pate661
Goto Top

Ordnerberechtigungen SBS2008

Hallo liebe Community.

Ich bin neu was das Konfigurieren von Orderberechtigungen angeht und benötige bei folgendem Szenario eure Hilfe:

SBS 2008
8 Windows 7 Prof. Clients


Auf dem SBS gibt es einen Ordner (Firmenname) in dem alle Projekte (01,02,03,04,05,06....) angelegt sind. In diesen Projektordnern gibt es wiederum Unterordner ( Schriftverkehr, Zahlungen, ...)
Die Geschäftsleitung (zwei Personen) haben Vollzugriff auf alle Ordner und Unterordner. Nun gibt es Projektplaner, die Zugriff auf einige in den Unterordner liegenden Ordner haben sollen. Bsp.:

Projektsteuerer 1:

Zugriff auf /Firmenname/Projekte01/Projektplanung/Steuerung/

Projektsteuerer 2:

Zugriff auf /Firmenname/Projekte06/Projektplanung/Zeitplanung/

Auf alle anderen Order dürfen diese Projektsteuerer nicht zugreifen.


Die Buchhaltung darf auf diese Ordner wiederum nicht zugreifen sondern nur auf:


/Firmenname/Projekte01-99/Projektplanung/Zahlungen/


Wie genau realisiere ich das am Besten? Muss ich da bei jedem Ordner (da kommt in der Summe schon so einiges Zusammen!) die Freigabe einzeln setzen?

Über jede Idee oder jeden Vorschlag bin ich sehr dankbar!


Liebe Grüße,

Pate661

Content-ID: 181220

Url: https://administrator.de/forum/ordnerberechtigungen-sbs2008-181220.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

emeriks
emeriks 29.02.2012 um 09:21:14 Uhr
Goto Top
Möglichkeit 1
Du gibtst wirklich nur Rechte auf die betreffenden Ordner. Die Freigabe mit "Jeder Vollzugriff" und im NTFS die Rechte, wie benötigt. Der User bekommt einen Link (z.B. auf dem Desktop) mit dem vollständigen UNC-Pfad zu diesem Orden, also z.B. \\server\Firmenname\Projekte\06\Projektplanung\Zeitplanung.

Das ist natürlich umständlich, weil es dann für jedes Projekt einen Lnk geben muss.

Möglichkeit 2
Zusätzlich zu dem unter M1 genannten gibst Du den Benutzern auf der Wurzel (also "Firmenname") nur das Ordnerinhalt-anzeigen-Recht (filescan allowed). Damit kann ein Benutzer alles browsen, also alle Ordner aufklappen und sieht alle Dateien, kann aber keine der Dateien lesen/schreiben. Erst in den Unterordnern, wo Du explizit wieder höhere Rechte vergeben hast, kann der Benutzer dann wieder was machen.

Und natürlich: Verwende Gruppen!
Pate661
Pate661 29.02.2012 um 10:11:05 Uhr
Goto Top
Hallo Emeriks,

vielen Dank für die schnelle Antwort! Wo finde ich den die Freigabemöglichkeit "filescan allowed"? Wie gesagt bin hier überhaupt nicht zu Hause.. =)

Danke für deine Hilfe!
keine-ahnung
keine-ahnung 29.02.2012 um 12:02:06 Uhr
Goto Top
Hi,

wie emeriks schon sagt, bilde in der AD entsprechende Gruppen, und verteile die Rechte priorisierend zunächst über die Gruppen bis hin zu den Usern. Eine entsprechend organisierte Ordnerstruktur hilft dabei enorm. Aber: wenn Du Dich hier nicht wirklich sicher fühlst und es sich um vertrauliche Daten handelt, hol Dir Hilfe vor Ort. Rechte können sichnach unten "vererben", wenn man da Fehleinstellungen trifft, trifft Dich wiederum der Blitz ...

LG, Thomas
Benefix
Benefix 29.02.2012 um 13:27:41 Uhr
Goto Top
Hallo Pate,

darf ich Dich mal was generelles fragen? Weshalb sollst Du das machen wenn Du keinerlei erfahrung damit hast?


Grüße,

Benedikt
emeriks
emeriks 29.02.2012 um 14:04:23 Uhr
Goto Top
Na ja, Benfix hat zwar vollkommen recht, aber wofür sonst gibt es dieses Forum ... face-wink

An die NTFS Berechtigungen eines Ordners kommst Du über dessen Eigenschaften, dann Reiter "Sicherheit". Wenn Du da die betreffende Gruppe (oder auch Benutzer, aber Gruppe besser!), dann bekommt die Standardmäßig Leserechte. Wenn Du nun unten im Dialog alles weg nimmst bis auf "Ordnerinhalt anzeigen", dann hast Du's.

Schau mal unter http://technet.microsoft.com/de-de/library/cc770749(v=ws.10).aspx. Da ist eigentlich alles erklärt.

Tip:
Neuen Odner erstellen, besser sogar ne neue Freigabe unabhängig von Euren Datenstrukturen. Und daran dann testen, über, spielen. Learning by doing.
Pate661
Pate661 01.03.2012 um 09:40:58 Uhr
Goto Top
Hallo ihr Lieben!

Zunächst vielen Dank für die vielen Tips. An sich würde ich mich mit sowas nie auseinandersetzen, aber da unser Admin für 4 Wochen in Australien ist und ich der Einzige bin, der sich einigermaßen mit unserem Server auskennt, soll ich mich lt. Geschäftsleitung da jetzt dran setzen. Aufgrund einer internen Veränderung sind wir kurzfristig auf die Umstellung gebunden.

Ich habe mir jetzt zunächst auf einem Laptop einen Test-User angelegt. Der durchwandert jetzt nach und nach rechtemäßig meine eingerichteten Gruppen. So teste ich erstmal ob das mit den Orderberechtigungen so klappt. Die von euch erwähnten Vererbungen der Orderrechte machen mir hier die größte Sorge. Daher werde ich um das Testen jeder einzelnen Benutzergruppe wohl nicht herum kommen. Da dies jedoch der -so denke ich zumindest- sicherste Weg ist, die Daten nur den Personen zugänglich zu machen, für die sie auch bestimmt sind.

Ich melde mich nochmal wenn ich damit durch bin und danke euch schonmal vorab für eure Unterstützung.

Liebe Grüße,

Pate661
Pate661
Pate661 01.03.2012 um 10:45:59 Uhr
Goto Top
So, und schon stehe ich vor den ersten Rätsel! =)

Ich habe jetzt den Order "Firmennamen" im Netzwerk freigegeben, damit ihn jeder Benutzer sehen kann. Die Geschäftsleitung hat über die erweiterte Orderfreigabe unter Berechtigungen Vollzugriff auf den Order und somit ja auch auf alle Unterordner bekommen. Die Gruppe Mitarbeiter hat dort keinen Eintrag. Wenn ich nun versuche von meinem Testuser der Gruppe Mitarbeiter auf den Ordner /Firmenname/ zuzugreifen, bekomme ich keinen Zugriff. Über den Reiter Sicherheit habe ich der Gruppe Benutzer den Haken bei "Ordnerinhalt anzeigen" auf Zulassen gesetzt. Trotzdem komme ich mit dem Testuser der Gruppe nicht auf den Ordner. Wo liegt hier der Fehler?

Besten Dank für eure Geduld!
keine-ahnung
keine-ahnung 01.03.2012 um 11:50:49 Uhr
Goto Top
Hi,

warum macht Euer dmin das nicht aus der Ferne(n) australischen Steppe face-wink ?

Wenn Du den Ordner nicht für die Gruppe freigibst, können die Mitglieder diesen Ordner im Netz nicht "sehen" ...

Die Zugriffsoptionen für die Freigabe stellst Du dann in den Sicherheitseinstellungen ein.

LG, Thomas
Pate661
Pate661 01.03.2012 um 11:57:43 Uhr
Goto Top
Hallo Thomas,

danke für deine Antwort. Soweit habe ich das übernommen. Die Mitarbeiter Gruppe hat jetzt also in der Ordnerfreigabe die Berechtigung zu lesen. Zusätzlich in dem Register Sicherheit die Berechtigung nur auf Ordnerinhalte anzeigen. Wenn ich bei lesen den Haken auf nicht zulassen setzen will springt mir der Haken von Ordnerinhalte anzeigen weg. Wenn ich nur den Haken auf Ordnerinhalte anzeigen zulassen stehen lasse und alle anderen Haken nicht setze, kann der Mitarbeiter alle Dateien öffnen!

Wie bekomme ich das denn hin, dass er die Dateien dann nicht öffnen kann??
keine-ahnung
keine-ahnung 01.03.2012 um 12:13:23 Uhr
Goto Top
Indem Du jetzt Unterordner bildest und die Rechte dort für die nicht Zugriffsberechtigten entziehst.

LG, Thomas
emeriks
emeriks 01.03.2012 um 12:24:25 Uhr
Goto Top
*grusel*

Stamm-Testordner erstellen
Ordner freigeben
Freigabeberechtigung "Jeder Vollzugriff" - sonst nichts!
Ordnerberechtigungen des Stammordners bearbeiten
- hinzufügen: SYSTEM Vollzugriff
- hinzufügen: Administratoren Vollzugriff (die lokalen Administratoren, nicht die Domänen-Admins)
- Rechtevererbung deaktivieren --> nicht "kopieren" sondern "entfernen"
- Gruppe der GF Änder-Rechte --> Vollzugriff für Nicht-Administratoren nur im Notfall
- Gruppe Benutzer nur Ordnerinhalt-anzeigen

jetzt können alle auf die Freigabe zugreifen
die GF kann alles machen
die restlichen Benutzer können nur browsen, aber keine Dokumente öffnen

wenn jetzt Unterordner sind, in welchen bestimmte Mitarbeiter doch Lesen oder auch Schreiben brauchen, dann an diesem Ordner der betreffenden Gruppe die entsprechenden Rechte geben. ab hier wird wieder nach unten vererbt.
Pate661
Pate661 01.03.2012 um 12:30:12 Uhr
Goto Top
Hallo Emeriks,

danke für deine ausführliche Beschreibung. So hats geklappt vielen Dank!

Ich habe zunächst nochmal alle Berechtigungen und Freigaben entfernt und dann von "Oben" angefangen die Berechtigungen zu setzen. Jetzt klappt es mit meinem Testuser.

Danke nochmal für die nette und "Kindgerechte" aber ausführliche Beschreibung! Daumen HOOOOOOOOOOOOCH!