NTFS, Unterverz. in Freigabe, Gruppe speziell berechtigen
Hallo.
Äußerst ungern, ich baue für solche Anforderungen am liebsten einen neuen gemeinsamen Netzwerkordner, der freigegeben und auf Share- und NTFS-Ebene für entspr. Gruppen berechtigt wird, muß ich jetzt einer bestimmten Gruppe (Gruppe B) in einem Unterverzeichnis eines Shares, das eigentlich einer anderen Gruppe "gehört" (Gruppe A), Berechtigungen erteilen. Also nur Lesen und Schreiben für das Unterverzeichnis.
Problem: Diese spezielle Gruppe muß ja erstmal in das übergeordnete Verzeichnis/Share überhaupt hinein können und danach nur zu dem Unterverz., in dem sie Rechte hat, nach unten "wandern" können.
Somit:
- das Share "gehört" Gruppe A
- Gruppe A ist sowohl freigabe- als auch NTFS-seitig lese und schreibberechtigt
- in dem Verzeichnis sind viele Unterverzeichnisse
- ein Unterverzeichnis davon ist das, um das es hier geht, nennen wir es "Spezial"
- Gruppe B soll Lese- und Schreibzugriff nur auf das Unterverzeichnis "Spezial" haben/kriegen, nicht auf die anderen Verzeichnisse auf gleicher Ebene
Was hab' ich bisher unternommen?
- Active Directory, Gruppe "B" gegründet, 2 Mitglieder hinzugefügt
- Logon-Skripte der beiden Mitglieder abgeändert, damit ihnen das Share "A" verbunden wird
- Gruppe B für das Share "A" berechtigt (nur Freigabeberechtigung, das muß sein, sonst klappt "net use" nicht), aber noch nicht NTFS
- der Gruppe B im konkreten Unterverzeichnis "Spezial" Lese- und Schreibberechtigung erteilt
- Gruppe A darf in dem gesamten Share "A" lesen und schreiben, auch in dem Unterverzeichnis "Spezial", Gruppe B darf aber nur in dem Unterverzeichnis "Spezial" lesen und schreiben und soll die anderen Verzeichnisse im Share A idealerweise noch nicht mal sehen, Access-Based-Enumeration ist eingerichtet
So, und nun endlich die m. E. einzige Frage:
Was ich muß ich hier, auf oberster Ebene des Share/Verzeichnis "A" für die Gruppe B berechtigen, damit die Gruppe B nur durch das Share A bis zu ihrem Unterverzeichnis Spezial "durchwandern" darf?
Besonders unsicher bin ich bei dem Punkt "Ordner auflisten / Daten lesen" - kommt dann Gruppe B in die Verzeichnisse der Gruppe A hinein oder nicht (was nicht sein dürfte)?
Danke Euch erstmal.
Achja, bitte keine Vorschläge zur Verbindung von Netzlaufwerken. Wir machen das immer noch per Logon-Skript, das klappt nach wie vor einwandfrei und es soll nichts daran geändert werden, auch wenn es sicherlich "eleganter" ist, dies per GPP/GPO zu tun. Tut hier ohnehin nichts zur Sache (aber ich rechne damit, daß ich darauf hingewiesen werde, daß "man das nicht mehr so macht").
Viele Grüße
von
departure69
Äußerst ungern, ich baue für solche Anforderungen am liebsten einen neuen gemeinsamen Netzwerkordner, der freigegeben und auf Share- und NTFS-Ebene für entspr. Gruppen berechtigt wird, muß ich jetzt einer bestimmten Gruppe (Gruppe B) in einem Unterverzeichnis eines Shares, das eigentlich einer anderen Gruppe "gehört" (Gruppe A), Berechtigungen erteilen. Also nur Lesen und Schreiben für das Unterverzeichnis.
Problem: Diese spezielle Gruppe muß ja erstmal in das übergeordnete Verzeichnis/Share überhaupt hinein können und danach nur zu dem Unterverz., in dem sie Rechte hat, nach unten "wandern" können.
Somit:
- das Share "gehört" Gruppe A
- Gruppe A ist sowohl freigabe- als auch NTFS-seitig lese und schreibberechtigt
- in dem Verzeichnis sind viele Unterverzeichnisse
- ein Unterverzeichnis davon ist das, um das es hier geht, nennen wir es "Spezial"
- Gruppe B soll Lese- und Schreibzugriff nur auf das Unterverzeichnis "Spezial" haben/kriegen, nicht auf die anderen Verzeichnisse auf gleicher Ebene
Was hab' ich bisher unternommen?
- Active Directory, Gruppe "B" gegründet, 2 Mitglieder hinzugefügt
- Logon-Skripte der beiden Mitglieder abgeändert, damit ihnen das Share "A" verbunden wird
- Gruppe B für das Share "A" berechtigt (nur Freigabeberechtigung, das muß sein, sonst klappt "net use" nicht), aber noch nicht NTFS
- der Gruppe B im konkreten Unterverzeichnis "Spezial" Lese- und Schreibberechtigung erteilt
- Gruppe A darf in dem gesamten Share "A" lesen und schreiben, auch in dem Unterverzeichnis "Spezial", Gruppe B darf aber nur in dem Unterverzeichnis "Spezial" lesen und schreiben und soll die anderen Verzeichnisse im Share A idealerweise noch nicht mal sehen, Access-Based-Enumeration ist eingerichtet
So, und nun endlich die m. E. einzige Frage:
Was ich muß ich hier, auf oberster Ebene des Share/Verzeichnis "A" für die Gruppe B berechtigen, damit die Gruppe B nur durch das Share A bis zu ihrem Unterverzeichnis Spezial "durchwandern" darf?
Besonders unsicher bin ich bei dem Punkt "Ordner auflisten / Daten lesen" - kommt dann Gruppe B in die Verzeichnisse der Gruppe A hinein oder nicht (was nicht sein dürfte)?
Danke Euch erstmal.
Achja, bitte keine Vorschläge zur Verbindung von Netzlaufwerken. Wir machen das immer noch per Logon-Skript, das klappt nach wie vor einwandfrei und es soll nichts daran geändert werden, auch wenn es sicherlich "eleganter" ist, dies per GPP/GPO zu tun. Tut hier ohnehin nichts zur Sache (aber ich rechne damit, daß ich darauf hingewiesen werde, daß "man das nicht mehr so macht").
Viele Grüße
von
departure69
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4809440201
Url: https://administrator.de/contentid/4809440201
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
Stichwort "ABE". In der Freigabe aktivieren.
"Gruppe B" in der "A"-Freigabe in die Freigabeberechtigungen aufnehmen.
Dann Rechte auf Unterverzeichnis für "Gruppe B" setzen.
Es sollte dann möglich sein, direkt über
\\server\freigabe\unterverzeichnis
in das Verzeichnis zu springen, ohne sich erst über
\\server\freigabe
hangeln zu müssen. Sprich, das List-Recht wäre im freigebenen Ordner nicht erforderlich.
Wenn aber "hangeln" erwünscht ist, dann List-Recht und ABE, und alles gut.
E.
Stichwort "ABE". In der Freigabe aktivieren.
"Gruppe B" in der "A"-Freigabe in die Freigabeberechtigungen aufnehmen.
Dann Rechte auf Unterverzeichnis für "Gruppe B" setzen.
Es sollte dann möglich sein, direkt über
\\server\freigabe\unterverzeichnis
in das Verzeichnis zu springen, ohne sich erst über
\\server\freigabe
hangeln zu müssen. Sprich, das List-Recht wäre im freigebenen Ordner nicht erforderlich.
Wenn aber "hangeln" erwünscht ist, dann List-Recht und ABE, und alles gut.
E.
Zitat von @emeriks:
Hi,
Stichwort "ABE". In der Freigabe aktivieren.
"Gruppe B" in der "A"-Freigabe in die Freigabeberechtigungen aufnehmen.
Dann Rechte auf Unterverzeichnis für "Gruppe B" setzen.
Es sollte dann möglich sein, direkt über
\\server\freigabe\unterverzeichnis
in das Verzeichnis zu springen, ohne sich erst über
\\server\freigabe
hangeln zu müssen. Sprich, das List-Recht wäre im freigebenen Ordner nicht erforderlich.
Wenn aber "hangeln" erwünscht ist, dann List-Recht und ABE, und alles gut.
E.
Hi,
Stichwort "ABE". In der Freigabe aktivieren.
"Gruppe B" in der "A"-Freigabe in die Freigabeberechtigungen aufnehmen.
Dann Rechte auf Unterverzeichnis für "Gruppe B" setzen.
Es sollte dann möglich sein, direkt über
\\server\freigabe\unterverzeichnis
in das Verzeichnis zu springen, ohne sich erst über
\\server\freigabe
hangeln zu müssen. Sprich, das List-Recht wäre im freigebenen Ordner nicht erforderlich.
Wenn aber "hangeln" erwünscht ist, dann List-Recht und ABE, und alles gut.
E.
Das wäre in der Tat auch eine Möglichkeit. Muss ich mir merken.
Zitat von @departure69:
@gravelking:
Hallo.
Vielen Dank für Deine rasche Antwort.
Und das eine Häkchen reicht dann aus, damit Gruppe B in das Verzeichnis A überhaupt "hineinkommt" und sodann in ihr Unterverzeichnis "Spezial", dort dann mit den dortigen Rechten, aufsuchen und darin arbeiten kann?
Falls ja, ist das die (erstaunlich einfache) Lösung, dann schonmal vorab vielen Dank.
Ich probier's dann gleich mal aus.
Viele Grüße
von
departure69
@gravelking:
Hallo.
Vielen Dank für Deine rasche Antwort.
Und das eine Häkchen reicht dann aus, damit Gruppe B in das Verzeichnis A überhaupt "hineinkommt" und sodann in ihr Unterverzeichnis "Spezial", dort dann mit den dortigen Rechten, aufsuchen und darin arbeiten kann?
Falls ja, ist das die (erstaunlich einfache) Lösung, dann schonmal vorab vielen Dank.
Ich probier's dann gleich mal aus.
Viele Grüße
von
departure69
Ich wüsste nicht, warum es nicht funktionieren soll. Mit der Einschränkung halt, das die anderen Verzeichnisse sichtbar sind.
Ist das nicht gewünscht, dann ist die Lösung von @emeriks zielführender.
Grüße