14
Ordner Organisation und Berechtigungen
Hallo zusammen,
ich möchte einmal eure Meinung hören, was am sinnvollsten ist.
Haben auf einem Fileserver verschiedene Ordner angelegt, für jede Abteilung einen.
Wie kann ich die Ordner am besten so berechtigen, das jede Abteilung nur auf den entsprechenden Ordner Zugriff hat?
Aktuell sieht es so aus:
\\fileserver\Freigegebener Ordner\Abteilung1
\\fileserver\Freigegebener Ordner\Abteilung2
... usw.
Die Freigabeberechtigung ist auf "Jeder" und Vollzugriff eingestellt.
Meine Idee war jetzt, die NTFS Berechtigung der Abteilungsordner so anzupassen, dass z.B. die AD-Gruppe "Abteilung1" Zugriff auf den Ordner Abteilung 1 hat.
Blöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...
Wie lässt sich das am elegantesten lösen?
Evtl. auch ein ganz anderer Lösungsweg?
Danke für eure Hilfe!
ich möchte einmal eure Meinung hören, was am sinnvollsten ist.
Haben auf einem Fileserver verschiedene Ordner angelegt, für jede Abteilung einen.
Wie kann ich die Ordner am besten so berechtigen, das jede Abteilung nur auf den entsprechenden Ordner Zugriff hat?
Aktuell sieht es so aus:
\\fileserver\Freigegebener Ordner\Abteilung1
\\fileserver\Freigegebener Ordner\Abteilung2
... usw.
Die Freigabeberechtigung ist auf "Jeder" und Vollzugriff eingestellt.
Meine Idee war jetzt, die NTFS Berechtigung der Abteilungsordner so anzupassen, dass z.B. die AD-Gruppe "Abteilung1" Zugriff auf den Ordner Abteilung 1 hat.
Blöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...
Wie lässt sich das am elegantesten lösen?
Evtl. auch ein ganz anderer Lösungsweg?
Danke für eure Hilfe!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 519012
Url: https://administrator.de/contentid/519012
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
14 Kommentare
Neuester Kommentar
Hi,
Bloß ein Gruppe !Abteilung 1" hinzufügen reicht nicht, wenn die standardmäßig enthaltene Gruppe "Benutzer" weiterhin drin steht.
E.
Zitat von @newit1:
Meine Idee war jetzt, die NTFS Berechtigung der Abteilungsordner so anzupassen, dass z.B. die AD-Gruppe "Abteilung1" Zugriff auf den Ordner Abteilung 1 hat.
Blöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...
Richtiger Ansatz. Nur dann hast Du es offbar nicht richtig umgesetzt.Meine Idee war jetzt, die NTFS Berechtigung der Abteilungsordner so anzupassen, dass z.B. die AD-Gruppe "Abteilung1" Zugriff auf den Ordner Abteilung 1 hat.
Blöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...
Bloß ein Gruppe !Abteilung 1" hinzufügen reicht nicht, wenn die standardmäßig enthaltene Gruppe "Benutzer" weiterhin drin steht.
E.
Generell würde ich dir empfehlen erstmal die gruppe "jeder" durch "authentifizierte Benutzer" zu ersetzen.
Nun aber zu deinem eigentlichen Problem.
Du musst die gruppe "jeder" auf jedenfall entfernen und halt nur die jeweilige Abteilung eintragen.
Wenn es sich um viele Ordner und einen Datei Server handelt würde ich auch noch die Funktion aktivieren das man nur die Ordner sieht für die man Berechtigungen hat.
Nun aber zu deinem eigentlichen Problem.
Du musst die gruppe "jeder" auf jedenfall entfernen und halt nur die jeweilige Abteilung eintragen.
Wenn es sich um viele Ordner und einen Datei Server handelt würde ich auch noch die Funktion aktivieren das man nur die Ordner sieht für die man Berechtigungen hat.
Moin
Passt soweit. Idealweirweise noch eine Read und Write Gruppe bauen, wenn denn benötigt.
Haben Sich die User neu angemeldet, nachdem sie den Gruppen zugeordnet wurden? Berechtigungen greifen sofort, Gruppenzugehörigkeiten aber erst nach einer Neuanmeldung.
Zitat von @newit1:
Die Freigabeberechtigung ist auf "Jeder" und Vollzugriff eingestellt.
Meine Idee war jetzt, die NTFS Berechtigung der Abteilungsordner so anzupassen, dass z.B. die AD-Gruppe "Abteilung1" Zugriff auf den Ordner Abteilung 1 hat.
Die Freigabeberechtigung ist auf "Jeder" und Vollzugriff eingestellt.
Meine Idee war jetzt, die NTFS Berechtigung der Abteilungsordner so anzupassen, dass z.B. die AD-Gruppe "Abteilung1" Zugriff auf den Ordner Abteilung 1 hat.
Passt soweit. Idealweirweise noch eine Read und Write Gruppe bauen, wenn denn benötigt.
Blöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...
Wie lässt sich das am elegantesten lösen?
Evtl. auch ein ganz anderer Lösungsweg?
Wie lässt sich das am elegantesten lösen?
Evtl. auch ein ganz anderer Lösungsweg?
Haben Sich die User neu angemeldet, nachdem sie den Gruppen zugeordnet wurden? Berechtigungen greifen sofort, Gruppenzugehörigkeiten aber erst nach einer Neuanmeldung.
Zitat von @HeadoN:
Nun aber zu deinem eigentlichen Problem.
Du musst die gruppe "jeder" auf jedenfall entfernen und halt nur die jeweilige Abteilung eintragen.
Quatsch. Muss gar nicht. Und außerdem redet er bzgl. "Jeder" von der Freigabe. Das würde nichts an den NTFS-Rechten ändern.Nun aber zu deinem eigentlichen Problem.
Du musst die gruppe "jeder" auf jedenfall entfernen und halt nur die jeweilige Abteilung eintragen.
Wenn es sich um viele Ordner und einen Datei Server handelt würde ich auch noch die Funktion aktivieren das man nur die Ordner sieht für die man Berechtigungen hat.
Ich vermute auch stark, dass es dem TO eigentlich darum geht. Dass er nur ungenau formuliert hat beiBlöd nur, das trotz allem User aus Abteilung 2 , immer noch Zugriff auf den Ordner haben...
Nicht Zugriff sonden Sehen.
Sollte dem so sein, so suche er nach ABE (Access-based Enumeration) und aktiviere diese.
Um das vielleicht nochmal deutlich zu machen...
Mein Hauptaugenmerk liegt zunächst darauf, dass ein User aus Abteilung 2, nicht in den Abteilung 1 Ordner reinkommt.
Leider gelingt mir das nicht...
Folgendes ist konfiguriert:
Freigabeordner: Berechtigung-> Jeder -> Vollzugriff
Dann gibt es dort die ganzen Abteilungsunterordner:
Ordner Abteilung 1: Reiter Sicherheit -> AD Gruppe Abteilung 1 -> Schreibzugriff
Zusätzlich haben natürlich Domänen-Admins und der Administrator Vollzugriff.
Wie kann ich aber jetzt verhindern das User aus der AD Gruppe Abteilung 2 in den Ordner reinkommen...ohne das ich dies explizit in den Berechtigungen verweigere...
Mein Hauptaugenmerk liegt zunächst darauf, dass ein User aus Abteilung 2, nicht in den Abteilung 1 Ordner reinkommt.
Leider gelingt mir das nicht...
Folgendes ist konfiguriert:
Freigabeordner: Berechtigung-> Jeder -> Vollzugriff
Dann gibt es dort die ganzen Abteilungsunterordner:
Ordner Abteilung 1: Reiter Sicherheit -> AD Gruppe Abteilung 1 -> Schreibzugriff
Zusätzlich haben natürlich Domänen-Admins und der Administrator Vollzugriff.
Wie kann ich aber jetzt verhindern das User aus der AD Gruppe Abteilung 2 in den Ordner reinkommen...ohne das ich dies explizit in den Berechtigungen verweigere...
Hast du Rechte Vererbung deaktiviert auf dem Ordner? Schaue dir doch mal die expliziten Berechtigungen an.
Wäre jetzt das erste was mir darauf einfällt.
Wäre jetzt das erste was mir darauf einfällt.
Zitat von @HeadoN:
Hast du Rechte Vererbung deaktiviert auf dem Ordner? Schaue dir doch mal die expliziten Berechtigungen an.
Die Expliziten wären dann aber die nicht-vererbten.Hast du Rechte Vererbung deaktiviert auf dem Ordner? Schaue dir doch mal die expliziten Berechtigungen an.
Zitat von @newit1:
Dann gibt es dort die ganzen Abteilungsunterordner:
Ordner Abteilung 1: Reiter Sicherheit -> AD Gruppe Abteilung 1 -> Schreibzugriff
Zusätzlich haben natürlich Domänen-Admins und der Administrator Vollzugriff.
Wie kann ich aber jetzt verhindern das User aus der AD Gruppe Abteilung 2 in den Ordner reinkommen...ohne das ich dies explizit in den Berechtigungen verweigere...
Wenn das alles wirklich so ist, wie Du schreibst, dann bleibt ja bloß, dass der betreffende Benutzer aus Abteilung 2 auch in einer der anderen Gruppen ist, welche in der ACL stehen. Also z.B. "Abteilung 1" oder "Domänen-Admins".Dann gibt es dort die ganzen Abteilungsunterordner:
Ordner Abteilung 1: Reiter Sicherheit -> AD Gruppe Abteilung 1 -> Schreibzugriff
Zusätzlich haben natürlich Domänen-Admins und der Administrator Vollzugriff.
Wie kann ich aber jetzt verhindern das User aus der AD Gruppe Abteilung 2 in den Ordner reinkommen...ohne das ich dies explizit in den Berechtigungen verweigere...
Und beachte beim Testen: Wenn Du die Gruppenmitgliedschaft eines Benutzers änderst, dann musst Du diesen erst neu anmelden, bevor Du damit testest, sonst wirkt die neue Mitgliedschaft noch nicht.
Blöde frage aber...
Freigabe Berechtigung "Jeder" "Vollzugriff"
-> Bedeutet jeder User hat auf diesen Ordner (Freigabeordner) sowie alle Unterordner erstmal Vollzugriff
Wenn ich doch jetzt in den Unterordner "Abteilung1" gehe und unter NTFS Berechtigungen, der Gruppe "Abteilung1" Schreibrechte gebe, ändert das doch überhaupt nichts daran, dass jeder andere User immer noch Vollzugriff hat....
...und genau das will ich ja verhindern
Ich hoffe ihr wisst was ich meine...vielleicht ein denkfehler?
Freigabe Berechtigung "Jeder" "Vollzugriff"
-> Bedeutet jeder User hat auf diesen Ordner (Freigabeordner) sowie alle Unterordner erstmal Vollzugriff
Wenn ich doch jetzt in den Unterordner "Abteilung1" gehe und unter NTFS Berechtigungen, der Gruppe "Abteilung1" Schreibrechte gebe, ändert das doch überhaupt nichts daran, dass jeder andere User immer noch Vollzugriff hat....
...und genau das will ich ja verhindern
Ich hoffe ihr wisst was ich meine...vielleicht ein denkfehler?
Zitat von @newit1:
Freigabe Berechtigung "Jeder" "Vollzugriff"
-> Bedeutet jeder User hat auf diesen Ordner (Freigabeordner) sowie alle Unterordner erstmal Vollzugriff
Nein. Das bedeutet nur, dass "Jeder" mit Zugriffsrechten bis max. "Vollzugriff" "durch die Freigabe durch" auf das NTFS-Volume zugreifen kann.Freigabe Berechtigung "Jeder" "Vollzugriff"
-> Bedeutet jeder User hat auf diesen Ordner (Freigabeordner) sowie alle Unterordner erstmal Vollzugriff
Wenn ich doch jetzt in den Unterordner "Abteilung1" gehe und unter NTFS Berechtigungen, der Gruppe "Abteilung1" Schreibrechte gebe, ändert das doch überhaupt nichts daran, dass jeder andere User immer noch Vollzugriff hat....
s.o.Die effektiven Rechte eines Benutzers auf eine Datei oder einen Ordner in einer Freigabe ergeben sich aus der Kombination der Freigabe-Rechte und der NTFS-Rechte für die Datei oder den Ordner, wobei die größte Einschränkung gilt.
Alles klar.
Das bedeutet, theoretisch wäre ich mit setzten der NTFS Berechtigung der Gruppe "Abteilung1" im Ordner "Abteilung1" fertig? Und keine andere Gruppe hat Zugriff?
Das bedeutet, theoretisch wäre ich mit setzten der NTFS Berechtigung der Gruppe "Abteilung1" im Ordner "Abteilung1" fertig? Und keine andere Gruppe hat Zugriff?
Zitat von @newit1:
Das bedeutet, theoretisch wäre ich mit setzten der NTFS Berechtigung der Gruppe "Abteilung1" im Ordner "Abteilung1" fertig? Und keine andere Gruppe hat Zugriff?
Wenn Du das tatsächlich so machst, ja. Aber weil Du berichtest, dass das Ergebnis nicht so ist, wie Du (wir) es erwarten, heißt das für mich, dass Du da irgendwas falsch machst.Das bedeutet, theoretisch wäre ich mit setzten der NTFS Berechtigung der Gruppe "Abteilung1" im Ordner "Abteilung1" fertig? Und keine andere Gruppe hat Zugriff?
Tipp:
Du könntest z.B. mittels CACLS die Ordner-Berechtigungen anzeigen lassen und das Ergebnis hier posten. Dann könnten wir hier sehen, was Du da wirklich eingetragen hast.
Zitat von @newit1:
Alles klar.
Das bedeutet, theoretisch wäre ich mit setzten der NTFS Berechtigung der Gruppe "Abteilung1" im Ordner "Abteilung1" fertig? Und keine andere Gruppe hat Zugriff?
Alles klar.
Das bedeutet, theoretisch wäre ich mit setzten der NTFS Berechtigung der Gruppe "Abteilung1" im Ordner "Abteilung1" fertig? Und keine andere Gruppe hat Zugriff?
Kann es sein, dass du das ganze noch gar nicht getestet hast? Warum machst du es dann nicht einfach mal? Wurde ja hier nun schon paar Mal geschrieben, dass das so funktionieren wird.
