Wie Ordnerberechtigung richtig setzen - im Kontext als Administrator

Mitglied: minimalwerk

minimalwerk (Level 1) - Jetzt verbinden

15.03.2016 um 17:09 Uhr, 1825 Aufrufe, 8 Kommentare

Hallo liebe Community,

irgendwie verstehe ich die Thematik Berechtigung nicht richtig.
ich habe auf einem Server 2012R2 einen Ordner freigegeben. Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen-Administratoren aufgeführt. Wenn ich mich an einem Client mit dem Administrator Konto anmelde dann kann ich ohne Probldeme mit Vollzugriff auf diesen Ordner zugreifen. Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde. Ich würde dann gerne nach Aufruf dieser Ressource eine Meldung bekommen wo ich meinen Benutzernamen und Passwort eingeben muss. Momentan erscheint dort nur folgende Meldung:

ohne titel - Klicke auf das Bild, um es zu vergrößern

Für Gedankenanstöße wäre ich dankbar :) face-smile

LG
Mitglied: emeriks
LÖSUNG 15.03.2016, aktualisiert um 17:14 Uhr
Hi,
im Domänen-Kontext geht das nicht. Wenn Client und Server in derselben oder in verschiedenen, miteinander vertrauten Domänen sind, dann erfolgt der Zugriff mit dem am Client angemeldeten Benutzer. Ist dieser berechtigt, dann ok. Wenn nicht, dann kommt "Zugriff verweigert".

Man kann sich aber z.B. mit "net use \\server\share /user:domäne\konto" explizit mit einem Benutzerkonto anmelden. Das geht aber pro Server nur einmal und muss erfolgen, bevor man auf das Share zugreift, also z.B. mit dem Explorer. Man kann beim Servernamen tricksen, indem man mit Aliasen arbeitet. FQDN, NetBIOS-Name, IP-Adresse, andere Aliase. Für andere Aliase muss aber der Server vorbereitet sein. (DisableStrictNameChecking)

E.
Bitte warten ..
Mitglied: pelzfrucht
15.03.2016, aktualisiert um 20:16 Uhr
Hi,

Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen-Administratoren aufgeführt.

Das kann nicht funktionieren. Generell müssen die Freigabe Berechtigungen immer identisch mit den Dateisystem Berechtigungen sein.
Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.

Viele Grüße
pelzfrucht

[Off Topic]

ein kleiner Tipp der bei mir mal zu dem gleichen Problem geführt hat:

Kontrollier mal im Server Manager > Datei -/ Speicherdienste > Freigaben > Rechtsklick _ Eigenschaften > Einstellungen

ob da nicht der Haken bei "Datenzugriff verschlüsseln" gesetzt ist.

unbenannt - Klicke auf das Bild, um es zu vergrößern

Muss nicht, kann aber schonmal zu Problemen führen.
Hatte damals das Gleiche Problem (Vollzugriff > Jeder, aber keiner konnte drauf). Nach 2-3 Tagen suchen bin ich dann auf die Funktion gestoßen.

Ich glaube die wird erst ab 8.1 und aufwärts unterstützt (bin mir nicht sicher). Unter Windows 7 hat es auf alle Fälle nicht funktioniert. Ich könnte mir vorstellen dass es unter 8.0 ebenfalls Probleme gibt.

Und selbst wenn, ein Versuch ist es wert, es abzuschalten sofern es an ist.

Viele Grüße
pelzfrucht
Bitte warten ..
Mitglied: emeriks
15.03.2016 um 22:33 Uhr
Generell müssen die Freigabe Berechtigungen immer identisch mit den Dateisystem Berechtigungen sein.
Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.
Sorry, aber das ist Unsinn.
Bitte warten ..
Mitglied: pelzfrucht
16.03.2016, aktualisiert um 00:27 Uhr
Zitat von @emeriks:

Generell müssen die Freigabe Berechtigungen immer identisch mit den Dateisystem Berechtigungen sein.
Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.
Sorry, aber das ist Unsinn.

Kann sein, lasse mich immer gerne eines besseren Belehren :-) face-smile

Aber auf Anhieb würde mir nicht einfallen warum die Freigabe Berechtigungen ungleich den Dateisystem Berechtigungen des Freigabe Ordner sein sollten? Höchstens dass jemand (ein Benutzer) lokal auf einen Ordner zugreifen darf, über das Netzwerk aber nicht.

Gut, dass es generell keinen Grund gibt Freigabe != Dateisystem Berechtigungen zu setzen, ist Schwachsinn.

Aber im Grunde genommen hat der TO ein Problem:

Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen,
Administratoren aufgeführt. Wenn ich mich an einem Client mit dem Administrator Konto anmelde dann kann ich ohne Probldeme mit Vollzugriff > auf diesen Ordner zugreifen. Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde.

Und das Problem ist einfach gelöst.

1) Auf die Freigabe mag zwar jeder zugreifen dürfen, auf die tatsächlichen Daten allerdings nur die Domänen Administratoren.

Administrator? = Freigabe erlaubt = Dateisystem erlaubt
Benutzer? = Freigabe erlaubt = Dateisystem verboten

Für Gedankenanstöße wäre ich dankbar
Und sein gewünschter Denkanstoß wäre:

Die normalen Benutzer auch in den Dateisystemberechtigungen Erlaubnis erteilen (ggf. vorher in eine Gruppe packen)
Begründung bei 1)

Viele Grüße
pelzfrucht
Bitte warten ..
Mitglied: departure69
LÖSUNG 16.03.2016 um 10:31 Uhr
@minimalwerk:

Hallo.

Ob man Rechte an beiden Stellen regelt, also unter den Shareberechtigungen und unter NTFS, ist erstmal Geschmackssache. Bei mir sind die Shares komplett offen, dafür sind die Rechte unter NTFS sehr genau und granular geregelt, und das nach dem AGP-Prinzip über Gruppen, was immer zu empfehlen ist. Erst dann, wenn Features wie Access Based Enumeration (kann sehr nützlich sein) hinzukommen, muß ich meine Methode, daß das Share immer komplett offen ist (Jeder Vollzugriff), mal überdenken, dann geht das nicht mehr.

In diesem Artikel wird dies alles sehr genau, aber auch verständlich erklärt. Führ' Dir das mal ausgiebig zu Gemüte, es lohnt sich, besser kann man's nicht erklären:

http://www.migraven.com/hilfe/service/best-practice-berechtigungsvergab ...

In jedem Fall kommst Du nicht umhin, unter NTFS genaue Rechte zu vergeben, idealerweise über entsprechende AD-Gruppen (wenn Du hier stattdessen einzelne User berechtigst, wirst Du irgendwann, früher oder später, fürchterlich fluchen und Dich ärgern, daß Du nicht gleich Gruppen gebildet und diese berechtigt hast).


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: departure69
16.03.2016 um 10:37 Uhr
@pelzfrucht:

@emeriks meinte mit "Unsinn" 2 Dinge:

1. Die Share-Berechtigungen können rechtemäßig gar nicht abbilden, was NTFS abbilden kann (oder wie verhinderst Du bspw. nur unter dem Share das Ausführen-Recht?)

2. Es macht doppelte Arbeit, die beiden gleich (oder so ähnlich wie möglich, sh. 1.) zu gestalten (deshalb bei mir, wie ich an @minimalwerk schon schrieb, im Share alles offen, und genaue Regelungen werden nur unter NTFS getroffen)



Viele Grüße

von

departure69
Bitte warten ..
Mitglied: minimalwerk
16.03.2016 um 15:42 Uhr
Danke für die nette Hilfe und die Verlinkung zu Hilfethemen!
Also habe ich ja von Grunde her schon alles richtig gemacht. Das was ich erzielen wollte geht halt so nicht. Fertig :) face-smile

LG
Bitte warten ..
Mitglied: pelzfrucht
16.03.2016 um 20:08 Uhr
@departure69

Danke für die Erläuterung.

Blöder Fehler. Hab Freigabe und Dateisystem Berechtigungen gleich gesetzt.
Hast natürlich Recht.

Allerdings habe ich den Satz vom TO
Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde.
anders interpretiert.
Ich hab die Frage nämlich so verstanden dass er sich wundert dass die Anmeldung mit einem Benutzerkonto nicht klappt.
Nicht so dass das erwünscht ist, und er sich als ein anderer Benutzer anmelden möchte.

Die Antwort wäre gewesen:

Dazu muss der normale Benutzer aber auch die entsprechenden Berechtigungen haben.
Immernoch gilt:

Eingeschränkter Benutzer = Freigabe Ja = Daten Nein.
Administrator = Freigabe Ja = Daten Ja

Wenn du dem User keine Berechtigung dafür im Dateisystem erteilst, wird ihm der Zugriff standardmäßig verweigert.

Erlaubnis geht vor keinen Eintrag, aber Verweigerung zu erst.

Sein Problem war aber wohl

Dein zweites Problem ist, dass Windows sich mit seinen eigenen Anmeldedaten versucht an der Freigabe anzumelden (was nicht klappt da ihm die Berechtigungen fehlen).

Die Lösung wäre die von @emeriks genannte:
Man kann sich aber z.B. mit "net use \\server\share /user:domäne\konto" explizit mit einem Benutzerkonto anmelden.

Also einfach falsch interpretiert.

Schönen Abend, Viele Grüße
pelzfrucht
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 22 StundenFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

Soziale Netzwerke
Anzahl Postings auslesen
gelöst r2d2r3poVor 1 TagFrageSoziale Netzwerke13 Kommentare

Hallo, habe seit 2014 eine Fanpage und wir posten jeden Tag. Kennt jemand einen Weg wie man die Anzahl der Postings seit 2014 auslesen ...

Windows 10
Lizenzfrage WDS mit Windows 10 OEM und E3 für Enterprise
noodellsVor 1 TagFrageWindows 107 Kommentare

Hallo Zusammen, ich habe mal eine generelle Lizenzfrage zum Thema WDS. Ich möchte mehrere PCs installieren, die schon vom Hersteller eine funktionierende Windows 10 ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 17 StundenFrageVideo & Streaming10 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Hardware
COM-Ports verstellen sich immer wieder
gelöst hanheikVor 1 TagFrageHardware6 Kommentare

Hallo, an 3 neuen Windows 10-Rechnern sind Strichcode-Scanner (mit RS232-Schnittstelle) per USB-Com-Adapter angeschlossen. Die anzusprechende Schnittstelle COMx ist jeweils in der Kassensoftware hinterlegt. Leider ...