gijoe
Goto Top

Ordnerstruktur und Zugriffsrechte auf Server

hi@all

Ich habe die Möglichkeit, eine bestehende Ordnerstruktur auf einem neuen Server entsprechend neu zu gestalten, also konkret Serverfreigaben für die User. Bisher wucherte alles über Jahre hinweg vor sich hin. Meine Frage, was ist eigentlich das sauberste vorgehen? Mir scheint, es gibt soviele Ansätze, wie es Admins gibt. Mein Vorgehen wäre wie folgt:

- Ordner A => für alle Domain-Benutzer einsehbar
- Ordner B => für Gruppe B einsehbar
- Ordner C => für Gruppe C einsehbar
usw.

Alle diese Ordner würden über eine Freigabe laufen (zB \\server\company).

Aber was ist jetzt, wenn jemand, der nicht zur Gruppe B gehört Zugriff auf einen Unterordner dieser Gruppe benötigt? dann kann er ja den Rest auch sehen, oder? Oder ist dieser Ansatz schon im vorherein nonsens?

Und noch was: Ist es ok, wenn man auf eine Freigabe "Jeder" Schreib & Lesezugriff gibt, und dann die eigentlichen Zugriffsrechte via "Sicherheit" einstellt?

Content-ID: 184486

Url: https://administrator.de/forum/ordnerstruktur-und-zugriffsrechte-auf-server-184486.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Yuusou
Yuusou 04.05.2012 um 15:34:17 Uhr
Goto Top
Hallöchen,

du musst zwischen Freigabeberechtigung und NTFS-Berechtigung unterscheiden. Die Freigabe ist der erste Zugriffsfilter, die NTFS-Berechtigung der zweite. Bist du restriktiv in der Freigabe für einen User, kannst du dem gerne Vollzugriff in den NTFS-Berechtigungen gewähren, der Nutzer kommt über die einfache Freigabe nicht ran. Mit den erweiterten Berechtigungen für NTFS kannst du auch bestimmte Aktionen explizit verweigern.

Was ist denn dein letztendliches Ziel? Vielleicht kann man ja da ein wenig helfen.
gijoe
gijoe 04.05.2012 um 16:13:29 Uhr
Goto Top
Mein Ziel => SBS Server => Freigaben für User => Share für alle, Ordner für div. Abteilungen, wo nur diese Zugriff haben.
Yuusou
Yuusou 04.05.2012 um 17:02:29 Uhr
Goto Top
Das geht einfach: Freigabe des Shares für alle, NTFS-Berechtigung für jeden Unterordner für die einzelnen Abteilungen hinzufügen (für jede Abteilung eine Gruppe im AD erstellen) und den Zugriff für Jeden löschen bzw. den anderen Abteilungen den Zugriff über die erweiterten Berechtigungseinstellungen explizit verweigern. Letzteres wäre meine persönliche Empfehlung, um auf Nummer sicher zu gehen. Austesten kannst du das alles mit jeweiligen Testnutzern für die Abteilungen.

Erst greift die Freigabe und prüft, ob die zugreifen dürfen. Dann kommt die NTFS-Berechtigung, die den Zugriff auf die Dateien überprüft, der sich auf der Platte befindet. Das eine passiert auf Netzwerkebene, das andere auf lokaler Ebene, falls das besser verständlich ist.

Sollte ein Nutzer unbedingt Zugriff auf einen Ordner haben wollen, kannst du ihm diesen explizit zuweisen, auch wenn er durch seine Gruppenzugehörigkeit keinen Zugriff hätte. Folgendes zu Berechtigungen unter Windows merken: Verbote haben mehr Gewicht als Gebote und Berechtigungen eines Einzelnen haben höhere Priorität als die von Gruppen.
gijoe
gijoe 04.05.2012 um 17:27:39 Uhr
Goto Top
Zitat von @Yuusou:
Das geht einfach: Freigabe des Shares für alle, NTFS-Berechtigung für jeden Unterordner für die einzelnen
Abteilungen hinzufügen (für jede Abteilung eine Gruppe im AD erstellen) und den Zugriff für Jeden löschen bzw.
den anderen Abteilungen den Zugriff über die erweiterten Berechtigungseinstellungen explizit verweigern. Letzteres wäre
meine persönliche Empfehlung, um auf Nummer sicher zu gehen. Austesten kannst du das alles mit jeweiligen Testnutzern
für die Abteilungen.

Das vorgehen ist mir klar, aber ist es auch State-of-the-art??

Erst greift die Freigabe und prüft, ob die zugreifen dürfen. Dann kommt die NTFS-Berechtigung, die den Zugriff auf die
Dateien überprüft, der sich auf der Platte befindet. Das eine passiert auf Netzwerkebene, das andere auf lokaler Ebene,
falls das besser verständlich ist.

Ist auch klar, ich bevorzuge eigentlich bei der Freigabe allen alles zu erlauben und die Restriktion bei der NTFS-Berechtigung einzubauen

Sollte ein Nutzer unbedingt Zugriff auf einen Ordner haben wollen, kannst du ihm diesen explizit zuweisen, auch wenn er durch
seine Gruppenzugehörigkeit keinen Zugriff hätte. Folgendes zu Berechtigungen unter Windows merken: Verbote haben mehr
Gewicht als Gebote und Berechtigungen eines Einzelnen haben höhere Priorität als die von Gruppen.

Das bin ich gerade am Testen. Ich meine, wie kann ein Nutzer auf einen Subordner Zugreiffen, wenn er keinen Zugriff auf den Ordner oberhalb hat?
Yuusou
Yuusou 04.05.2012 um 17:49:30 Uhr
Goto Top
Das würde wahrscheinlich nur gehen, wenn du über den UNC-Pfad direkt gehst. \\server\ordner\unterordner

Du kannst ja auch mit \\server\C$ auf das Volume C: zugreifen, ohne dass es explizit freigegeben ist. Ich weiß aber nicht genau, ob du dann \\server\ordner$\unterordner angeben kannst, um auf den Unterordner zu gelangen.
60730
60730 05.05.2012 um 18:16:22 Uhr
Goto Top
moin Mädels...

das tut ja schon richtig weh
Und noch was: Ist es ok, wenn man auf eine Freigabe "Jeder"
Was ist ok? Das es "funktioniert" und unsauber ist? Dann ja.
kannst du dem gerne Vollzugriff in den NTFS-Berechtigungen gewähren
  • Autsch...
bzw. den anderen Abteilungen den Zugriff über die erweiterten Berechtigungseinstellungen explizit verweigern.
Letzteres wäre meine persönliche Empfehlung, um auf Nummer sicher zu gehen.
  • autscher
Du kannst ja auch mit \\server\C$ auf das Volume C: zugreifen, ohne dass es explizit freigegeben ist.
  • alles was aua macht ist ³
Berechtigungen eines Einzelnen haben höhere Priorität als die von Gruppen.
  • Hommmmmmm hommmmm hommmmmm gnade bitte gnade, oder schreib doch innen ist es kälter als es aussen warm ist.

Gegenfrage(n):
Wenn man es besser machen will und keine Ahnung hat - wäre da ein kleines Ebook vom symphatischen Marktfüherer oder ein Studium der allseits bekannten verlinkten Hau zus nicht angebracht?

  • was oder wer ist "jeder"?
  • was ist Vollzugriff?
  • was ist der Unterschied zwischen keiner und einer Administrativen Freigabe?


PS:
Mir scheint, es gibt soviele Ansätze, wie es Admins gibt.
Nein es gibt einige im detail unterschiedliche Lösungen - soviele wie von einzelnen Admin gefordert werden - denn IT ist kein Selbstzweck.
Und manche kennen den einen Film mit James Dean und andere nicht.
Yuusou
Yuusou 05.05.2012 um 19:13:48 Uhr
Goto Top
Hey Timo,

verstehendes Lesen scheint nicht deine Stärke zu sein. Jedes Aua, was du an meinem Post ankreidest, sollte nur verdeutlichen, was der Unterschied zwischen der Freigabe und der NTFS-Berechtigung ist. Keines davon soll eine letztendliche Lösung darstellen geschweige denn sinnvoll sein. Ich traue dem Fragesteller genug Verstand zu, dass es als theoretische Beispiele zu verstehen sind.

Auch der letzte Satz über die Berechtigungen ist korrekt. Solange kein Verbot explizit in der einen Gruppe gesetzt wurde und er eine Erlaubnis als Benutzer explizit erhält, dann hat er die Erlaubnis für was auch immer. Aber da scheint mein erster Satz bei dir wieder zuzutreffen.

VG
Yuusou

PS: Lass deine Arroganz in der Firma (falls vorhanden) und deine schlechten Wortwitze im Kopf (das stelle ich nicht in Frage). Jeder fängt klein an und braucht Starthilfe. Mit ein bisschen Freundlichkeit und fachlich kompetenten Ratschlägen würdest du wesentlich konstruktiver zu dieser Fragestellung beitragen.
60730
60730 05.05.2012 um 22:53:25 Uhr
Goto Top
Salve Yuusou,

[OT]
naja jetzt stell dir mal vor, jemand weiß etwas und stellt ne Frage.

Ich fände es besser, wenn derjenige dann gar keine Antwort bekäme, als eine leicht irreführende und sucht woanders weiter....
Klar, jeder fängt klein an, aber man braucht gute Lehrer um groß werden zu können.

In meiner "Firma" hab ich nen Ruf, man kann mich alles fragen und fast alles bitten, aber wer mir nen Bären aufbindet, der kann was erleben.
Und was glaubst du passiert?
Den einzigen Bären (den meiner Frau) hab ich hin und wieder im Gesicht, aber nie auf dem Rücken.
[/OT]

Glaubs mir, ich kann lesen face-wink

Nimm dir doch gerne mal die unteren 3 Gegenfragen zum zerlegen raus.

Du kannst ja auch mit \\server\C$ auf das Volume C: zugreifen, ohne dass es explizit freigegeben ist.
  • gib mal net share in so ner schwarzen Box (mit Adminrechten) auf nen Winblows Rechner ein..

  • Was ist denn der Unterschied zwischen Vollzugriff und der Kombination von R,W&C?
Auch der letzte Satz über die Berechtigungen ist korrekt
  • meinst du den?
Berechtigungen eines Einzelnen haben höhere Priorität als die von Gruppen.
  • kennst du AGDLP und warum das so gemacht wird und wie heisst das Prinzip da oben, dass AGDLP adabsurdum führt?

PS:
Sei wirklich froh, dass ich es bei 3 Punkten belassen hab, denn Das eine passiert auf Netzwerkebene, das andere auf lokaler Ebene,
falls das besser verständlich ist.
da fällt mir wirklich garnix mehr zu ein und das mir nix einfällt, das ist was besonderes.


Gruß
gijoe
gijoe 10.05.2012 um 17:12:45 Uhr
Goto Top
An dieser Stelle wäre es zwar interessant, die Share-Geschichte aus Timos Firma zu Erfahren...
- Was für eine Ordnerstruktur herrscht da bezüglich Freigaben?
- Wie sieht es aus für Ordner (in der Freigabe), die nur für bestimmte Gruppen einsehbar sein sollen (ineinander verschachtelt, oder liegen die Ordner auf der selben Ebene?)
- Sollen die Ordner, die man nicht öffnen darf ausgeblendet werden
- Wie findet ein Zugriff auf einen Subordner statt, wenn man auf die Struktur oberhalb keinen Zugriff hat, oder haben sollte
- Muss bei den Freigabe-Rechten bereits gefiltert werden, wenn es sich in der Regel immer um beschreibbare Ordner handelt
- LIegen die freizugebenden Ordner in einem einzigen Share, oder wird jeder einzeln als Freigabe behandelt (meines erachtens ersteres)
60730
60730 10.05.2012 um 21:08:38 Uhr
Goto Top
Zitat von @gijoe:
An dieser Stelle wäre es zwar interessant, die Share-Geschichte aus Timos Firma zu Erfahren...

Das ist eigentlich nix dolles...
- Was für eine Ordnerstruktur herrscht da bezüglich Freigaben?
Unterschiedliche
- Wie sieht es aus für Ordner (in der Freigabe), die nur für bestimmte Gruppen einsehbar sein sollen (ineinander
verschachtelt, oder liegen die Ordner auf der selben Ebene?)

Ich hab z.B Ordner, die fuer alle Domainmember (nicht jeder) zum lesen oder changen bestimmt sind.
- Sollen die Ordner, die man nicht öffnen darf ausgeblendet werden.
Ist so ne frage, da wir sowohl macs als auch blows haben, aber das fuehrt zuweit...
- Wie findet ein Zugriff auf einen Subordner statt, wenn man auf die Struktur oberhalb keinen Zugriff hat, oder haben sollte

Ganz einfach, das ist eine andere freigabe...
- Muss bei den Freigabe-Rechten bereits gefiltert werden, wenn es sich in der Regel immer um beschreibbare Ordner handelt
- LIegen die freizugebenden Ordner in einem einzigen Share, oder wird jeder einzeln als Freigabe behandelt (meines erachtens ersteres)

Sowohl, als auch z.b gibt es nur einen profil und einen homeshare, darunter fuer jeden user einen ordner auf den nur er kommt, das regelt man per anno ueber die freigabe berechtigung und dann ueber die ntfs rechte der ordner.

Dann gibt es z.b einen abteilungsordner, da liegen die abteilungsordner drauf, dort wird sowohl die freigabe, als auch die ntfs berechtigung gesetzt. Und immer streng nach agdlp, alsomselbst eine onemanshow bekommt ihre eigene gruppe, den nur so kann man nachvollziehen, wer hat wo rechte- wenn ein nachfolger oder zweiter kollege in die huette kommt und das gleiche zeug beackern muss.

Und vor allen dingen, man muss mit den kollegen reden und vorbereitet sein, ratztfatz werden aus ganz vielen wuensxhen, die kaum realisiert werden koennen, eine handvoll mit 5 komischen ausnahmen und alle sind gluecklich.

Ps in zeiten aktueller serversysteme mit massig dampf kann man eigentlich mit der shareeritis grosszuegiger sein, die kisten kriegen dass schon gebacken, aber bei 75 people wuerde ich trotzdem nicht anfangen, jedem sein homedir als freigabe zu geben....

Gruss