joshivince
Goto Top

Server 2008 - Freigaben - Ordnerzugriff sperren für alle außer für 5 Personen?

Es soll innerhalb eines Freigegebenen Laufwerks ein Ordner für alle personen im Unternehmen gesperrt werden, außer für GF und einen User.

Hallo zusammen,

ich denke mein Anliegen ist nicht so schwer, ich selbst zerbreche mir aber den Kopf.
Googlen hilft mir in dem Fall nicht viel, da ich nicht weiß mit was für Stichworten ich korrekterweise suchen muss.


Folgendes Problem:

Es gibt ein freigegebenes Laufwerk, das sich standardmäßig jeder Benutzer als R-Laufwerk verbunden hat. Dieses Laufwerk beinhaltet alle Daten mit denen die User des Unternehmens arbeiten.
Innerhalb dieses Laufwerkes gibt es einen Ordner, der nennt sich "Mitarbeiter". Darin befindlich wiederum Ordner bezeichnet mit den Namen der Mitarbeiter. Jeder MA hat also seinen eigenen Ordner. Jeder MA kann in jeden dieser Ordner gucken (Schreib- und Leserechte).
Das ist soweit nicht schlimm und auch z. T. gewollt. Nur in einem Fall nicht:

Der Ordner "Thomas Müller" soll nur für die Geschäftsführung (= 4 Personen) einsehbar sein und für den Herrn Thomas Müller himself.
Ein Verschieben des Ordners soll möglichst nicht in Betracht gezogen werden.

Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen. Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...

So, also muss es einen Möglichkeit geben dieses Problem elegant zu umgehen.

Wie würdet Ihr das angehen?


Danke für Eure Antworten oder Hilfestellungen im Voraus!

Grüße vom
Vince

Content-ID: 179052

Url: https://administrator.de/contentid/179052

Ausgedruckt am: 05.11.2024 um 08:11 Uhr

carwil
carwil 17.01.2012 um 13:05:10 Uhr
Goto Top
Hallo,

in dem Dialog "Sicherheit" warst du schon ganz richtig.
Erst entziehst du hier alle Rechte indem Du die Einträge löscht.
Dann fügst du die Userkonten wieder hinzu die berechtigt werden sollen.
Nicht vergessen ggf. ein Administratorkonto hinzuzufügen und zu berechtigen. Sonst können evtl. Sicherungsprogramme den Ordner auch nicht mehr lesen.
Hubert.N
Hubert.N 17.01.2012 um 13:09:23 Uhr
Goto Top
Moin face-smile

Dein Problem könnte auich sein, dass du erst einmal die Vererbung unterbrechen musst, bevor du da Rechte entziehen kannst. Kommt aber darauf an, um was für einen Server es sich handelt. Merken tust du es daran, dass diue EInträge ausgegraut sind.

Sinnvoll ist es übrigens in den allermeisten Fällen, die Benutzer in Gruppen zusammenzufassen und dann die Rechte an die Gruppe zu geben.

Gruß

Hubert
goscho
goscho 17.01.2012 um 13:12:56 Uhr
Goto Top
Zitat von @joshivince:
Hallo zusammen,
Hi auch

Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen.
Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer
sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern
nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
Darum werden die User auch zu Gruppen zusammengefasst und man benutzt dann diese. Das mache ich sogar bei 20 und weniger AD-Usern.

BTW: Wenn du nur 5 Usern das Recht auf den Ordner einrichten möchtest, warum nimmst du nicht die Vererbung heraus (Reiter 'erweitert' und dort den Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. ..." weg) und lässt dann nur noch das System und eventuell für andere administrative Tätigkeiten eingestellte Benutzer (Backup, etc) auf Vollzugriff. Danach fügst du die 5 Hanseln hinzu und vergibst die benötigten Rechte. Bei W2K8 oder W2K3 mit ABE sehen alle anderen User diesen Ordner nicht mal mehr.
it-frosch
it-frosch 17.01.2012 um 13:13:41 Uhr
Goto Top
Hallo Vince,

1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
3. das Laufwerk für beide Gruppen freigegen
4. im besagten Geschäftsführungsordner die Vererbung unterbrechen und nur die Gruppe der Geschäftsleitung zulassen

grüße vom it-frosch
goscho
goscho 17.01.2012 um 13:18:12 Uhr
Goto Top
Zitat von @it-frosch:
Hallo Vince,

1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen

Hi IT-Frosch,
wenn das aber nur ein Beispiel vom TO war und er das so für alle ca. 100 Mitarbeiter haben möchte (Ordner mit dem Namen des MA und Zugriff durch MA + GF), dann müsste man - deinem Beispiel folgend - mindestens 200 Gruppen anlegen. face-sad

Wie wäre es , wenn es eine Gruppe GF gibt und der Mitarbeiter als einzelner User hinzugefügt wird? face-wink
it-frosch
it-frosch 17.01.2012 um 13:44:43 Uhr
Goto Top
Hallo Goscho,

des MA und Zugriff durch MA + GF), dann müsste man - deinem Beispiel folgend - mindestens 200 Gruppen anlegen. face-sad
Wir versuchen das so weit wie möglich durchzuhalten auch wenn es sehr aufwendig ist.
Ich weiß.

Wie wäre es , wenn es eine Gruppe GF gibt und der Mitarbeiter als einzelner User hinzugefügt wird? face-wink
Das ist wesentlich bequemer. Mitunter tun wir das auch. face-wink

grüße vom it-frosch
joshivince
joshivince 17.01.2012 um 16:44:53 Uhr
Goto Top
Hallo alle zusammen, toll...
da komm ich vom Kunden zurück und hab wieder mal super konstruktive Beiträge!

Danke erstmal dafür.

Ich werde mich in dem speziellen Fall dafür entscheiden die vererbten Berechtigungen zu entfernen, alle User die da nichts zu suchen haben entfernen und nur denjenigen Zugriff gewähren, die drauf müssen.

Bei anderen Gelegenheiten werde ich über Gruppen arbeiten.

Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".

Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig arbeiten...

Also als letzte Frage bevor ich loslege: SICHER, dass ich den "Jeder" Eintrag entferne und 5 User (+ meinen Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
Acronis sichert den Server übrigens mit dem Admin-User, das wäre in dem Fall dann ok (weil oben carwil schrieb, dass es da auch Probleme haben könnte).

Es handelt sich übrigens (und sry fürs Vergessen) um einen Windows Server 2008 Standard x64.

Grüße vom
Vince

P.s. User SYSTEM und ERSTELLER-BESITZER... was mach ich mit denen? Lassen?
goscho
goscho 17.01.2012 um 17:37:09 Uhr
Goto Top
Zitat von @joshivince:
Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".

Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich
nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig
arbeiten...
Wenn du selbst (der Administrator) hinterher keine Berechtigung mehr hatte, dann war das ja auch o.k.
Also als letzte Frage bevor ich loslege: SICHER, dass ich den "Jeder" Eintrag entferne und 5 User (+ meinen
Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
Wenn du 'jeder' auf Vollzugriff lässt, kannst du dir die restlichen Einstellung sparen (außer bei 'Verweigern', das hat Vorrang).
P.s. User SYSTEM und ERSTELLER-BESITZER... was mach ich mit denen? Lassen?
Zu 'System' habe ich schon was gesagt und Ersteller-Besitzer ist wer?

PS: Wie das bei Adonis ist, weiß ich nicht, aber bei anderen Programmen kann der Zugriff durch den Backup-User vor der Sicherung getestet werden.
joshivince
joshivince 17.01.2012 um 17:41:22 Uhr
Goto Top
Servus goscho.

Ja stimmt, habs übersehen. SYSTEM bleibt also.

Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht erstellt. Wahrscheinlich war das der User.

Also wenn ich dich nun hier in deinem letzten Beitrag richtig verstanden habe bleibt der Eintrag "Jeder" erhalten, oder?
goscho
goscho 17.01.2012 um 17:47:28 Uhr
Goto Top
Zitat von @joshivince:
Servus goscho.

Ja stimmt, habs übersehen. SYSTEM bleibt also.

Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht
erstellt. Wahrscheinlich war das der User.
Was ist daran jetzt schwer zu verstehen?
Wenn der User 'Thomas Müller' der Ersteller-Besitzer ist und über die erweiterten Berechtigungen 'Vollzugriff' hat, kannst du diesen auch drin lassen und nur noch die GFs eintragen.
Wenn du dir nicht sicher bist, dass es der User ist, schmeißt du ihn raus und machst das, was wir dir erklärt haben. face-wink
Also wenn ich dich nun hier in deinem letzten Beitrag richtig verstanden habe bleibt der Eintrag "Jeder" erhalten, oder?
Nein, das hast du komplett missverstanden, face-sad dabei steht's dort unmissverständlich:
Wenn du 'jeder' auf Vollzugriff lässt, kannst du dir die restlichen Einstellung sparen (außer bei 'Verweigern', das hat Vorrang).

Wenn du in den Sicherheitseinstellungen bei 'jeder' den Vollzugriff lässt, hat jeder Vollzugriff auf diesen Ordner. Genau das möchtest du aber ändern.
'Jeder' muss dort entfernt werden.
joshivince
joshivince 18.01.2012 um 13:08:15 Uhr
Goto Top
Servusle,

so hab das nun so gemacht wie angesagt:

1.) Übergeordnete Berechtigungen entfernt (Häkchen in den erweiterten Einstellungen)
2.) Alle User (auch Jeder) entfernt und den Benutzer selbst hinzugefügt, den Administrator und die GF
3.) Beim Übernehmen der Änderungen kam folgende Fehlermeldungen:

f44c1876bcdf33b1b8b2212cffd055c0

Allerdings scheint dennoch alles zu funktionieren... Falls Euch der Fehler bekannt ist wäre ne kurze Info lieb, ansonsten markiere ich das Topic hier heute Abend als gelöst!

Danksche nochmals herzlichst!

Vince
joshivince
joshivince 18.01.2012 um 13:15:59 Uhr
Goto Top
P.s. Hab testweise gerade einen User hinzugefügt und wieder auf "Übernehmen" gedrückt. Es kommen wieder die "Zugriff verweigert"-Meldungen...
Hubert.N
Hubert.N 19.01.2012 um 09:28:12 Uhr
Goto Top
... dann hast du selber keinen ausreichenden Zugriff auf die Dateien bzw. Ordner.

Übernimm mal den Besitz an den Dateien.

Gruß

Hubert
joshivince
joshivince 19.01.2012 um 10:07:38 Uhr
Goto Top
OK, das wars. DANKE!
Nun funk alles wie es soll!

Was habe ich daraus gelernt?

Der Eintrag "Jeder" ist im grunde der ganze Knackpunkt. Wenn ich den entferne haben andere, nicht eingetragene User nichtmal die Möglichkeit den entsprechenden Ordner zu sehen.

Super,

vielen herzlichen Dank wieder mal an alle Beteiligten...

Der
Vince