Server 2008 - Freigaben - Ordnerzugriff sperren für alle außer für 5 Personen?
Es soll innerhalb eines Freigegebenen Laufwerks ein Ordner für alle personen im Unternehmen gesperrt werden, außer für GF und einen User.
Hallo zusammen,
ich denke mein Anliegen ist nicht so schwer, ich selbst zerbreche mir aber den Kopf.
Googlen hilft mir in dem Fall nicht viel, da ich nicht weiß mit was für Stichworten ich korrekterweise suchen muss.
Folgendes Problem:
Es gibt ein freigegebenes Laufwerk, das sich standardmäßig jeder Benutzer als R-Laufwerk verbunden hat. Dieses Laufwerk beinhaltet alle Daten mit denen die User des Unternehmens arbeiten.
Innerhalb dieses Laufwerkes gibt es einen Ordner, der nennt sich "Mitarbeiter". Darin befindlich wiederum Ordner bezeichnet mit den Namen der Mitarbeiter. Jeder MA hat also seinen eigenen Ordner. Jeder MA kann in jeden dieser Ordner gucken (Schreib- und Leserechte).
Das ist soweit nicht schlimm und auch z. T. gewollt. Nur in einem Fall nicht:
Der Ordner "Thomas Müller" soll nur für die Geschäftsführung (= 4 Personen) einsehbar sein und für den Herrn Thomas Müller himself.
Ein Verschieben des Ordners soll möglichst nicht in Betracht gezogen werden.
Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen. Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
So, also muss es einen Möglichkeit geben dieses Problem elegant zu umgehen.
Wie würdet Ihr das angehen?
Danke für Eure Antworten oder Hilfestellungen im Voraus!
Grüße vom
Vince
Hallo zusammen,
ich denke mein Anliegen ist nicht so schwer, ich selbst zerbreche mir aber den Kopf.
Googlen hilft mir in dem Fall nicht viel, da ich nicht weiß mit was für Stichworten ich korrekterweise suchen muss.
Folgendes Problem:
Es gibt ein freigegebenes Laufwerk, das sich standardmäßig jeder Benutzer als R-Laufwerk verbunden hat. Dieses Laufwerk beinhaltet alle Daten mit denen die User des Unternehmens arbeiten.
Innerhalb dieses Laufwerkes gibt es einen Ordner, der nennt sich "Mitarbeiter". Darin befindlich wiederum Ordner bezeichnet mit den Namen der Mitarbeiter. Jeder MA hat also seinen eigenen Ordner. Jeder MA kann in jeden dieser Ordner gucken (Schreib- und Leserechte).
Das ist soweit nicht schlimm und auch z. T. gewollt. Nur in einem Fall nicht:
Der Ordner "Thomas Müller" soll nur für die Geschäftsführung (= 4 Personen) einsehbar sein und für den Herrn Thomas Müller himself.
Ein Verschieben des Ordners soll möglichst nicht in Betracht gezogen werden.
Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen. Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
So, also muss es einen Möglichkeit geben dieses Problem elegant zu umgehen.
Wie würdet Ihr das angehen?
Danke für Eure Antworten oder Hilfestellungen im Voraus!
Grüße vom
Vince
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 179052
Url: https://administrator.de/contentid/179052
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
in dem Dialog "Sicherheit" warst du schon ganz richtig.
Erst entziehst du hier alle Rechte indem Du die Einträge löscht.
Dann fügst du die Userkonten wieder hinzu die berechtigt werden sollen.
Nicht vergessen ggf. ein Administratorkonto hinzuzufügen und zu berechtigen. Sonst können evtl. Sicherungsprogramme den Ordner auch nicht mehr lesen.
in dem Dialog "Sicherheit" warst du schon ganz richtig.
Erst entziehst du hier alle Rechte indem Du die Einträge löscht.
Dann fügst du die Userkonten wieder hinzu die berechtigt werden sollen.
Nicht vergessen ggf. ein Administratorkonto hinzuzufügen und zu berechtigen. Sonst können evtl. Sicherungsprogramme den Ordner auch nicht mehr lesen.
Moin
Dein Problem könnte auich sein, dass du erst einmal die Vererbung unterbrechen musst, bevor du da Rechte entziehen kannst. Kommt aber darauf an, um was für einen Server es sich handelt. Merken tust du es daran, dass diue EInträge ausgegraut sind.
Sinnvoll ist es übrigens in den allermeisten Fällen, die Benutzer in Gruppen zusammenzufassen und dann die Rechte an die Gruppe zu geben.
Gruß
Hubert
Dein Problem könnte auich sein, dass du erst einmal die Vererbung unterbrechen musst, bevor du da Rechte entziehen kannst. Kommt aber darauf an, um was für einen Server es sich handelt. Merken tust du es daran, dass diue EInträge ausgegraut sind.
Sinnvoll ist es übrigens in den allermeisten Fällen, die Benutzer in Gruppen zusammenzufassen und dann die Rechte an die Gruppe zu geben.
Gruß
Hubert
Hi auch
BTW: Wenn du nur 5 Usern das Recht auf den Ordner einrichten möchtest, warum nimmst du nicht die Vererbung heraus (Reiter 'erweitert' und dort den Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. ..." weg) und lässt dann nur noch das System und eventuell für andere administrative Tätigkeiten eingestellte Benutzer (Backup, etc) auf Vollzugriff. Danach fügst du die 5 Hanseln hinzu und vergibst die benötigten Rechte. Bei W2K8 oder W2K3 mit ABE sehen alle anderen User diesen Ordner nicht mal mehr.
Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen.
Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer
sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern
nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
Darum werden die User auch zu Gruppen zusammengefasst und man benutzt dann diese. Das mache ich sogar bei 20 und weniger AD-Usern.Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer
sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern
nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
BTW: Wenn du nur 5 Usern das Recht auf den Ordner einrichten möchtest, warum nimmst du nicht die Vererbung heraus (Reiter 'erweitert' und dort den Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. ..." weg) und lässt dann nur noch das System und eventuell für andere administrative Tätigkeiten eingestellte Benutzer (Backup, etc) auf Vollzugriff. Danach fügst du die 5 Hanseln hinzu und vergibst die benötigten Rechte. Bei W2K8 oder W2K3 mit ABE sehen alle anderen User diesen Ordner nicht mal mehr.
Hallo Vince,
1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
3. das Laufwerk für beide Gruppen freigegen
4. im besagten Geschäftsführungsordner die Vererbung unterbrechen und nur die Gruppe der Geschäftsleitung zulassen
grüße vom it-frosch
1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
3. das Laufwerk für beide Gruppen freigegen
4. im besagten Geschäftsführungsordner die Vererbung unterbrechen und nur die Gruppe der Geschäftsleitung zulassen
grüße vom it-frosch
Zitat von @it-frosch:
Hallo Vince,
1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
Hallo Vince,
1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
Hi IT-Frosch,
wenn das aber nur ein Beispiel vom TO war und er das so für alle ca. 100 Mitarbeiter haben möchte (Ordner mit dem Namen des MA und Zugriff durch MA + GF), dann müsste man - deinem Beispiel folgend - mindestens 200 Gruppen anlegen.
Wie wäre es , wenn es eine Gruppe GF gibt und der Mitarbeiter als einzelner User hinzugefügt wird?
Hallo Goscho,
Ich weiß.
grüße vom it-frosch
des MA und Zugriff durch MA + GF), dann müsste man - deinem Beispiel folgend - mindestens 200 Gruppen anlegen.
Wir versuchen das so weit wie möglich durchzuhalten auch wenn es sehr aufwendig ist.Ich weiß.
Wie wäre es , wenn es eine Gruppe GF gibt und der Mitarbeiter als einzelner User hinzugefügt wird?
Das ist wesentlich bequemer. Mitunter tun wir das auch. grüße vom it-frosch
Zitat von @joshivince:
Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".
Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich
nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig
arbeiten...
Wenn du selbst (der Administrator) hinterher keine Berechtigung mehr hatte, dann war das ja auch o.k.Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".
Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich
nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig
arbeiten...
Also als letzte Frage bevor ich loslege: SICHER, dass ich den "Jeder" Eintrag entferne und 5 User (+ meinen
Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
Wenn du 'jeder' auf Vollzugriff lässt, kannst du dir die restlichen Einstellung sparen (außer bei 'Verweigern', das hat Vorrang).Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
P.s. User SYSTEM und ERSTELLER-BESITZER... was mach ich mit denen? Lassen?
Zu 'System' habe ich schon was gesagt und Ersteller-Besitzer ist wer?PS: Wie das bei Adonis ist, weiß ich nicht, aber bei anderen Programmen kann der Zugriff durch den Backup-User vor der Sicherung getestet werden.
Zitat von @joshivince:
Servus goscho.
Ja stimmt, habs übersehen. SYSTEM bleibt also.
Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht
erstellt. Wahrscheinlich war das der User.
Was ist daran jetzt schwer zu verstehen?Servus goscho.
Ja stimmt, habs übersehen. SYSTEM bleibt also.
Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht
erstellt. Wahrscheinlich war das der User.
Wenn der User 'Thomas Müller' der Ersteller-Besitzer ist und über die erweiterten Berechtigungen 'Vollzugriff' hat, kannst du diesen auch drin lassen und nur noch die GFs eintragen.
Wenn du dir nicht sicher bist, dass es der User ist, schmeißt du ihn raus und machst das, was wir dir erklärt haben.
Also wenn ich dich nun hier in deinem letzten Beitrag richtig verstanden habe bleibt der Eintrag "Jeder" erhalten, oder?
Nein, das hast du komplett missverstanden, dabei steht's dort unmissverständlich:Wenn du 'jeder' auf Vollzugriff lässt, kannst du dir die restlichen Einstellung sparen (außer bei 'Verweigern', das hat Vorrang).
Wenn du in den Sicherheitseinstellungen bei 'jeder' den Vollzugriff lässt, hat jeder Vollzugriff auf diesen Ordner. Genau das möchtest du aber ändern.
'Jeder' muss dort entfernt werden.