann gleich mal aus.

Viele Grüße

von

departure69
emeriks
Lösung emeriks 30.11.2022 aktualisiert um 12:17:12 Uhr
Goto Top
Hi,
Stichwort "ABE". In der Freigabe aktivieren.

"Gruppe B" in der "A"-Freigabe in die Freigabeberechtigungen aufnehmen.
Dann Rechte auf Unterverzeichnis für "Gruppe B" setzen.
Es sollte dann möglich sein, direkt über

\\server\freigabe\unterverzeichnis

in das Verzeichnis zu springen, ohne sich erst über

\\server\freigabe

hangeln zu müssen. Sprich, das List-Recht wäre im freigebenen Ordner nicht erforderlich.

Wenn aber "hangeln" erwünscht ist, dann List-Recht und ABE, und alles gut.

E.
gravelking
gravelking 30.11.2022 um 13:10:39 Uhr
Goto Top
Zitat von @emeriks:

Hi,
Stichwort "ABE". In der Freigabe aktivieren.

"Gruppe B" in der "A"-Freigabe in die Freigabeberechtigungen aufnehmen.
Dann Rechte auf Unterverzeichnis für "Gruppe B" setzen.
Es sollte dann möglich sein, direkt über

\\server\freigabe\unterverzeichnis

in das Verzeichnis zu springen, ohne sich erst über

\\server\freigabe

hangeln zu müssen. Sprich, das List-Recht wäre im freigebenen Ordner nicht erforderlich.

Wenn aber "hangeln" erwünscht ist, dann List-Recht und ABE, und alles gut.

E.

Das wäre in der Tat auch eine Möglichkeit. Muss ich mir merken.
gravelking
Lösung gravelking 30.11.2022 um 13:16:19 Uhr
Goto Top
Zitat von @departure69:

@gravelking:

Hallo.

Vielen Dank für Deine rasche Antwort.

Und das eine Häkchen reicht dann aus, damit Gruppe B in das Verzeichnis A überhaupt "hineinkommt" und sodann in ihr Unterverzeichnis "Spezial", dort dann mit den dortigen Rechten, aufsuchen und darin arbeiten kann?

Falls ja, ist das die (erstaunlich einfache) Lösung, dann schonmal vorab vielen Dank.

Ich probier's dann gleich mal aus.

Viele Grüße

von

departure69

Ich wüsste nicht, warum es nicht funktionieren soll. Mit der Einschränkung halt, das die anderen Verzeichnisse sichtbar sind.
Ist das nicht gewünscht, dann ist die Lösung von @emeriks zielführender.

Grüße