frogger13
Goto Top

Rechte auf Verzeichnisse unterm AD

moin !

ich möchte mich mal ein wenig schlau machen, was das thema "rechte auf verzeichnisse und active directory" angeht:

folgende situation:
- filserver auf einem w2k3 mit active directory, user existieren auch
- verzeichnisse liegen auch vor
- ich möchte verschiedenen usern/gruppen rechte auf verschieden ordner geben

ich bin soweit, dass ich mit hilfe von globalen gruppen die user zusammengefasst habe. diese globalen gruppen sind jetzt mitglied von lokalen gruppen, die die rechte auf ntfs ebene verwalten sollen. ich schaffe es auch, dass alle user die erste ebene der verzeichnisse sehen, aber nur auf die zugreifen können auf die sie berechtigt sind.

die aufgabenstellung ist nun folgende:
in der zweiten ebene einer dieser verzeichnisse gibt es einen ordner auf den jemand zugreifen soll, welche ansonsten nix in diesem ordner zu suchen hat.

ich versuche das mal darzustellen:
verzeichnis a - unterordner1, unterordner2, unterordner3
verzeichnis b - unterordner1, unterordner2
verzeichnis c - unterordner1, unterordner2, unterordner3

user a hat (funktionierende) rechte auf verzeichnis a und allem was darunter ist.
user b hat entsprendes auf verzeichnis b... usw.

nun soll user a lesend auf den unterordner1 von verzeichnis b haben. ansonsten darf er dort nix ! naja sehen lässt sich nicht vermeiden.

ich hab die rechte entsprechend vergeben, habe aber immer das problem, dass user a nicht mal in das verzeichnis b kommt.

verstanden ?

gibts dafür irgendwelche tips oder gar ne fette doku die ich mir anlesen kann ?

danke schon mal....

Content-ID: 39438

Url: https://administrator.de/forum/rechte-auf-verzeichnisse-unterm-ad-39438.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

gemini
gemini 05.09.2006 um 22:38:42 Uhr
Goto Top
ich hab die rechte entsprechend vergeben, habe aber immer das problem, dass user a
nicht mal in das verzeichnis b kommt.

Wenn die Rechte so gesetzt sind, sollte UserA in B's Unterordner1 kommen können, aber halt nicht browsenderseits, sonder nur, wenn er den exakten Pfad kennt bzw. ein Laufwerk auf die Freigabe gemappt ist.

Hintergrund: UserA fehlt auf dem übergeordneten VerzeichnisB das Recht Ordnerinhalt auflisten. Somit darf er den darin befindlichen Unterordern1 nicht sehen sondern bekommt stattdessen eine "Zugriff verweigert"-Meldung

PS: Wenn das Ganze über ein Netzwerk funktionieren soll, müssen natürlich auch die Freigaberechte entspr. gesetzt werden.

BTW, deine Frage hat mit dem AD nur am Rande zu tun, hier handelt es sich um Dateisystemrechte.
frogger13
frogger13 06.09.2006 um 05:45:14 Uhr
Goto Top
noch ein nachtrag:
eine freigabe auf die unterste ebene ist gesetzt und funktioniert auch. es gibt ein loginscript welches diese freigabe einen laufwerksbuchstaben zuordnet. alles user können auf diesem netzlaufwerk auch alle 3 verzeichnisse sehen, aber jeder nur auf seins zugreifen. ansonsten gibts die fm "zugriff verweigert"
gemini
gemini 06.09.2006 um 07:08:13 Uhr
Goto Top
eine freigabe auf die unterste ebene ist gesetzt und funktioniert auch. es gibt ein
Also ist Unterordner3 ´bzw. 2 freigegeben, oder meinst du im unteren Beispiel Root (das wäre aber die oberste Ebene)? confused!

Nun mal für ältere Menschen wie mich face-wink Deine Struktur sieht in etwas so aus:

Root
|_VerzA
|      |__VerzA1
|               |__VerzA2
|                        |__VerzA3
|_VerzB
|      |__VerzB1
|               |__VerzB2
|_VerzC
       |__VerzC1
                |__VerzC2
                         |__VerzC3

UserA hat Ändernrechte ausschließlich auf VerzeichnisbaumA, B und C analog.
UserA hat außerdem Lesenrechte auf VerzB1, aber keine Rechte auf VerzB2.
In den Verzeichnissen A, B und C stehen also, abgesehen von System etc., auschließlich die User A bzw. B bzw. C drin.
In den Rechten des VerzB1 wird UserA mit dem Recht Lesen (Ordnerinhalt auflisten etc, muss er natürlich auch dürfen) Nur für diesen Ordner eingetragen.
Das geht mit dem Button 'Erweitert' auf dem Reiter 'Sicherheit'.
Da gibt es auch noch einen Haken bei 'Berechtigungen nur für Objekte und/oder Container in diesem Container übernehmen', damit wird die Vererbung ausgeschaltet.
Root ist freigegeben, User A, B und C sind dort mit vollen Rechten eingetragen.

Wenn nun bei allen Usern die Freigabe Root gemappt ist, sehen alle auch VerzA, VerzB und VerzC. Zugreifen können sie aber nur auf ihr Verzeichnis.
UserA kann so natürlich nicht auf VerzB1 zugreifen, weil er ja keine Rechte auf das übergeordnete VerzB hat. Er muss entweder VerzB1 gemappt bekommen oder er tippt \\Server\Root\VerzB\VerzB1 in die Adressleiste des Explorer ein.

Gruß
gemini
frogger13
frogger13 06.09.2006 um 09:51:32 Uhr
Goto Top
moin !

danke für die bemühungen mein problem zu verstehen face-smile

ich glaube schon dass du mein problem verstanden hast. die kleine skizze ist richtig.

ich habe user a die rechte auf verz b1 gegeben. aber er hat natürlich das problem, dass er gar nicht dahin kommt, weil ihm schon der zugriff auf verz b verwährt wird. d.h. (wenn ich das richtig verstanden habe) habe ich 2 möglichkeiten:
1. ich geben ihm auch rechte (lesend) auf verz b - somit hat er aber auch die möglichkeit alles dokumente zu öffnen die sich darin befinden (natürlich nicht auf die anderen verzeichnisse verz b2), oder ?
2. ich bastel ihm ein extra laufwerk (via login script) das direkt auf \\server\root\verz b\verz b1 verweist

habe ich das richtig verstanden ?
gemini
gemini 06.09.2006 um 15:06:19 Uhr
Goto Top
1. ich geben ihm auch rechte (lesend) auf verz b - somit hat er aber auch die
möglichkeit alles dokumente zu öffnen die sich darin befinden (natürlich nicht auf die anderen verzeichnisse verz b2), oder ?
Yep, versuch mal ihm (resp. der Gruppe UserA) für VerzB das Recht 'Ordnerinhalt auflisten' zu geben.

2. ich bastel ihm ein extra laufwerk (via login script) das direkt auf \\server\root\verz b\verz b1 verweist
Sooo riesig ist der Aufwand für ein gemapptes Laufwerk nun auch wieder nicht.
Und das beste daran; so ein gemapptes Laufwerk ist nicht nur schön anzuschauen, es kost auch gar nix face-wink