kugelschreiber
Goto Top

Ordnerfreigabeverständnis

Wahrscheinlich nur ein Denkfehler..

Ich habe hier in meiner kleinen GaraGe ein kleines TestLab mit Windows Server 2003 mit AD und zwei Client PCs in drei virtuellen Maschinen in VMWare Workstation.
Also ich habe eine Gruppe A, eine Gruppe B und eine Administratoren.
Zu dem kommt ein Ordner den ich als "gemeinsam" freigeben möchte.

Grundsätzlich darf jeder dort drin einen Ornder/Dateien erstellen.

Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben.
Benutzer der Gruppe B dürfen alles mit den Dateien/Ordnern von Gruppe A machen.
Benutzer der Gruppe B dürfen nur Ihre eignen Dateien/Ordner löschen aber nicht andere Dateien/Ordner innerhalb der Gruppe B löschen.
Und schließlich die Administratoren mit Vollzugriff auf das gesamte Laufwerk.

Ist so etwas realisierbar?

Ich habe ein Verständnisproblem auszuwählen:

Im Bild 1 gebe ich erst einmal Vollzugriff für alle Domänen-Benutzer, die ich dann im Reiter Sicherheit dank Attis Anleitung wieder entziehe. Danke Atti!

a35f1140cef295da4589ac60656ec6d2-1
Bild1

Aber schon im Bild 2 habe ich eine Auswahl Lesen und Lesen/Ausführen. Wo ist der Unterschied? Der Eintrag Ordner auflisten ist mir genau so schleierhaft. Heißt das wenn ich das Recht Lesen habe und dann dort Ordner enthalten sind, dass ich diese nicht sehe? Heißt Schreiben auch Löschen?
af1382c3997adae7d62cb330e5335ada-2
Bild 2

Dann wird es aber im Bild 3 noch komplizierter, als ich die Liste sah und zum Beispiel "Dateien anhängen" las. Wo kann ich denn Dateien in einem Verzeichnis anhängen?
Ich dachte, dass ist ausschließlich bei Emails möglich.
669a3625975f3f5132274e3a92f86573-3
Bild 3

In diesem ganzen HickHack traue ich mir ja schon gar nicht mehr ein Haken zu setzen.
Wenn mir da mal bei meinen Gruppen A und B helfen könnte? Denn die Administratoren konnte ich ja schon alleine setzen. face-smile Müssen Sonst noch Gruppen hinzugefügt werden? Hier ist oft die Rede von der Ersteller-Besitzer Gruppe, SYSTEM doch wenn ich ein Objekt erstelle, bin ich doch automatisch Ersteler-Besitzer oder und was hat das System darauf zu suchen?

Für Eure Hilfe wäre ich dankbar.

Gruß Kuli

Content-ID: 129184

Url: https://administrator.de/forum/ordnerfreigabeverstaendnis-129184.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

laggflor
laggflor 11.11.2009 um 23:47:09 Uhr
Goto Top
Hi,

Viel findest du hier:
http://www.meierb.info/wikka/Berechtigungen2
in den zwei Kästen Verzeichnisberechtigungen und Dateiberechtigungen.

"Daten anhängen" kenn ich nicht. Evtl. betrifft das ein selten genutztes Feature von NTFS, das Anhängen von "Alternativen NTFS Datenströmen" an Dateien. Müsste man testen.

Wg. "Ersteller/Besitzer":
das wirst du benötigen für deinen Wunsch ganz am Anfang der Nachricht.
"Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben."

Mehr Gruppen als du benötigst brauchst du selbstverständlich nicht anlegen.

Am besten lernt man durch experimentieren. Wenn du dich selbst aussperrst kannst du immer wieder den Besitz übernehmen. Somit nicht ganz tragisch. Halte das ganze immer so simpel als möglich.

Wenn noch was offen ist, frag nochmal.

LG
Florian Lagg http://www.lagg.at/
dog
dog 12.11.2009 um 05:50:08 Uhr
Goto Top
Irgendwie kommen solche Fragen immer zusammen: Freigabe und Sicherheit von Ordnern

Aber auch für dich nochmal: Bei den Freigabeeinstellungen ist der einzige Eintrag den es geben darf "Jeder" mit Lesen und Ändern.
Niemals darf dort Vollzugriff eingetragen werden!

Auswahl Lesen und Lesen/Ausführen. Wo ist der Unterschied? Der Eintrag Ordner auflisten ist mir genau so schleierhaft.

Lesen bezieht sich ausschließlich auf Dateien.
Ausführen ist eine zusätzliche Berechtigung, die es erlaubt Dateien auszuführen (Na sowas).
Damit sollte auch geklärt sein, was es mit Ordnerinhalte auflisten auf sich hat.
Und: Nein, "Schreiben" bedeutet nicht löschen, es bedeutet bestenfalls "Datei leeren".

Wo kann ich denn Dateien in einem Verzeichnis anhängen?

Garnicht. Gemeint ist damit lediglich nur, dass du nur an das Ende einer Datei schreiben darfst.
Sowas ist z.B. für Logdateien relevant.

bin ich doch automatisch Ersteler-Besitzer oder

ERSTELLER-BESITZER ist eine besondere ACL, die beim Erstellen einer Datei auf den realen Nutzer kopiert wird.
Relevant ist das für:
Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben.

Grüße

Max
kugelschreiber
kugelschreiber 12.11.2009 um 08:28:25 Uhr
Goto Top
Hallo Ihr Beiden.

Danke für die Antworten. Ich werde mir Eure Ratschläge zu Herzen nehemn. Und wahrscheinlich dies durch Testen selbst herausfinden müssen.
Ihr habt mir aber einen Schritt weiter geholfen.

Gruß Kuli
kugelschreiber
kugelschreiber 12.11.2009 um 20:13:45 Uhr
Goto Top
Ich nochmal.

Also hinbekommen habe ich:

- GRUPPE A darf nun alles lesen
- GRUPPE A darf Dateien und Ordner erstellen und diese (also nur die eigenen auch wieder löschen)
- GRUPPE A darf also keine fremden Ordner und Dateien löschen
- GRUPPE B darf Dateien und Ordner ertsellen, diese auch wieder löschen
- GRUPPE B darf auch die Ordner und Dateien von GRUPPE A löschen

Allerdings darf
- GRUPPE B auch die Ordner und Dateien von GRUPPE B löschen

Nach weiterem Nachdenken ist mir aufgefallen, dass der letzte Schritt gar nicht geht, richtig?
Denn dann müßte ich der Gruppe ebenfalls des Löschens der Ordner und Dateien "verweigern" (nicht zuordnen), was somit den Status der GRUPPE A bedeuten würde.

Wenn ich mich täusche, bitte noch mal melden.

Folgende Einstellungen habe ich vorgenommen (Häkchen bei Zulassen gesetzt):
Da ich keine Screenshots hier mehr einfügen konnte (kann man wohl nur im Eröffnungsplädoyer) habe ich es als Text eingefügt.
Alle Einträge sind vorgenommen wurden unter:
Sicherheit -> Erweiterte Sicherheitseinstellungen -> Berechtigungseintrag

GRUPPE A:
- Ordner durchsuchen/Datei ausführen
- Ordner auflisten/Datei lesen
- Dateien erstellen / Dateien schreiben
- Ordner erstellen / Dateien anhängen

GRUPPE B
Wie GRUPPE A jedoch noch zusätzlich die Einträge
- Unterordner und Dateien löschen
- löschen

Ersteller/Besitzer
Wie GRUPPE B

GRUPPE C und Administratoren
- Vollzugriff

Dank Euch.
laggflor
laggflor 12.11.2009 um 22:54:40 Uhr
Goto Top
Allerdings darf
- GRUPPE B auch die Ordner und Dateien von GRUPPE B löschen

Was willst du denn damit erreichen...
Außerdem - du sagst ja mit Berechtigungen
GRUPPE B darf / darf nicht RECHT in Ordner X.

Nicht:
GRUPPE B darf / darf nicht RECHT mit Dateien des Benutzers/der Gruppe Y.

Also, nein so geht das IMHO nicht.
Denke auch kaum, dass das Sinn macht.

GLG Flo.
kugelschreiber
kugelschreiber 13.11.2009 um 08:14:28 Uhr
Goto Top
Mein Satz: Nach weiterem Nachdenken ist mir aufgefallen, dass der letzte Schritt gar nicht geht, richtig?

Und Du hast mir dies nur noch mal bestätigt.

Vielen Dank.