disem1
Goto Top

Sicherheitseinstellungen Windows Server

Hi zusammen,
ich habe eine Verständnis/Best-Practice Frage zu einer Freigabe mit zwei oder mehr Ordnern.
Hier einmal als Beispiel:
Ich habe einen freigegebenen Ordner mit zwei Unterordnern.
Freigabe Ordner: Daten ->
Unterordner 1: Alle
Unterordner 2: Geschützt

Unterordner 1: Alle = Sicherheitseinstellungen Domänen-Benutzer Rechte: Lesen, Schreiben etc.
Unterordner 2: Geschützt = Sicherheitseinstellungen nur Mitglieder Geschäftsführung Rechte: Lesen, Schreiben etc.

Wenn jetzt jemand einen Ordner in Unterordner Alle anlegt als Beispiel Ordner Test und diesen Ordner anschließend in Geschützt verschiebt, dann hat jeder Domänen-Benutzer der den Ordnerpfad kennt Zugriff auf diesen.

\\Server\Daten\Geschützt = Domänen-Benutzer Kein Zugriff
\\Server\Daten\Geschützt\Test = Domänen-Benutzer Zugriff

Wie kann ich das umgehen? Berechtigungen anpassen bekommen die meisten Nutzer eher nicht hin 😊.
Ich finde leider keine passende Antwort, bzw. hoffe das es einen Ideal weg gibt.

Chatgpt Antworten sind „Murks“, oder?
Falls du sicherstellen möchtest, dass Ordner und Dateien ihre Berechtigungen automatisch anpassen, sobald sie in den geschützten Bereich verschoben werden, könntest du ein Tool wie den File Server Resource Manager (FSRM) nutzen, um Dateisystemaktionen zu überwachen und auf bestimmte Änderungen zu reagieren.
Ein Skript oder eine Gruppenrichtlinie kann ebenfalls helfen, wenn die Berechtigungen beim Verschieben regelmäßig neu gesetzt werden müssen. Du könntest ein PowerShell-Skript schreiben, das regelmäßig die Berechtigungen im geschützten Ordner überprüft und anpasst. Eine Beispielstrategie wäre:
Ein PowerShell-Skript, das regelmäßig alle Ordner im Verzeichnis \\Server\Daten\Geschützt durchläuft und sicherstellt, dass die richtigen Berechtigungen gesetzt sind (und ggf. die falschen Berechtigungen korrigiert).

Danke euch!
Grüße
Bastian

Content-ID: 668674

Url: https://administrator.de/contentid/668674

Printed on: November 2, 2024 at 12:11 o'clock

SlainteMhath
SlainteMhath Oct 10, 2024 at 06:07:13 (UTC)
Goto Top
Moin,

it's ntot a bug, it's a feature. face-smile

Folders/Files die auf der gleichen NTFS Partition verschoben werden behalten ihre Rechte. Pragmatische Lösung: Kopien, dann die Quelle löschen - oder das vom ChatBot vorgeschlagene Powershell Script regelmäßig laufen lassen.

Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben.

lg,
Slainte
disem1
disem1 Oct 10, 2024 at 06:21:12 (UTC)
Goto Top
Moin Slainte,
danke für deine schnelle Rückmeldung!

"Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben."

Doch schon, wenn man den genauen Pfad kennt, dann kann man diesen direkt in den Explorer eingeben, es ist nur nicht möglich sich durchzuklicken, da man am Ordner Geschützt hängen bleibt. Allerdings vollständige Pfadeingabe im Explorer funktioniert (gestern getestet).
Grüße
Bastian
NordicMike
NordicMike Oct 10, 2024 at 06:33:48 (UTC)
Goto Top
Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben.

Doch face-smile

Indem man den vollen Pfad angibt.
C.R.S.
C.R.S. Oct 10, 2024 at 13:46:02 (UTC)
Goto Top
Hallo,

Fehlkonfiguration der NTFS-Rechte:

Im einfachsten Fall bezieht sich die ACL von "\\Server\Daten\Geschützt" auf "Alle Unterordner und Dateien" und wird vererbt.
Durch die Vererbung erhält ein neu erstellter oder auch verschobener Ordner "\\Server\Daten\Geschützt\Test" dieselbe ACL. Andere Tools als der Explorer haben aus diesem Grund ja extra Schalter, um beim Verschieben die originäre ACL mit der ererbten zu vereinen. Was für einen Nutzer aber auch nicht funktionieren würde, da er die in dem Fall ausgeübten Rechte zur Änderung der ACL nicht haben darf.

Grüße
Richard
disem1
disem1 Oct 11, 2024 at 05:21:20 (UTC)
Goto Top
Guten Morgen zusammen,
wenn ich die Vererbung aktiviere, dann übernimmt er ja zeitgleich auch die Vererbung von "Daten" (zumindest war es bei meinem Aufbau der Fall). Auf den Daten Ordner hatten auch die Domänen-Benutzer Zugriff und dadurch auch auf den "Geschützten".
NordicMike
NordicMike Oct 11, 2024 at 05:32:51 (UTC)
Goto Top
Du musst ja nicht das ganze Laufwerk und alle Unterordner darin und darunter vererben. Es reicht wenn die Vererbung bei "Geschützt" beginnt.
disem1
disem1 Oct 11, 2024 at 05:45:03 (UTC)
Goto Top
Ich habe nun die Vererbung im Daten Ordner deaktiviert und die Berechtigungen in den beiden Unterordnern neu passend angelegt, so funktioniert es. Habe ich dadurch irgendwelche Nachteile?
Dani
Dani Oct 13, 2024 at 10:05:01 (UTC)
Goto Top
Moin,
Folders/Files die auf der gleichen NTFS Partition verschoben werden behalten ihre Rechte.
das verhalten kann mit einem Registry angepasst werden: [How permissions are handled when you copy and move files and folders https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...].


Gruß,
Dani
C.R.S.
Solution C.R.S. Oct 13, 2024 at 16:22:33 (UTC)
Goto Top
Zitat von @Dani:

das verhalten kann mit einem Registry angepasst werden: [How permissions are handled when you copy and move files and folders https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...].

Bekämpft nur das Symptom, und die Rechte können ja nicht vom konreten Tool und dessen Konfiguration abhängen, weil sie sonst manupulierbar sind. In einer sicheren Rechtestruktur dürfen nicht gesteuerte Objekte (wie "Test") ausschließlich von gesteuerten Objekten ererbte ACL erhalten. Wenn das der Fall ist, kann das beobachtete Verhalten (ohne administrative Kopie/Umformung der ACL) nicht auftreten.