Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Schreib- und Leseberechtigung auf Netzwerkfreigaben

Mitglied: opalka

opalka (Level 1) - Jetzt verbinden

18.08.2011, aktualisiert 02:00 Uhr, 5932 Aufrufe, 10 Kommentare

Hallo,

irgendwie stehe ich momentan auf nem Schlau. Es geht um eine Windows-Domäne mit SBS 2011 und Windows 7/Vista-Rechnern. Um die Rechtevergabe einfacher handhaben zu können, habe ich Sicherheitsgruppen nach folgenden Muster erstellt:

- FREIGABENAME_Admin
- FREIGABENAME_Lesen
- FREIGABENAME_Schreiben

Meine Ordner bekommen nun alle 3 Sicherheitsgruppen zugewiesen und die Berechtigungen werden entsprechend gesetzt: Admin -> Vollzugriff, Schreiben -> ändern, Lesen -> lesen. Das gleiche mache ich mit den Freigaben.

Je nachdem was der Benutzer machen darf, wird er Mitglied in der Gruppe. Soweit funktioniert auch alles nach Wunsch. Nun habe ich aber ein Problem mit "verschachtelten" Sicherheitsgruppen. Nehmen wir als Beispiel einmal die Freigabe "Sonderbereiche": Sonderbereiche_Admin, Sonderbereiche_Lesen und Sonderbereiche_Schreiben wurden erstellt und Ordner- und Freigabeberechtigung entsprechend gesetzt. "Sonderbereiche" wird nun z.B. auf S: gemappt. Der Ordner/Freigabe "Sonderbereiche" enthält nun einen Ordner/Freigabe "Buchhaltung". Sicherheitsgruppen werden erstellt und Berechtigungen gesetzt, Rechte werden NICHT vererbt.

Nun zu meinen Problem: Benutzer X wird Mitglied der Gruppen "Sonderbereiche_Lesen" und "Buchhaltung_Lesen"/"Buchhaltung_Schreiben", denn der Benutzer soll auf der obersten Ebene "Sonderbereiche" nichts speichern und auch keine Ordner erstellen können. Leider kann der Benutzer trotz Schreibrechte nichts im Ordner "Buchhaltung" speichern. Erst wenn er auch Mitglied in der Gruppe "Sonderbereiche_Schreiben" geworden ist, kann er etwas speichern -> natürlich auch auf der obersten Ebene. Dies soll aber nicht passieren.

Mich stellt sich nun meine Frage, wie kann ich es verhindern?! Ich geh mal davon aus, dass mein Konzept Hand und Fuß hat und eigentlich so funktionieren sollte, nur irgendetwas habe ich verpeilt.

Gruß
Mitglied: Clijsters
18.08.2011 um 02:17 Uhr
Hallo opalka,

hast du vielleicht mit den Freigabeberechtigungen gespielt?
Ist der untergeordnete Ordner auch eine Freigabe?
Versuch doch mal Folgendes: Fraigabeberechtigungen Jeder:Vollzugriff und die NTFS ACLs wie beschrieben anpassen. Ggf. Testweise die Vererbungen reinnehmen.


Gruß
Dominique
Bitte warten ..
Mitglied: opalka
18.08.2011 um 02:31 Uhr
Hallo,

danke für Deine Antwort. In den Ordnerberechtigung ist lediglich nur noch "System" vorhanden, andere wie z.B. Authentifizierte Benutzer, Jeder etc. wurden entfernt.

Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:

Eingetragene Gruppen auf Ordner "Buchhaltung": Buchhaltung_Admin, Buchhaltung_Lesen, Buchhaltung_Schreiben + SYSTEM. Es werden keine weiteren Gruppen geerbt. Analog dazu die Gruppen in der Freigabe aber ohne SYSTEM. Die Sonderbereiche-Gruppen haben keinen Zugriff auf "Buchhaltung".

Warum sollte ich "Jeder" einen Vollzugriff geben, wenn es schon reicht die Sonderbereich_Schreiben-Gruppe hinzuzufügen?! Jeder hat an dieser Stelle garnichts zu suchen. Auch die Standart-ACLs haben dort meiner Meinung nach nichts zu suchen. Lediglich "System" um ein Backup durchzuführen.

Vielleicht irre ich mich ja, lasse mich gern eines besseren belehren, aber wie bereits gesagt, es reicht vollkommen die Gruppe "Sonderbereiche_Schreiben" dem Benutzer hinzuzufügen und schon kann er auch in Buchhaltung schreiben, wenn er denn über die Freigabe "Sonderbereiche" geht. Geht er direkt über die Freigabe "Buchhaltung" klappt es ja auch. Mir gehts es einfach nur darum, wie verhindere ich, dass der Benutzer auf der obersten Ebene etwas ändern/erstellen kann?!

Gruß
Bitte warten ..
Mitglied: C.R.S.
18.08.2011 um 06:34 Uhr
Hallo

Zitat von opalka:
Hallo,
Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:

Erreichbar vielleicht, aber nach dem Text oben nicht als eigene Freigabe. In sämtlichen Ordnern, die über die Freigabe Sonderbereiche aufgerufen werden, stehen Benutzer unter ihrer diesbezüglichen Freigabeberechtigung entsprechend der Gruppenzugehörigkeit Sonderbereiche_*. Im Fall des Benutzers X ist das die Freigabeberechtigung Lesen. Da Freigabe- und Dateisystemberechtigungen auf die niedrigsten Rechte kumuliert werden, bleibt es dabei.
Bei der Freigabe musst Du dem Benutzer die höchsten innerhalb der Freigabe erforderlichen Rechte geben. Darunter wird dann über die Dateisystemrechte differenziert.

Grüße
Richard
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 07:01 Uhr
Moin,

kann ich nur noch mal bestätigen was die Vorredner schrieben:

Du musst die Freigabeberechtigung bearbeiten.

VG
Bitte warten ..
Mitglied: opalka
18.08.2011 um 08:44 Uhr
Hallo,

sorry, aber irgendwie raff ich es nicht. Wie bereits geschrieben gebe ich ja dem Benutzer die "Sonderbereiche_Schreiben"-Mitgliedschaft und dann funktioniert ja auch alles so wie es soll, bis auf das kleine Problem, dass der Benutzer auch auf der obersten Ebene schreiben kann und genau dies will ich nicht.

Ich formuliere das ganze vielleicht noch einmal um: Wie verhindere ich, dass ein Benutzer mit Schreibrechten auf einer Freigabe schreiben kann? Er soll ja ersten auf der zweiten Ebene schreiben dürfen, also in den Unterordnern wie z.B. Buchhaltung, Verwaltung etc.

Gruß
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 09:39 Uhr
HI,

du musst doch unterscheiden zwischen:

Freigabeberechtigung die stellst du im Reiter Freigabe unter Berechtigungen ein und
NTFS Sicherheit die stellst du unter Sicherheit ein.

Nun sag uns doch mal wie die Freigabeberechtigungen aussehen von der obersten Freigabe.

VG
Bitte warten ..
Mitglied: DerWoWusste
18.08.2011 um 09:39 Uhr
Setze Freigabe: jeder auf ändern. Und die Ordner über die NTFS-Rechte absichern. Das macht den Unterschied.
Bitte warten ..
Mitglied: opalka
18.08.2011 um 09:59 Uhr
Danke @C.R.S, das war der entscheidene Tipp

Habe nun das Problem gelöst. Ich habe nun 2 Arten von Sicherheitsgruppen erstellt, und zwar einmal für die Ordner-Ebene und einmal für die Freigabeebene:

- ordner_sonderbereiche_admin
- ordner_sonderbereiche_lesen
- ordner_sonderbereiche_schreiben

- freigabe_sonderbereiche_admin
- freigabe_sonderbereiche_lesen
- freigabe_sonderbereiche_schreiben

Benutzer X wird nun Mitglied in "freigabe_sonderbereiche_schreiben", jedoch nicht in "ordner_sonderbereiche_schreiben". Somit hat er zwar das Recht auf die Freigabe zu schreiben, dies wird dann aber auf Ordnerebene abgeblockt.

Ist zwar doppelte Arbeit, aber wenn es erst einmal umgesetzt ist, dann ist es sehr nützlich.

Gruß
Bitte warten ..
Mitglied: opalka
18.08.2011 um 10:01 Uhr
@DerWoWusste

oder man macht es so, dann brauche ich auch nicht die doppelten Sicherheitsgruppen.

Das Jeder hatte mir nur zu schaffen gemacht, aber ist ja blödsinn, da die Ordnerrechte ja alles abblocken, was nicht sein soll.

Hab mal wieder viel zu kompliziert gedacht.

Danke für Eure Hilfe.

Gruß
Bitte warten ..
Mitglied: Xaero1982
18.08.2011 um 10:16 Uhr
Gerne ....

FülltextFülltext
Bitte warten ..
Ähnliche Inhalte
Windows Server

Freigabe führt nicht zur Schreib-Berechtigung

gelöst Frage von ElmaCxWindows Server11 Kommentare

Hallo miteinander, ich bin seit 2 Tagen an einer Berechtigungs Problematik zu Gange, bei welcher ich die Lösung nicht ...

Server

Freenas schlechte Schreib Performance bei NFS

Frage von janosch12Server17 Kommentare

Hallo, ich habe momentan das Problem das die Performance bei NFS zu wünschen über lässt Schreiben max 100 Mbit/s ...

Debian

Schreib-Berechtigung für PHP-Anwendung unter Debian

gelöst Frage von itebobDebian6 Kommentare

Hallo, ich möchte mit so einer Datei schreiben.php: eine neue Datei erstellen. Das Beispiel oben funktioniert auf dem Webspace ...

Exchange Server

Exchange-Tool: Nur Leseberechtigung auf ein eingebundenes Outlook-Postfach

gelöst Frage von HeuristikerExchange Server7 Kommentare

Guten Morgen zusammen, ich hätte gerne gewusst, ob die Möglichkeit besteht, einer AD-Gruppe innerhalb der Exchange-Verwaltungskonsole nur (!) Leseberechtigungen ...

Neue Wissensbeiträge
Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 1 TagFirewall1 Kommentar

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 2 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 3 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Google Android
Facebooks unsichtbare Datensammlung
Information von AnkhMorpork vor 3 TagenGoogle Android3 Kommentare

Rund 30 Prozent aller Apps im Play-Store nehmen Kontakt zu Facebook auf, sobald man sie startet. So erfährt der ...

Heiß diskutierte Inhalte
Linux Userverwaltung
LogIn Versuche beschränken auf EINEN Versuch
gelöst Frage von GarroshLinux Userverwaltung23 Kommentare

Folgendes Problem Ich habe einen dezidierten Server beim Hoster gemietet, installiert ist Ubuntu 18.04.2 LTS‬ und als Webinterface Plesk. ...

Backup
Wo installiert man Veeam bei SoHo?
Frage von EDVMan27Backup14 Kommentare

Hallo, nachdem ich die neue Veeam CE bei mir getestet habe, wollte ich es einmal bei einem Kunden testen. ...

CPU, RAM, Mainboards
Kann eine "virtuelle CPU" bei VMware die Leistung einer phys. CPU entsprechen ?
Frage von Troja71CPU, RAM, Mainboards11 Kommentare

Eine Software fordert im Betrieb 8 CPU mit x GHz Taktung. Verfügbar ist "nur" eine VM mit 8 vCPUs ...

Batch & Shell
Tasklist überprüfen
Frage von IleiesBatch & Shell10 Kommentare

Hallo zusammen, Wie kann ich in Batch überprüfen, ob gerade der Prozess "Skype.exe" ausgeführt wird? Also nicht so dass ...