Schreib- und Leseberechtigung auf Netzwerkfreigaben

Mitglied: opalka

opalka (Level 1) - Jetzt verbinden

18.08.2011, aktualisiert 02:00 Uhr, 6413 Aufrufe, 10 Kommentare

Hallo,

irgendwie stehe ich momentan auf nem Schlau. Es geht um eine Windows-Domäne mit SBS 2011 und Windows 7/Vista-Rechnern. Um die Rechtevergabe einfacher handhaben zu können, habe ich Sicherheitsgruppen nach folgenden Muster erstellt:

- FREIGABENAME_Admin
- FREIGABENAME_Lesen
- FREIGABENAME_Schreiben

Meine Ordner bekommen nun alle 3 Sicherheitsgruppen zugewiesen und die Berechtigungen werden entsprechend gesetzt: Admin -> Vollzugriff, Schreiben -> ändern, Lesen -> lesen. Das gleiche mache ich mit den Freigaben.

Je nachdem was der Benutzer machen darf, wird er Mitglied in der Gruppe. Soweit funktioniert auch alles nach Wunsch. Nun habe ich aber ein Problem mit "verschachtelten" Sicherheitsgruppen. Nehmen wir als Beispiel einmal die Freigabe "Sonderbereiche": Sonderbereiche_Admin, Sonderbereiche_Lesen und Sonderbereiche_Schreiben wurden erstellt und Ordner- und Freigabeberechtigung entsprechend gesetzt. "Sonderbereiche" wird nun z.B. auf S: gemappt. Der Ordner/Freigabe "Sonderbereiche" enthält nun einen Ordner/Freigabe "Buchhaltung". Sicherheitsgruppen werden erstellt und Berechtigungen gesetzt, Rechte werden NICHT vererbt.

Nun zu meinen Problem: Benutzer X wird Mitglied der Gruppen "Sonderbereiche_Lesen" und "Buchhaltung_Lesen"/"Buchhaltung_Schreiben", denn der Benutzer soll auf der obersten Ebene "Sonderbereiche" nichts speichern und auch keine Ordner erstellen können. Leider kann der Benutzer trotz Schreibrechte nichts im Ordner "Buchhaltung" speichern. Erst wenn er auch Mitglied in der Gruppe "Sonderbereiche_Schreiben" geworden ist, kann er etwas speichern -> natürlich auch auf der obersten Ebene. Dies soll aber nicht passieren.

Mich stellt sich nun meine Frage, wie kann ich es verhindern?! Ich geh mal davon aus, dass mein Konzept Hand und Fuß hat und eigentlich so funktionieren sollte, nur irgendetwas habe ich verpeilt.

Gruß
Mitglied: Clijsters
18.08.2011 um 02:17 Uhr
Hallo opalka,

hast du vielleicht mit den Freigabeberechtigungen gespielt?
Ist der untergeordnete Ordner auch eine Freigabe?
Versuch doch mal Folgendes: Fraigabeberechtigungen Jeder:Vollzugriff und die NTFS ACLs wie beschrieben anpassen. Ggf. Testweise die Vererbungen reinnehmen.


Gruß
Dominique
Bitte warten ..
Mitglied: opalka
18.08.2011 um 02:31 Uhr
Hallo,

danke für Deine Antwort. In den Ordnerberechtigung ist lediglich nur noch "System" vorhanden, andere wie z.B. Authentifizierte Benutzer, Jeder etc. wurden entfernt.

Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:

Eingetragene Gruppen auf Ordner "Buchhaltung": Buchhaltung_Admin, Buchhaltung_Lesen, Buchhaltung_Schreiben + SYSTEM. Es werden keine weiteren Gruppen geerbt. Analog dazu die Gruppen in der Freigabe aber ohne SYSTEM. Die Sonderbereiche-Gruppen haben keinen Zugriff auf "Buchhaltung".

Warum sollte ich "Jeder" einen Vollzugriff geben, wenn es schon reicht die Sonderbereich_Schreiben-Gruppe hinzuzufügen?! Jeder hat an dieser Stelle garnichts zu suchen. Auch die Standart-ACLs haben dort meiner Meinung nach nichts zu suchen. Lediglich "System" um ein Backup durchzuführen.

Vielleicht irre ich mich ja, lasse mich gern eines besseren belehren, aber wie bereits gesagt, es reicht vollkommen die Gruppe "Sonderbereiche_Schreiben" dem Benutzer hinzuzufügen und schon kann er auch in Buchhaltung schreiben, wenn er denn über die Freigabe "Sonderbereiche" geht. Geht er direkt über die Freigabe "Buchhaltung" klappt es ja auch. Mir gehts es einfach nur darum, wie verhindere ich, dass der Benutzer auf der obersten Ebene etwas ändern/erstellen kann?!

Gruß
Bitte warten ..
Mitglied: C.R.S.
18.08.2011 um 06:34 Uhr
Hallo

Zitat von @opalka:
Hallo,
Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:

Erreichbar vielleicht, aber nach dem Text oben nicht als eigene Freigabe. In sämtlichen Ordnern, die über die Freigabe Sonderbereiche aufgerufen werden, stehen Benutzer unter ihrer diesbezüglichen Freigabeberechtigung entsprechend der Gruppenzugehörigkeit Sonderbereiche_*. Im Fall des Benutzers X ist das die Freigabeberechtigung Lesen. Da Freigabe- und Dateisystemberechtigungen auf die niedrigsten Rechte kumuliert werden, bleibt es dabei.
Bei der Freigabe musst Du dem Benutzer die höchsten innerhalb der Freigabe erforderlichen Rechte geben. Darunter wird dann über die Dateisystemrechte differenziert.

Grüße
Richard
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 07:01 Uhr
Moin,

kann ich nur noch mal bestätigen was die Vorredner schrieben:

Du musst die Freigabeberechtigung bearbeiten.

VG
Bitte warten ..
Mitglied: opalka
18.08.2011 um 08:44 Uhr
Hallo,

sorry, aber irgendwie raff ich es nicht. Wie bereits geschrieben gebe ich ja dem Benutzer die "Sonderbereiche_Schreiben"-Mitgliedschaft und dann funktioniert ja auch alles so wie es soll, bis auf das kleine Problem, dass der Benutzer auch auf der obersten Ebene schreiben kann und genau dies will ich nicht.

Ich formuliere das ganze vielleicht noch einmal um: Wie verhindere ich, dass ein Benutzer mit Schreibrechten auf einer Freigabe schreiben kann? Er soll ja ersten auf der zweiten Ebene schreiben dürfen, also in den Unterordnern wie z.B. Buchhaltung, Verwaltung etc.

Gruß
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 09:39 Uhr
HI,

du musst doch unterscheiden zwischen:

Freigabeberechtigung die stellst du im Reiter Freigabe unter Berechtigungen ein und
NTFS Sicherheit die stellst du unter Sicherheit ein.

Nun sag uns doch mal wie die Freigabeberechtigungen aussehen von der obersten Freigabe.

VG
Bitte warten ..
Mitglied: DerWoWusste
18.08.2011 um 09:39 Uhr
Setze Freigabe: jeder auf ändern. Und die Ordner über die NTFS-Rechte absichern. Das macht den Unterschied.
Bitte warten ..
Mitglied: opalka
18.08.2011 um 09:59 Uhr
Danke @C.R.S, das war der entscheidene Tipp

Habe nun das Problem gelöst. Ich habe nun 2 Arten von Sicherheitsgruppen erstellt, und zwar einmal für die Ordner-Ebene und einmal für die Freigabeebene:

- ordner_sonderbereiche_admin
- ordner_sonderbereiche_lesen
- ordner_sonderbereiche_schreiben

- freigabe_sonderbereiche_admin
- freigabe_sonderbereiche_lesen
- freigabe_sonderbereiche_schreiben

Benutzer X wird nun Mitglied in "freigabe_sonderbereiche_schreiben", jedoch nicht in "ordner_sonderbereiche_schreiben". Somit hat er zwar das Recht auf die Freigabe zu schreiben, dies wird dann aber auf Ordnerebene abgeblockt.

Ist zwar doppelte Arbeit, aber wenn es erst einmal umgesetzt ist, dann ist es sehr nützlich.

Gruß
Bitte warten ..
Mitglied: opalka
18.08.2011 um 10:01 Uhr
@DerWoWusste

oder man macht es so, dann brauche ich auch nicht die doppelten Sicherheitsgruppen.

Das Jeder hatte mir nur zu schaffen gemacht, aber ist ja blödsinn, da die Ordnerrechte ja alles abblocken, was nicht sein soll.

Hab mal wieder viel zu kompliziert gedacht.

Danke für Eure Hilfe.

Gruß
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 10:16 Uhr
Gerne ....

FülltextFülltext
Bitte warten ..
Heiß diskutierte Inhalte
HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 18 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...

Windows Server
Server-Internetverbindung kurz trennen und wieder aktivieren
gelöst imebroVor 20 StundenFrageWindows Server11 Kommentare

Hallo, wir haben im Moment fast täglich immer wieder Ausfälle unserer Internetverbindung. Unser Provider sagt, dass er kein Problem feststellen kann. Aber wenn vom ...