newit1
Goto Top

Ordner Organisation und Berechtigungen

Hallo zusammen,

ich möchte einmal eure Meinung hören, was am sinnvollsten ist.

Haben auf einem Fileserver verschiedene Ordner angelegt, für jede Abteilung einen.

Wie kann ich die Ordner am besten so berechtigen, das jede Abteilung nur auf den entsprechenden Ordner Zugriff hat?

Aktuell sieht es so aus:


\\fileserver\Freigegebener Ordner\Abteilung1
\\fileserver\Freigegebener Ordner\Abteilung2

... usw.

Die Freigabeberechtigung ist auf "Jeder" und Vollzugriff eingestellt.
Meine Idee war jetzt, die NTFS Berechtigung der Abteilungsordner so anzupassen, dass z.B. die AD-Gruppe "Abteilung1" Zugriff auf den Ordner Abteilung 1 hat.

Blöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...

Wie lässt sich das am elegantesten lösen?
Evtl. auch ein ganz anderer Lösungsweg?


Danke für eure Hilfe!

Content-Key: 519012

Url: https://administrator.de/contentid/519012

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: emeriks
emeriks 26.11.2019 um 14:25:21 Uhr
Goto Top
Hi,
Zitat von @newit1:
Meine Idee war jetzt, die NTFS Berechtigung der Abteilungsordner so anzupassen, dass z.B. die AD-Gruppe "Abteilung1" Zugriff auf den Ordner Abteilung 1 hat.

Blöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...
Richtiger Ansatz. Nur dann hast Du es offbar nicht richtig umgesetzt.
Bloß ein Gruppe !Abteilung 1" hinzufügen reicht nicht, wenn die standardmäßig enthaltene Gruppe "Benutzer" weiterhin drin steht.

E.
Mitglied: HeadoN
HeadoN 26.11.2019 um 15:24:29 Uhr
Goto Top
Generell würde ich dir empfehlen erstmal die gruppe "jeder" durch "authentifizierte Benutzer" zu ersetzen.

Nun aber zu deinem eigentlichen Problem.
Du musst die gruppe "jeder" auf jedenfall entfernen und halt nur die jeweilige Abteilung eintragen.

Wenn es sich um viele Ordner und einen Datei Server handelt würde ich auch noch die Funktion aktivieren das man nur die Ordner sieht für die man Berechtigungen hat.
Mitglied: ArnoNymous
ArnoNymous 26.11.2019 aktualisiert um 15:46:18 Uhr
Goto Top
Moin

Zitat von @newit1:


Die Freigabeberechtigung ist auf "Jeder" und Vollzugriff eingestellt.
Meine Idee war jetzt, die NTFS Berechtigung der Abteilungsordner so anzupassen, dass z.B. die AD-Gruppe "Abteilung1" Zugriff auf den Ordner Abteilung 1 hat.


Passt soweit. Idealweirweise noch eine Read und Write Gruppe bauen, wenn denn benötigt.

Blöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...

Wie lässt sich das am elegantesten lösen?
Evtl. auch ein ganz anderer Lösungsweg?


Haben Sich die User neu angemeldet, nachdem sie den Gruppen zugeordnet wurden? Berechtigungen greifen sofort, Gruppenzugehörigkeiten aber erst nach einer Neuanmeldung.
Mitglied: emeriks
emeriks 26.11.2019 um 16:19:40 Uhr
Goto Top
Zitat von @HeadoN:
Nun aber zu deinem eigentlichen Problem.
Du musst die gruppe "jeder" auf jedenfall entfernen und halt nur die jeweilige Abteilung eintragen.
Quatsch. Muss gar nicht. Und außerdem redet er bzgl. "Jeder" von der Freigabe. Das würde nichts an den NTFS-Rechten ändern.
Wenn es sich um viele Ordner und einen Datei Server handelt würde ich auch noch die Funktion aktivieren das man nur die Ordner sieht für die man Berechtigungen hat.
Ich vermute auch stark, dass es dem TO eigentlich darum geht. Dass er nur ungenau formuliert hat bei
Blöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...
Nicht Zugriff sonden Sehen.
Mitglied: ArnoNymous
ArnoNymous 26.11.2019 aktualisiert um 16:24:39 Uhr
Goto Top
Sollte dem so sein, so suche er nach ABE (Access-based Enumeration) und aktiviere diese.
Mitglied: newit1
newit1 26.11.2019 aktualisiert um 16:31:29 Uhr
Goto Top
Um das vielleicht nochmal deutlich zu machen...

Mein Hauptaugenmerk liegt zunächst darauf, dass ein User aus Abteilung 2, nicht in den Abteilung 1 Ordner reinkommt.

Leider gelingt mir das nicht...

Folgendes ist konfiguriert:

Freigabeordner: Berechtigung-> Jeder -> Vollzugriff

Dann gibt es dort die ganzen Abteilungsunterordner:

Ordner Abteilung 1: Reiter Sicherheit -> AD Gruppe Abteilung 1 -> Schreibzugriff

Zusätzlich haben natürlich Domänen-Admins und der Administrator Vollzugriff.
Wie kann ich aber jetzt verhindern das User aus der AD Gruppe Abteilung 2 in den Ordner reinkommen...ohne das ich dies explizit in den Berechtigungen verweigere...
Mitglied: HeadoN
HeadoN 26.11.2019 um 18:03:12 Uhr
Goto Top
Hast du Rechte Vererbung deaktiviert auf dem Ordner? Schaue dir doch mal die expliziten Berechtigungen an.

Wäre jetzt das erste was mir darauf einfällt.
Mitglied: emeriks
emeriks 27.11.2019 um 08:32:32 Uhr
Goto Top
Zitat von @HeadoN:
Hast du Rechte Vererbung deaktiviert auf dem Ordner? Schaue dir doch mal die expliziten Berechtigungen an.
Die Expliziten wären dann aber die nicht-vererbten.
Mitglied: emeriks
emeriks 27.11.2019 aktualisiert um 08:36:05 Uhr
Goto Top
Zitat von @newit1:
Dann gibt es dort die ganzen Abteilungsunterordner:

Ordner Abteilung 1: Reiter Sicherheit -> AD Gruppe Abteilung 1 -> Schreibzugriff

Zusätzlich haben natürlich Domänen-Admins und der Administrator Vollzugriff.
Wie kann ich aber jetzt verhindern das User aus der AD Gruppe Abteilung 2 in den Ordner reinkommen...ohne das ich dies explizit in den Berechtigungen verweigere...
Wenn das alles wirklich so ist, wie Du schreibst, dann bleibt ja bloß, dass der betreffende Benutzer aus Abteilung 2 auch in einer der anderen Gruppen ist, welche in der ACL stehen. Also z.B. "Abteilung 1" oder "Domänen-Admins".
Und beachte beim Testen: Wenn Du die Gruppenmitgliedschaft eines Benutzers änderst, dann musst Du diesen erst neu anmelden, bevor Du damit testest, sonst wirkt die neue Mitgliedschaft noch nicht.
Mitglied: newit1
newit1 27.11.2019 aktualisiert um 14:07:51 Uhr
Goto Top
Blöde frage aber...

Freigabe Berechtigung "Jeder" "Vollzugriff"
-> Bedeutet jeder User hat auf diesen Ordner (Freigabeordner) sowie alle Unterordner erstmal Vollzugriff

Wenn ich doch jetzt in den Unterordner "Abteilung1" gehe und unter NTFS Berechtigungen, der Gruppe "Abteilung1" Schreibrechte gebe, ändert das doch überhaupt nichts daran, dass jeder andere User immer noch Vollzugriff hat....

...und genau das will ich ja verhindern

Ich hoffe ihr wisst was ich meine...vielleicht ein denkfehler?
Mitglied: emeriks
emeriks 27.11.2019 aktualisiert um 14:26:25 Uhr
Goto Top
Zitat von @newit1:
Freigabe Berechtigung "Jeder" "Vollzugriff"
-> Bedeutet jeder User hat auf diesen Ordner (Freigabeordner) sowie alle Unterordner erstmal Vollzugriff
Nein. Das bedeutet nur, dass "Jeder" mit Zugriffsrechten bis max. "Vollzugriff" "durch die Freigabe durch" auf das NTFS-Volume zugreifen kann.

Wenn ich doch jetzt in den Unterordner "Abteilung1" gehe und unter NTFS Berechtigungen, der Gruppe "Abteilung1" Schreibrechte gebe, ändert das doch überhaupt nichts daran, dass jeder andere User immer noch Vollzugriff hat....
s.o.
Die effektiven Rechte eines Benutzers auf eine Datei oder einen Ordner in einer Freigabe ergeben sich aus der Kombination der Freigabe-Rechte und der NTFS-Rechte für die Datei oder den Ordner, wobei die größte Einschränkung gilt.
Mitglied: newit1
newit1 27.11.2019 um 14:34:18 Uhr
Goto Top
Alles klar.

Das bedeutet, theoretisch wäre ich mit setzten der NTFS Berechtigung der Gruppe "Abteilung1" im Ordner "Abteilung1" fertig? Und keine andere Gruppe hat Zugriff?
Mitglied: emeriks
emeriks 27.11.2019 aktualisiert um 15:17:13 Uhr
Goto Top
Zitat von @newit1:
Das bedeutet, theoretisch wäre ich mit setzten der NTFS Berechtigung der Gruppe "Abteilung1" im Ordner "Abteilung1" fertig? Und keine andere Gruppe hat Zugriff?
Wenn Du das tatsächlich so machst, ja. Aber weil Du berichtest, dass das Ergebnis nicht so ist, wie Du (wir) es erwarten, heißt das für mich, dass Du da irgendwas falsch machst.

Tipp:
Du könntest z.B. mittels CACLS die Ordner-Berechtigungen anzeigen lassen und das Ergebnis hier posten. Dann könnten wir hier sehen, was Du da wirklich eingetragen hast.
Mitglied: ArnoNymous
ArnoNymous 27.11.2019 um 15:03:43 Uhr
Goto Top
Zitat von @newit1:

Alles klar.

Das bedeutet, theoretisch wäre ich mit setzten der NTFS Berechtigung der Gruppe "Abteilung1" im Ordner "Abteilung1" fertig? Und keine andere Gruppe hat Zugriff?


Kann es sein, dass du das ganze noch gar nicht getestet hast? Warum machst du es dann nicht einfach mal? Wurde ja hier nun schon paar Mal geschrieben, dass das so funktionieren wird.