Ordnerfreigabeverständnis
Wahrscheinlich nur ein Denkfehler..
Ich habe hier in meiner kleinen GaraGe ein kleines TestLab mit Windows Server 2003 mit AD und zwei Client PCs in drei virtuellen Maschinen in VMWare Workstation.
Also ich habe eine Gruppe A, eine Gruppe B und eine Administratoren.
Zu dem kommt ein Ordner den ich als "gemeinsam" freigeben möchte.
Grundsätzlich darf jeder dort drin einen Ornder/Dateien erstellen.
Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben.
Benutzer der Gruppe B dürfen alles mit den Dateien/Ordnern von Gruppe A machen.
Benutzer der Gruppe B dürfen nur Ihre eignen Dateien/Ordner löschen aber nicht andere Dateien/Ordner innerhalb der Gruppe B löschen.
Und schließlich die Administratoren mit Vollzugriff auf das gesamte Laufwerk.
Ist so etwas realisierbar?
Ich habe ein Verständnisproblem auszuwählen:
Im Bild 1 gebe ich erst einmal Vollzugriff für alle Domänen-Benutzer, die ich dann im Reiter Sicherheit dank Attis Anleitung wieder entziehe. Danke Atti!
Bild1
Aber schon im Bild 2 habe ich eine Auswahl Lesen und Lesen/Ausführen. Wo ist der Unterschied? Der Eintrag Ordner auflisten ist mir genau so schleierhaft. Heißt das wenn ich das Recht Lesen habe und dann dort Ordner enthalten sind, dass ich diese nicht sehe? Heißt Schreiben auch Löschen?
Bild 2
Dann wird es aber im Bild 3 noch komplizierter, als ich die Liste sah und zum Beispiel "Dateien anhängen" las. Wo kann ich denn Dateien in einem Verzeichnis anhängen?
Ich dachte, dass ist ausschließlich bei Emails möglich.
Bild 3
In diesem ganzen HickHack traue ich mir ja schon gar nicht mehr ein Haken zu setzen.
Wenn mir da mal bei meinen Gruppen A und B helfen könnte? Denn die Administratoren konnte ich ja schon alleine setzen. Müssen Sonst noch Gruppen hinzugefügt werden? Hier ist oft die Rede von der Ersteller-Besitzer Gruppe, SYSTEM doch wenn ich ein Objekt erstelle, bin ich doch automatisch Ersteler-Besitzer oder und was hat das System darauf zu suchen?
Für Eure Hilfe wäre ich dankbar.
Gruß Kuli
Ich habe hier in meiner kleinen GaraGe ein kleines TestLab mit Windows Server 2003 mit AD und zwei Client PCs in drei virtuellen Maschinen in VMWare Workstation.
Also ich habe eine Gruppe A, eine Gruppe B und eine Administratoren.
Zu dem kommt ein Ordner den ich als "gemeinsam" freigeben möchte.
Grundsätzlich darf jeder dort drin einen Ornder/Dateien erstellen.
Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben.
Benutzer der Gruppe B dürfen alles mit den Dateien/Ordnern von Gruppe A machen.
Benutzer der Gruppe B dürfen nur Ihre eignen Dateien/Ordner löschen aber nicht andere Dateien/Ordner innerhalb der Gruppe B löschen.
Und schließlich die Administratoren mit Vollzugriff auf das gesamte Laufwerk.
Ist so etwas realisierbar?
Ich habe ein Verständnisproblem auszuwählen:
Im Bild 1 gebe ich erst einmal Vollzugriff für alle Domänen-Benutzer, die ich dann im Reiter Sicherheit dank Attis Anleitung wieder entziehe. Danke Atti!
Bild1
Aber schon im Bild 2 habe ich eine Auswahl Lesen und Lesen/Ausführen. Wo ist der Unterschied? Der Eintrag Ordner auflisten ist mir genau so schleierhaft. Heißt das wenn ich das Recht Lesen habe und dann dort Ordner enthalten sind, dass ich diese nicht sehe? Heißt Schreiben auch Löschen?
Bild 2
Dann wird es aber im Bild 3 noch komplizierter, als ich die Liste sah und zum Beispiel "Dateien anhängen" las. Wo kann ich denn Dateien in einem Verzeichnis anhängen?
Ich dachte, dass ist ausschließlich bei Emails möglich.
Bild 3
In diesem ganzen HickHack traue ich mir ja schon gar nicht mehr ein Haken zu setzen.
Wenn mir da mal bei meinen Gruppen A und B helfen könnte? Denn die Administratoren konnte ich ja schon alleine setzen. Müssen Sonst noch Gruppen hinzugefügt werden? Hier ist oft die Rede von der Ersteller-Besitzer Gruppe, SYSTEM doch wenn ich ein Objekt erstelle, bin ich doch automatisch Ersteler-Besitzer oder und was hat das System darauf zu suchen?
Für Eure Hilfe wäre ich dankbar.
Gruß Kuli
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 129184
Url: https://administrator.de/contentid/129184
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
Viel findest du hier:
http://www.meierb.info/wikka/Berechtigungen2
in den zwei Kästen Verzeichnisberechtigungen und Dateiberechtigungen.
"Daten anhängen" kenn ich nicht. Evtl. betrifft das ein selten genutztes Feature von NTFS, das Anhängen von "Alternativen NTFS Datenströmen" an Dateien. Müsste man testen.
Wg. "Ersteller/Besitzer":
das wirst du benötigen für deinen Wunsch ganz am Anfang der Nachricht.
"Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben."
Mehr Gruppen als du benötigst brauchst du selbstverständlich nicht anlegen.
Am besten lernt man durch experimentieren. Wenn du dich selbst aussperrst kannst du immer wieder den Besitz übernehmen. Somit nicht ganz tragisch. Halte das ganze immer so simpel als möglich.
Wenn noch was offen ist, frag nochmal.
LG
Florian Lagg http://www.lagg.at/
Viel findest du hier:
http://www.meierb.info/wikka/Berechtigungen2
in den zwei Kästen Verzeichnisberechtigungen und Dateiberechtigungen.
"Daten anhängen" kenn ich nicht. Evtl. betrifft das ein selten genutztes Feature von NTFS, das Anhängen von "Alternativen NTFS Datenströmen" an Dateien. Müsste man testen.
Wg. "Ersteller/Besitzer":
das wirst du benötigen für deinen Wunsch ganz am Anfang der Nachricht.
"Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben."
Mehr Gruppen als du benötigst brauchst du selbstverständlich nicht anlegen.
Am besten lernt man durch experimentieren. Wenn du dich selbst aussperrst kannst du immer wieder den Besitz übernehmen. Somit nicht ganz tragisch. Halte das ganze immer so simpel als möglich.
Wenn noch was offen ist, frag nochmal.
LG
Florian Lagg http://www.lagg.at/
Irgendwie kommen solche Fragen immer zusammen: Freigabe und Sicherheit von Ordnern
Aber auch für dich nochmal: Bei den Freigabeeinstellungen ist der einzige Eintrag den es geben darf "Jeder" mit Lesen und Ändern.
Niemals darf dort Vollzugriff eingetragen werden!
Lesen bezieht sich ausschließlich auf Dateien.
Ausführen ist eine zusätzliche Berechtigung, die es erlaubt Dateien auszuführen (Na sowas).
Damit sollte auch geklärt sein, was es mit Ordnerinhalte auflisten auf sich hat.
Und: Nein, "Schreiben" bedeutet nicht löschen, es bedeutet bestenfalls "Datei leeren".
Garnicht. Gemeint ist damit lediglich nur, dass du nur an das Ende einer Datei schreiben darfst.
Sowas ist z.B. für Logdateien relevant.
ERSTELLER-BESITZER ist eine besondere ACL, die beim Erstellen einer Datei auf den realen Nutzer kopiert wird.
Relevant ist das für:
Grüße
Max
Aber auch für dich nochmal: Bei den Freigabeeinstellungen ist der einzige Eintrag den es geben darf "Jeder" mit Lesen und Ändern.
Niemals darf dort Vollzugriff eingetragen werden!
Auswahl Lesen und Lesen/Ausführen. Wo ist der Unterschied? Der Eintrag Ordner auflisten ist mir genau so schleierhaft.
Lesen bezieht sich ausschließlich auf Dateien.
Ausführen ist eine zusätzliche Berechtigung, die es erlaubt Dateien auszuführen (Na sowas).
Damit sollte auch geklärt sein, was es mit Ordnerinhalte auflisten auf sich hat.
Und: Nein, "Schreiben" bedeutet nicht löschen, es bedeutet bestenfalls "Datei leeren".
Wo kann ich denn Dateien in einem Verzeichnis anhängen?
Garnicht. Gemeint ist damit lediglich nur, dass du nur an das Ende einer Datei schreiben darfst.
Sowas ist z.B. für Logdateien relevant.
bin ich doch automatisch Ersteler-Besitzer oder
ERSTELLER-BESITZER ist eine besondere ACL, die beim Erstellen einer Datei auf den realen Nutzer kopiert wird.
Relevant ist das für:
Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben.
Grüße
Max
Allerdings darf
- GRUPPE B auch die Ordner und Dateien von GRUPPE B löschen
Was willst du denn damit erreichen...
Außerdem - du sagst ja mit Berechtigungen
GRUPPE B darf / darf nicht RECHT in Ordner X.
Nicht:
GRUPPE B darf / darf nicht RECHT mit Dateien des Benutzers/der Gruppe Y.
Also, nein so geht das IMHO nicht.
Denke auch kaum, dass das Sinn macht.
GLG Flo.
- GRUPPE B auch die Ordner und Dateien von GRUPPE B löschen
Was willst du denn damit erreichen...
Außerdem - du sagst ja mit Berechtigungen
GRUPPE B darf / darf nicht RECHT in Ordner X.
Nicht:
GRUPPE B darf / darf nicht RECHT mit Dateien des Benutzers/der Gruppe Y.
Also, nein so geht das IMHO nicht.
Denke auch kaum, dass das Sinn macht.
GLG Flo.