Sicherheitseinstellungen Windows Server
Hi zusammen,
ich habe eine Verständnis/Best-Practice Frage zu einer Freigabe mit zwei oder mehr Ordnern.
Hier einmal als Beispiel:
Ich habe einen freigegebenen Ordner mit zwei Unterordnern.
Freigabe Ordner: Daten ->
Unterordner 1: Alle
Unterordner 2: Geschützt
Unterordner 1: Alle = Sicherheitseinstellungen Domänen-Benutzer Rechte: Lesen, Schreiben etc.
Unterordner 2: Geschützt = Sicherheitseinstellungen nur Mitglieder Geschäftsführung Rechte: Lesen, Schreiben etc.
Wenn jetzt jemand einen Ordner in Unterordner Alle anlegt als Beispiel Ordner Test und diesen Ordner anschließend in Geschützt verschiebt, dann hat jeder Domänen-Benutzer der den Ordnerpfad kennt Zugriff auf diesen.
\\Server\Daten\Geschützt = Domänen-Benutzer Kein Zugriff
\\Server\Daten\Geschützt\Test = Domänen-Benutzer Zugriff
Wie kann ich das umgehen? Berechtigungen anpassen bekommen die meisten Nutzer eher nicht hin 😊.
Ich finde leider keine passende Antwort, bzw. hoffe das es einen Ideal weg gibt.
Chatgpt Antworten sind „Murks“, oder?
Falls du sicherstellen möchtest, dass Ordner und Dateien ihre Berechtigungen automatisch anpassen, sobald sie in den geschützten Bereich verschoben werden, könntest du ein Tool wie den File Server Resource Manager (FSRM) nutzen, um Dateisystemaktionen zu überwachen und auf bestimmte Änderungen zu reagieren.
Ein Skript oder eine Gruppenrichtlinie kann ebenfalls helfen, wenn die Berechtigungen beim Verschieben regelmäßig neu gesetzt werden müssen. Du könntest ein PowerShell-Skript schreiben, das regelmäßig die Berechtigungen im geschützten Ordner überprüft und anpasst. Eine Beispielstrategie wäre:
Ein PowerShell-Skript, das regelmäßig alle Ordner im Verzeichnis \\Server\Daten\Geschützt durchläuft und sicherstellt, dass die richtigen Berechtigungen gesetzt sind (und ggf. die falschen Berechtigungen korrigiert).
Danke euch!
Grüße
Bastian
ich habe eine Verständnis/Best-Practice Frage zu einer Freigabe mit zwei oder mehr Ordnern.
Hier einmal als Beispiel:
Ich habe einen freigegebenen Ordner mit zwei Unterordnern.
Freigabe Ordner: Daten ->
Unterordner 1: Alle
Unterordner 2: Geschützt
Unterordner 1: Alle = Sicherheitseinstellungen Domänen-Benutzer Rechte: Lesen, Schreiben etc.
Unterordner 2: Geschützt = Sicherheitseinstellungen nur Mitglieder Geschäftsführung Rechte: Lesen, Schreiben etc.
Wenn jetzt jemand einen Ordner in Unterordner Alle anlegt als Beispiel Ordner Test und diesen Ordner anschließend in Geschützt verschiebt, dann hat jeder Domänen-Benutzer der den Ordnerpfad kennt Zugriff auf diesen.
\\Server\Daten\Geschützt = Domänen-Benutzer Kein Zugriff
\\Server\Daten\Geschützt\Test = Domänen-Benutzer Zugriff
Wie kann ich das umgehen? Berechtigungen anpassen bekommen die meisten Nutzer eher nicht hin 😊.
Ich finde leider keine passende Antwort, bzw. hoffe das es einen Ideal weg gibt.
Chatgpt Antworten sind „Murks“, oder?
Falls du sicherstellen möchtest, dass Ordner und Dateien ihre Berechtigungen automatisch anpassen, sobald sie in den geschützten Bereich verschoben werden, könntest du ein Tool wie den File Server Resource Manager (FSRM) nutzen, um Dateisystemaktionen zu überwachen und auf bestimmte Änderungen zu reagieren.
Ein Skript oder eine Gruppenrichtlinie kann ebenfalls helfen, wenn die Berechtigungen beim Verschieben regelmäßig neu gesetzt werden müssen. Du könntest ein PowerShell-Skript schreiben, das regelmäßig die Berechtigungen im geschützten Ordner überprüft und anpasst. Eine Beispielstrategie wäre:
Ein PowerShell-Skript, das regelmäßig alle Ordner im Verzeichnis \\Server\Daten\Geschützt durchläuft und sicherstellt, dass die richtigen Berechtigungen gesetzt sind (und ggf. die falschen Berechtigungen korrigiert).
Danke euch!
Grüße
Bastian
Please also mark the comments that contributed to the solution of the article
Content-ID: 668674
Url: https://administrator.de/contentid/668674
Printed on: November 2, 2024 at 12:11 o'clock
9 Comments
Latest comment
Moin,
it's ntot a bug, it's a feature.
Folders/Files die auf der gleichen NTFS Partition verschoben werden behalten ihre Rechte. Pragmatische Lösung: Kopien, dann die Quelle löschen - oder das vom ChatBot vorgeschlagene Powershell Script regelmäßig laufen lassen.
Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben.
lg,
Slainte
it's ntot a bug, it's a feature.
Folders/Files die auf der gleichen NTFS Partition verschoben werden behalten ihre Rechte. Pragmatische Lösung: Kopien, dann die Quelle löschen - oder das vom ChatBot vorgeschlagene Powershell Script regelmäßig laufen lassen.
Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben.
lg,
Slainte
Hallo,
Fehlkonfiguration der NTFS-Rechte:
Im einfachsten Fall bezieht sich die ACL von "\\Server\Daten\Geschützt" auf "Alle Unterordner und Dateien" und wird vererbt.
Durch die Vererbung erhält ein neu erstellter oder auch verschobener Ordner "\\Server\Daten\Geschützt\Test" dieselbe ACL. Andere Tools als der Explorer haben aus diesem Grund ja extra Schalter, um beim Verschieben die originäre ACL mit der ererbten zu vereinen. Was für einen Nutzer aber auch nicht funktionieren würde, da er die in dem Fall ausgeübten Rechte zur Änderung der ACL nicht haben darf.
Grüße
Richard
Fehlkonfiguration der NTFS-Rechte:
Im einfachsten Fall bezieht sich die ACL von "\\Server\Daten\Geschützt" auf "Alle Unterordner und Dateien" und wird vererbt.
Durch die Vererbung erhält ein neu erstellter oder auch verschobener Ordner "\\Server\Daten\Geschützt\Test" dieselbe ACL. Andere Tools als der Explorer haben aus diesem Grund ja extra Schalter, um beim Verschieben die originäre ACL mit der ererbten zu vereinen. Was für einen Nutzer aber auch nicht funktionieren würde, da er die in dem Fall ausgeübten Rechte zur Änderung der ACL nicht haben darf.
Grüße
Richard
Moin,
Gruß,
Dani
Folders/Files die auf der gleichen NTFS Partition verschoben werden behalten ihre Rechte.
das verhalten kann mit einem Registry angepasst werden: [How permissions are handled when you copy and move files and folders https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...].Gruß,
Dani
Zitat von @Dani:
das verhalten kann mit einem Registry angepasst werden: [How permissions are handled when you copy and move files and folders https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...].
das verhalten kann mit einem Registry angepasst werden: [How permissions are handled when you copy and move files and folders https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...].
Bekämpft nur das Symptom, und die Rechte können ja nicht vom konreten Tool und dessen Konfiguration abhängen, weil sie sonst manupulierbar sind. In einer sicheren Rechtestruktur dürfen nicht gesteuerte Objekte (wie "Test") ausschließlich von gesteuerten Objekten ererbte ACL erhalten. Wenn das der Fall ist, kann das beobachtete Verhalten (ohne administrative Kopie/Umformung der ACL) nicht auftreten.