14
Rechtevergabe, aber wie?!?
hallo,
ich habe ein kleines problem...
ich möchte/muss bei uns auf dem server div. ordner mit rechten vergeben... ich bekomme das aber nicht hin, dass das klappt...
so stelle ich mir das vor
alle daten laufen auf d:
folgende freigaben möchte ich haben:
d:\benutzer_privat\paul --> dieser user soll vollen zugriff auf seinen ordner haben. der rest der firma darf nicht auf die freigabe rauf kommen (nicht lesen und nicht schreiben)
d:\daten_firma --> da sollen alle drauf zugreifen können; lesen,schreiben
d:\extra --> da soll alle schreiben und lesen und über vpn die ip 192.168.15.1 (die ip darf auf den rest nicht zureifen)
wer kann mir helfen? wie muss ich die einzelnen Rechter einstellen?
ich habe ein kleines problem...
ich möchte/muss bei uns auf dem server div. ordner mit rechten vergeben... ich bekomme das aber nicht hin, dass das klappt...
so stelle ich mir das vor
alle daten laufen auf d:
folgende freigaben möchte ich haben:
d:\benutzer_privat\paul --> dieser user soll vollen zugriff auf seinen ordner haben. der rest der firma darf nicht auf die freigabe rauf kommen (nicht lesen und nicht schreiben)
d:\daten_firma --> da sollen alle drauf zugreifen können; lesen,schreiben
d:\extra --> da soll alle schreiben und lesen und über vpn die ip 192.168.15.1 (die ip darf auf den rest nicht zureifen)
wer kann mir helfen? wie muss ich die einzelnen Rechter einstellen?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41608
Url: https://administrator.de/forum/rechtevergabe-aber-wie-41608.html
Ausgedruckt am: 05.04.2025 um 23:04 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
kannst Du bitte etwas zu Deinem Server sagen (Windows? Linux?), wie er konfiguriert ist (AD, LDAP?), von wo aus Du zugreifen möchtest (ich nehme an vom Client, oder doch vom Server aus?), was Du bisher versucht hast und wie das sonstige Umfeld aussieht?
So kann jeder nur raten und Dir nur eine allgemeine Antwort geben:
"Stell es einfach so ein das es passt und funktioniert"
Soll heissen Du musst nur die entsprechende Verzeichnisse mit den Rechten belegen ....
Sorry, genauer kann ich leider nicht antworten, da Deine Ausgangssituation zu ungenau beschrieben wurde.
Ollie
kannst Du bitte etwas zu Deinem Server sagen (Windows? Linux?), wie er konfiguriert ist (AD, LDAP?), von wo aus Du zugreifen möchtest (ich nehme an vom Client, oder doch vom Server aus?), was Du bisher versucht hast und wie das sonstige Umfeld aussieht?
So kann jeder nur raten und Dir nur eine allgemeine Antwort geben:
"Stell es einfach so ein das es passt und funktioniert"
Soll heissen Du musst nur die entsprechende Verzeichnisse mit den Rechten belegen ....
Sorry, genauer kann ich leider nicht antworten, da Deine Ausgangssituation zu ungenau beschrieben wurde.
Ollie
sorry, da hast du recht... das ist ein win 2003 std. server mit ad und die client sind xp und 2000... die vpn geschichte läuft auf einem extra rechner (win 2000; ken!4; access server von avm)
Hallo,
Du musst bei der Freigabe unterscheiden zwischen Netzfreigaben und lokalen Zugriffsrechten. Beide kannst Du erreichen indem Du mit rechts auf die Ordner klickst und Dich über die Eigenschaften zu Freigabe und / oder Sicherheit durchklickst. Dort kannst Du dann User editieren und / oder neu anlegen. Das Recht "Verweigern" gilt höher als das Recht "Erlaubnis". Da ein User in mehreren Gruppen sein kann addieren sich die Rechte (oder subtrahieren sich). Das bedeutet wenn in einer Gruppenberechtigung etwas verboten wurde (explizit verboten), dann kann der User auch wenn er persönlich das Recht hat zuzugreifen dies nicht tun. Als explizit verboten gilt das setzen des Häkchens bei "Verweigern", bleibt es offen ist es nicht explizit verboten, aber eben auch nicht erlaubt.
Bei der Freigabe stellst Du diesen Ordner im Netzwerk bereit, die Rechtevergabe ist aber ebenso wie bei der Sicherheit.
Bei persönlichen Ordnern ist es grundlegend so, das nur der User und der Admin dort zugreifen können. Dies ist in der Domäne standardmässig der Fall.
Ollie
Du musst bei der Freigabe unterscheiden zwischen Netzfreigaben und lokalen Zugriffsrechten. Beide kannst Du erreichen indem Du mit rechts auf die Ordner klickst und Dich über die Eigenschaften zu Freigabe und / oder Sicherheit durchklickst. Dort kannst Du dann User editieren und / oder neu anlegen. Das Recht "Verweigern" gilt höher als das Recht "Erlaubnis". Da ein User in mehreren Gruppen sein kann addieren sich die Rechte (oder subtrahieren sich). Das bedeutet wenn in einer Gruppenberechtigung etwas verboten wurde (explizit verboten), dann kann der User auch wenn er persönlich das Recht hat zuzugreifen dies nicht tun. Als explizit verboten gilt das setzen des Häkchens bei "Verweigern", bleibt es offen ist es nicht explizit verboten, aber eben auch nicht erlaubt.
Bei der Freigabe stellst Du diesen Ordner im Netzwerk bereit, die Rechtevergabe ist aber ebenso wie bei der Sicherheit.
Bei persönlichen Ordnern ist es grundlegend so, das nur der User und der Admin dort zugreifen können. Dies ist in der Domäne standardmässig der Fall.
Ollie
ich habe das bei dem ordner so gemacht...
unter dateiserververwaltung:
daten_firma freigabename (d:\daten_firma)
freigabeberechtigungen: Gruppe- oder Benutzernamen: Jeder
berechtigungen für Jeder: vollzugriff; ändern; lesen jeweils zulassen[x]
paul freigabename (d:\benutzer_privat\paul)
freigabeberechtigungen: Gruppe- oder Benutzernamen: paul
berechtigungen für paul: vollzugriff; ändern; lesen jeweils zulassen[x]
ich bin als paul angemeldet, komme aber trotzdem nicht auf diese freigabe
paul ist in ad mitgleid von: domänen-benutzer und remotedesktopbenutzer
kann das sein das ich den user nicht richtig angelegt habe?
unter dateiserververwaltung:
daten_firma freigabename (d:\daten_firma)
freigabeberechtigungen: Gruppe- oder Benutzernamen: Jeder
berechtigungen für Jeder: vollzugriff; ändern; lesen jeweils zulassen[x]
paul freigabename (d:\benutzer_privat\paul)
freigabeberechtigungen: Gruppe- oder Benutzernamen: paul
berechtigungen für paul: vollzugriff; ändern; lesen jeweils zulassen[x]
ich bin als paul angemeldet, komme aber trotzdem nicht auf diese freigabe
paul ist in ad mitgleid von: domänen-benutzer und remotedesktopbenutzer
kann das sein das ich den user nicht richtig angelegt habe?
Wie weiter oben schon erwähnt gibt es Freigabe-Rechte und NTFS (lokale Dateirechte).
Wenn Paul jetzt bei Freigabe-Rechte alles darf, bei den lokalen NTFS Rechten aber nichts, dann darf er halt nichts.
Also mal auf dem freigegebenen Ordner die Berechtigungen anschauen, was Paul da darf.
Und ein Tipp aus der Praxis:
Freigabe-Berechtigungen immer Vollzugriff/Jeder und die Rechte über NTFS vergeben.
Ansonsten fangen solche Suchen an wie: Ich habe doch Vollzugriff auf den Ordner, es geht aber nicht etc.
Wenn Paul jetzt bei Freigabe-Rechte alles darf, bei den lokalen NTFS Rechten aber nichts, dann darf er halt nichts.
Also mal auf dem freigegebenen Ordner die Berechtigungen anschauen, was Paul da darf.
Und ein Tipp aus der Praxis:
Freigabe-Berechtigungen immer Vollzugriff/Jeder und die Rechte über NTFS vergeben.
Ansonsten fangen solche Suchen an wie: Ich habe doch Vollzugriff auf den Ordner, es geht aber nicht etc.
[berechtigung für paul [?][X]]
gruppen- oder benutzername:
paul(paul@firma.local)
berechtigungen für paul:
vollzugriff, ändern und lesen sind die häckchen auf zulassen
beim paul (xp-client) habe ich bei ipconfig/all:
windows-ip-konfiguration
hostname...:paul
primäres dns-suffix...:firma.local
knotentyp...:unbekannt
ip-routing aktiv...:nein
wins-proxy aktiv..:nein
dns-suffixsuchliste:firma.local
der client ist in der domäne firma.local angemeldet... ist das mit dem ".local" richtig?
beim server ist die ad-domäne: datenserver.firma.local
gruppen- oder benutzername:
paul(paul@firma.local)
berechtigungen für paul:
vollzugriff, ändern und lesen sind die häckchen auf zulassen
beim paul (xp-client) habe ich bei ipconfig/all:
windows-ip-konfiguration
hostname...:paul
primäres dns-suffix...:firma.local
knotentyp...:unbekannt
ip-routing aktiv...:nein
wins-proxy aktiv..:nein
dns-suffixsuchliste:firma.local
der client ist in der domäne firma.local angemeldet... ist das mit dem ".local" richtig?
beim server ist die ad-domäne: datenserver.firma.local
Die Berechtigungen Vollzugriff, Ändern und Lesen sind die Share Berechtigungen unter Freigabe / Berechtigungen.
Aber was ist mit den NTFS Rechten, die man im Reiter Sicherheit findet?
Aber was ist mit den NTFS Rechten, die man im Reiter Sicherheit findet?
hi...
sicherheit:
administratoren (firma\administratoren)
bei jedem zulassen [x] aber grau hinterlegt
benutzer (firma\benutzer)
bei jedem ausser vollzugriff (kein X) zulassen [x] aber grau hinterlegt
ersteller-besitzer
da ist nichts angeklickt
system
bei jedem zulassen [x] aber grau hinterlegt
bei erweitert:
typ|name|berechtigung|geerbt|übernehmen für
zulassen|admins(firma\admins)|vollzugriff|<nicht geerbt>|nur dieser ordner|nur dieser ordner
zulassen|admins(firma\admins)|vollzugriff|d:\benutzer_privat\|nur dieser ordner
zulassen|ersteller-besitzer|vollzugriff|d:\benutzer_privat\|nur unterordner und dateien
zulassen|admins(firma\admins)|vollzugriff|übergeordneten objekt|nur unterordner und dateien
zulassen|beutzer(firma\benutzer|ändern|d:\|dieser ordner, unterordner und dateien
zulassen|system|vollzugriff|d:\|dieser ordner, unterordner und dateien
ich hoffe das ich das so verständlich rüberbringen kann... die | sind für die spaltentrennung
sicherheit:
administratoren (firma\administratoren)
bei jedem zulassen [x] aber grau hinterlegt
benutzer (firma\benutzer)
bei jedem ausser vollzugriff (kein X) zulassen [x] aber grau hinterlegt
ersteller-besitzer
da ist nichts angeklickt
system
bei jedem zulassen [x] aber grau hinterlegt
bei erweitert:
typ|name|berechtigung|geerbt|übernehmen für
zulassen|admins(firma\admins)|vollzugriff|<nicht geerbt>|nur dieser ordner|nur dieser ordner
zulassen|admins(firma\admins)|vollzugriff|d:\benutzer_privat\|nur dieser ordner
zulassen|ersteller-besitzer|vollzugriff|d:\benutzer_privat\|nur unterordner und dateien
zulassen|admins(firma\admins)|vollzugriff|übergeordneten objekt|nur unterordner und dateien
zulassen|beutzer(firma\benutzer|ändern|d:\|dieser ordner, unterordner und dateien
zulassen|system|vollzugriff|d:\|dieser ordner, unterordner und dateien
ich hoffe das ich das so verständlich rüberbringen kann... die | sind für die spaltentrennung
Damit sollte der User paul aber auf den Share kommen.
Bekommst Du eigentlich eine Fehlermeldung?
Du kannst auch mal in der DOS-Box versuchen, den Share mit net use zu mounten:
net use x: \\servername\freigabename (anstatt x: den LW Buchstabe, den Du willst).
Was kommt da den für eine Meldung?
Bekommst Du eigentlich eine Fehlermeldung?
Du kannst auch mal in der DOS-Box versuchen, den Share mit net use zu mounten:
net use x: \\servername\freigabename (anstatt x: den LW Buchstabe, den Du willst).
Was kommt da den für eine Meldung?
das verzeichniss kann ich monten, das geht auch alles... ich bekomme das aber mit den berechtigungen nicht hin... ich möchte, dass nur paul auf das verzeichniss zugreifen kann...
Hallo,
dann einfach alle aus den Berechtigungen rauswerfen und Paul als einzigem User Vollzugriff gewähren.
Ollie
dann einfach alle aus den Berechtigungen rauswerfen und Paul als einzigem User Vollzugriff gewähren.
Ollie
Na ja, alle würde ich nicht rauswerfen.
Aber die Berechtigung FIRMA\Benutzer rauswerfen und FIRMA\paul hinzufügen mit Ändern-Rechten.
Dazu musst Du aber Adminrechte auf dem Server haben (so wie jetzt die Berechtigungen vergeben sind) und es geht nicht über den Share, da Du dort nur Rechte für Paul vergeben hast. Also Anmelden an Server, Benutzer raus, Paul rein und fertig.
Aber die Berechtigung FIRMA\Benutzer rauswerfen und FIRMA\paul hinzufügen mit Ändern-Rechten.
Dazu musst Du aber Adminrechte auf dem Server haben (so wie jetzt die Berechtigungen vergeben sind) und es geht nicht über den Share, da Du dort nur Rechte für Paul vergeben hast. Also Anmelden an Server, Benutzer raus, Paul rein und fertig.
ich habe es (endlich) hinbekommen... es lag an dieser vererbung... musste unten nur das eine häckchen rausnehmen, dann konnte ich die restlichen "user" löschen...
was halltet ihr von diesem vorschlag?
unter freigabeberechtigung und sicherheit habe ich nur (firma\admin) und paul@firma.local) mit vollzugriff. sonst steht da nichts mehr. sollte ausreichen, oder?
was halltet ihr von diesem vorschlag?
unter freigabeberechtigung und sicherheit habe ich nur (firma\admin) und paul@firma.local) mit vollzugriff. sonst steht da nichts mehr. sollte ausreichen, oder?
eine sache ist mir jetzt noch aufgefallen... bei den win2000-clients geht das alles wunderbar mit den berechtigungen... aber bei xp-clients übergeht er die berechtigungen... obwohl bei den clients alle als benutzer und nicht als admin im netz sind... woran liegt das denn?
