12
Ordnerberechtigung wie Briefkasten
Mein Chef möchte fürs ganze Haus einen Dateibriefkasten.
Guten Abend liebe Admins,
ich stehe vor einem Rätsel.
Mein Chef möchte fürs ganze Haus einen Dateibriefkasten.
=> Laufwerk X: Briefkasten
In diesem Laufwerk soll für jeden Nutzer ein Verzeichnis angelegt werden
=> Laufwerk X: Briefkasten
|
+-Benutzer1
+-Benutzer2
+-Benutzer3
\-Benutzer4
Jeder Benutzer soll in jedes Benutzerverzeichnis Daten legen können aber nur der Besitzer des Verzeichnises soll diese Daten sehen können.
Wie und mit welchen Ordnerberechtigungen könnte man diese Rätsel lösen?
Zur Verfügung steht Win Server 2008 R2
Würde mich freuen wenn jemand da mir helfen kann!
Gruß Christian
ich stehe vor einem Rätsel.
Mein Chef möchte fürs ganze Haus einen Dateibriefkasten.
=> Laufwerk X: Briefkasten
In diesem Laufwerk soll für jeden Nutzer ein Verzeichnis angelegt werden
=> Laufwerk X: Briefkasten
|
+-Benutzer1
+-Benutzer2
+-Benutzer3
\-Benutzer4
Jeder Benutzer soll in jedes Benutzerverzeichnis Daten legen können aber nur der Besitzer des Verzeichnises soll diese Daten sehen können.
Wie und mit welchen Ordnerberechtigungen könnte man diese Rätsel lösen?
Zur Verfügung steht Win Server 2008 R2
Würde mich freuen wenn jemand da mir helfen kann!
Gruß Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 197873
Url: https://administrator.de/contentid/197873
Printed on: April 25, 2024 at 07:04 o'clock
12 Comments
Latest comment
Moin,
kurze Frage, um wieviel Benutzer handelt es sich maximal? (Server ist ja da)
Gruß
24
kurze Frage, um wieviel Benutzer handelt es sich maximal? (Server ist ja da)
Gruß
24
Aktuell 90 neugierige User!
Ich habe auch schon an ein Skript gedacht was die Daten dann in einen nur für den Empfänger Berechtigten Ordner verschiebt aber wie gesagt hier gibts leider ein Nest voll neugierige Elstern für die schon nen Zeitraum von 5min zuviel ist um auf die Idee zu kommen bei anderen zu stöbern.
Katze anschaffen gegen die Elstern... Spaß beiseite
Was könnte man da machen?
Ich habe auch schon an ein Skript gedacht was die Daten dann in einen nur für den Empfänger Berechtigten Ordner verschiebt aber wie gesagt hier gibts leider ein Nest voll neugierige Elstern für die schon nen Zeitraum von 5min zuviel ist um auf die Idee zu kommen bei anderen zu stöbern.
Katze anschaffen gegen die Elstern... Spaß beiseite
Was könnte man da machen?
Hallo ChrisTall!
Es sollte doch eigentlich genügen, dem jeweiligen Benutzer auf seinen Ordner "Ändern"-Rechte und der Gruppe "Benutzer" nur das Recht "Schreiben" zu geben - soferne die Dateien, die in den Briefkasten "eingeworfen" werden, nicht verschoben, sondern kopiert werden ...
Für die Anlage von 90 derartigen Ordnern drängt sich natürlich ein Script auf ...
Grüße
bastla
Es sollte doch eigentlich genügen, dem jeweiligen Benutzer auf seinen Ordner "Ändern"-Rechte und der Gruppe "Benutzer" nur das Recht "Schreiben" zu geben - soferne die Dateien, die in den Briefkasten "eingeworfen" werden, nicht verschoben, sondern kopiert werden ...
Für die Anlage von 90 derartigen Ordnern drängt sich natürlich ein Script auf ...
Grüße
bastla
Moin
da hast du schon mal das grundsätzliche Problem, dass der Ersteller der Datei auch der Besitzer ist und somit immer Vollzugriff hat.
Um das aber schon mal ansatzweise in den Griff zu bekommen, kannst du erst einmal mit der Sicherheitsgruppe Ersteller-Besitzer arbeiten. Dieser Gruppe erlaubst du das Erstellen von Dateien in dem Ordner. Wenn der Ordner ansonsten kein Leserecht für andere Benutzer aufweist, dann hast du das Problem schon mal weitgehend gelöst, da dann nur noch der Ersteller und der Besitzer des Ordners Zugriff auf die Dateien haben.
Wenn du dann noch irgendwie per Script in gewissen Abständen die Besitzübernahme für alle Dateien im Ordner laufen lässt, dann sollte doch alles im grünen Bereich sein.
Gruß
Hubert
da hast du schon mal das grundsätzliche Problem, dass der Ersteller der Datei auch der Besitzer ist und somit immer Vollzugriff hat.
Um das aber schon mal ansatzweise in den Griff zu bekommen, kannst du erst einmal mit der Sicherheitsgruppe Ersteller-Besitzer arbeiten. Dieser Gruppe erlaubst du das Erstellen von Dateien in dem Ordner. Wenn der Ordner ansonsten kein Leserecht für andere Benutzer aufweist, dann hast du das Problem schon mal weitgehend gelöst, da dann nur noch der Ersteller und der Besitzer des Ordners Zugriff auf die Dateien haben.
Wenn du dann noch irgendwie per Script in gewissen Abständen die Besitzübernahme für alle Dateien im Ordner laufen lässt, dann sollte doch alles im grünen Bereich sein.
Gruß
Hubert
Moin,
naja, bei so vielen Leuten ein leicht bedenklicher Wunsch
aber egal
dann mußt Du eben einmal 90 Scripte bauen (Stichwort Robocopy - Move - ins Homeshare/Briefkasten) - die dann verschlüsseln (CMD zu Exe) mit nem berechtigten Account (und Passwort - deswegen verschlüsseln) - dann ein Procedere definieren - wo hinlegen, Script starten (hoffentlich das Richtige) und dann rummst das/die File(s) dort rein.
Schwachpunkte:
- falscher Versand ist nicht rückgängig zu machen (x - mal Lehmann inner Firma)
- keine Benachrichtigung über den Versand und den Empfang
- jeder neuer User muß ein neues Script bekommen
- die Einrichtung inkl. Test kostet Dich locker 3 ... 5 AT
Am besten, Du nimmst Deinen Chef als Tester, wenn der 90 Scripts sieht, kackt der eh ab und überdenkt seinen Wunsch....
Gruß
24
naja, bei so vielen Leuten ein leicht bedenklicher Wunsch
aber egal
dann mußt Du eben einmal 90 Scripte bauen (Stichwort Robocopy - Move - ins Homeshare/Briefkasten) - die dann verschlüsseln (CMD zu Exe) mit nem berechtigten Account (und Passwort - deswegen verschlüsseln) - dann ein Procedere definieren - wo hinlegen, Script starten (hoffentlich das Richtige) und dann rummst das/die File(s) dort rein.
Schwachpunkte:
- falscher Versand ist nicht rückgängig zu machen (x - mal Lehmann inner Firma)
- keine Benachrichtigung über den Versand und den Empfang
- jeder neuer User muß ein neues Script bekommen
- die Einrichtung inkl. Test kostet Dich locker 3 ... 5 AT
Am besten, Du nimmst Deinen Chef als Tester, wenn der 90 Scripts sieht, kackt der eh ab und überdenkt seinen Wunsch....
Gruß
24
Moin.
Haben wir umgesetzt. Kann Dir morgen das Skript geben.
Bei uns ist es sehr ähnlich: jeder darf bei anderen reinschreiben, jedoch nur den eigenen Ordner sowie das eigens Erstellte lesen und ändern.
Haben wir umgesetzt. Kann Dir morgen das Skript geben.
Bei uns ist es sehr ähnlich: jeder darf bei anderen reinschreiben, jedoch nur den eigenen Ordner sowie das eigens Erstellte lesen und ändern.
Zitat von @Hubert.N:
Moin
da hast du schon mal das grundsätzliche Problem, dass der Ersteller der Datei auch der Besitzer ist und somit immer
Vollzugriff hat.
Moin
da hast du schon mal das grundsätzliche Problem, dass der Ersteller der Datei auch der Besitzer ist und somit immer
Vollzugriff hat.
Hi!
Nicht wenn man die Vererbung bricht! Ist ja gängige Praxis und sollte auch per GPO gut regelbar sein.
Grüße!
Mayho
Zitat von @2hard4you:
verschlüsseln (CMD zu Exe) mit nem berechtigten Account (und Passwort - deswegen verschlüsseln)
Meine Wissens gibt es keinen CMD->Exe Converter, der nicht die original Batch einfach irgendwo auf dem ausführenden System (versteckt) entpackt und ausführt. Somit ist der Batch Code und damit das Passwort auch nicht geschützt. Gerne lasse ich mich aber eines Besseren belehren.verschlüsseln (CMD zu Exe) mit nem berechtigten Account (und Passwort - deswegen verschlüsseln)
Gruß
CPAU wäre da wohl die bessere Lösung. Aber mal ganz im Ernst: Wie lange läuft die Exe wirklich? Wohin wird sie denn entpackt unter welchem Namen (nicht unbedingt bat oder cmd. Kann auch nur tmp sein. Und davon gibt oft 1000e)
Wer soll sich so schnell durchackern eine irgendwo entpackte ??-Datei zu suchen. Unwahrscheinlich dass das ein größeres Sicherheitsproblem darstellt.
Grüße!
Wer soll sich so schnell durchackern eine irgendwo entpackte ??-Datei zu suchen. Unwahrscheinlich dass das ein größeres Sicherheitsproblem darstellt.
Grüße!
Zitat von @mayho33:
Wer soll sich so schnell durchackern eine irgendwo entpackte ??-Datei zu suchen. Unwahrscheinlich dass das ein größeres
Sicherheitsproblem darstellt.
Wer soll sich so schnell durchackern eine irgendwo entpackte ??-Datei zu suchen. Unwahrscheinlich dass das ein größeres
Sicherheitsproblem darstellt.
Genau das sehe ich etwas anders, im Besonderen wenn Passwörter vorgehalten werden. Es ist ein leichtes ein Filesystem zu überwachen und somit relativ schnell zu evaluieren wo diese temporäre Datei liegt/lag. Diese dann zu sichern und auszuwerten ist mit keinem Hindernis verbunden. Evtl. ist dies im vorliegenden Problem für den Fragesteller kein Problem, trotzdem gilt es grundlegend auf die Problematik hinzuweisen.
Gruß
Hallo ChrisTall,
also für mich hört sich das so an als wenn ein interner FTP Server das alles super erledigen könnte.
Also ich kann dann eine Datei erstellen und auch in das Verzeichnis von Mitarbeiter X uploaden,
aber eben nicht sehen was sich in dem Verzeichnis selber befindet und kann auch nichts mehr heraus nehmen.
Fertig.
Der Server ist ja schon vorhanden und neunzig Verzeichnisse lassen sich auch schnell "zu Fuß" erstellen,
dann noch die Berechtigungen setzten und ein Test und allen MA die Links geben zu ihren eigenen und den Verzeichnissen der anderen MA.
Ok, ist etwas aus der Mode gekommen und auch nicht mehr ganz zeitgemäß, aber einfach umzusetzen und es funktioniert auch.
Gruß
Dobby
also für mich hört sich das so an als wenn ein interner FTP Server das alles super erledigen könnte.
Also ich kann dann eine Datei erstellen und auch in das Verzeichnis von Mitarbeiter X uploaden,
aber eben nicht sehen was sich in dem Verzeichnis selber befindet und kann auch nichts mehr heraus nehmen.
Fertig.
Der Server ist ja schon vorhanden und neunzig Verzeichnisse lassen sich auch schnell "zu Fuß" erstellen,
dann noch die Berechtigungen setzten und ein Test und allen MA die Links geben zu ihren eigenen und den Verzeichnissen der anderen MA.
Ok, ist etwas aus der Mode gekommen und auch nicht mehr ganz zeitgemäß, aber einfach umzusetzen und es funktioniert auch.
Gruß
Dobby
So.
Hier das Skript, wie angekündigt:
Kannst Du natürlich dann per for-Loop gegen eine Textdatei mit allen Nutzern laufen lassen - im Nu steht das Ding.
Hier das Skript, wie angekündigt:
md \\server\briefkasten\Username
icacls \\server\briefkasten\Username /grant:r Netbiosdomainname\Username:(OI)(CI)(M)
icacls \\server\briefkasten\Username /grant:r *S-1-3-0:(OI)(CI)(IO)(M)
icacls \\server\briefkasten\Username /grant *S-1-5-32-544:(OI)(CI)(F)
icacls \\server\briefkasten\Username /grant *S-1-1-0:(OI)(CI)(W,RD)Kannst Du natürlich dann per for-Loop gegen eine Textdatei mit allen Nutzern laufen lassen - im Nu steht das Ding.
