9
Sicherheitseinstellungen Windows Server
Hi zusammen,
ich habe eine Verständnis/Best-Practice Frage zu einer Freigabe mit zwei oder mehr Ordnern.
Hier einmal als Beispiel:
Ich habe einen freigegebenen Ordner mit zwei Unterordnern.
Freigabe Ordner: Daten ->
Unterordner 1: Alle
Unterordner 2: Geschützt
Unterordner 1: Alle = Sicherheitseinstellungen Domänen-Benutzer Rechte: Lesen, Schreiben etc.
Unterordner 2: Geschützt = Sicherheitseinstellungen nur Mitglieder Geschäftsführung Rechte: Lesen, Schreiben etc.
Wenn jetzt jemand einen Ordner in Unterordner Alle anlegt als Beispiel Ordner Test und diesen Ordner anschließend in Geschützt verschiebt, dann hat jeder Domänen-Benutzer der den Ordnerpfad kennt Zugriff auf diesen.
\\Server\Daten\Geschützt = Domänen-Benutzer Kein Zugriff
\\Server\Daten\Geschützt\Test = Domänen-Benutzer Zugriff
Wie kann ich das umgehen? Berechtigungen anpassen bekommen die meisten Nutzer eher nicht hin 😊.
Ich finde leider keine passende Antwort, bzw. hoffe das es einen Ideal weg gibt.
Chatgpt Antworten sind „Murks“, oder?
Falls du sicherstellen möchtest, dass Ordner und Dateien ihre Berechtigungen automatisch anpassen, sobald sie in den geschützten Bereich verschoben werden, könntest du ein Tool wie den File Server Resource Manager (FSRM) nutzen, um Dateisystemaktionen zu überwachen und auf bestimmte Änderungen zu reagieren.
Ein Skript oder eine Gruppenrichtlinie kann ebenfalls helfen, wenn die Berechtigungen beim Verschieben regelmäßig neu gesetzt werden müssen. Du könntest ein PowerShell-Skript schreiben, das regelmäßig die Berechtigungen im geschützten Ordner überprüft und anpasst. Eine Beispielstrategie wäre:
Ein PowerShell-Skript, das regelmäßig alle Ordner im Verzeichnis \\Server\Daten\Geschützt durchläuft und sicherstellt, dass die richtigen Berechtigungen gesetzt sind (und ggf. die falschen Berechtigungen korrigiert).
Danke euch!
Grüße
Bastian
ich habe eine Verständnis/Best-Practice Frage zu einer Freigabe mit zwei oder mehr Ordnern.
Hier einmal als Beispiel:
Ich habe einen freigegebenen Ordner mit zwei Unterordnern.
Freigabe Ordner: Daten ->
Unterordner 1: Alle
Unterordner 2: Geschützt
Unterordner 1: Alle = Sicherheitseinstellungen Domänen-Benutzer Rechte: Lesen, Schreiben etc.
Unterordner 2: Geschützt = Sicherheitseinstellungen nur Mitglieder Geschäftsführung Rechte: Lesen, Schreiben etc.
Wenn jetzt jemand einen Ordner in Unterordner Alle anlegt als Beispiel Ordner Test und diesen Ordner anschließend in Geschützt verschiebt, dann hat jeder Domänen-Benutzer der den Ordnerpfad kennt Zugriff auf diesen.
\\Server\Daten\Geschützt = Domänen-Benutzer Kein Zugriff
\\Server\Daten\Geschützt\Test = Domänen-Benutzer Zugriff
Wie kann ich das umgehen? Berechtigungen anpassen bekommen die meisten Nutzer eher nicht hin 😊.
Ich finde leider keine passende Antwort, bzw. hoffe das es einen Ideal weg gibt.
Chatgpt Antworten sind „Murks“, oder?
Falls du sicherstellen möchtest, dass Ordner und Dateien ihre Berechtigungen automatisch anpassen, sobald sie in den geschützten Bereich verschoben werden, könntest du ein Tool wie den File Server Resource Manager (FSRM) nutzen, um Dateisystemaktionen zu überwachen und auf bestimmte Änderungen zu reagieren.
Ein Skript oder eine Gruppenrichtlinie kann ebenfalls helfen, wenn die Berechtigungen beim Verschieben regelmäßig neu gesetzt werden müssen. Du könntest ein PowerShell-Skript schreiben, das regelmäßig die Berechtigungen im geschützten Ordner überprüft und anpasst. Eine Beispielstrategie wäre:
Ein PowerShell-Skript, das regelmäßig alle Ordner im Verzeichnis \\Server\Daten\Geschützt durchläuft und sicherstellt, dass die richtigen Berechtigungen gesetzt sind (und ggf. die falschen Berechtigungen korrigiert).
Danke euch!
Grüße
Bastian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668674
Url: https://administrator.de/contentid/668674
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
it's ntot a bug, it's a feature.
Folders/Files die auf der gleichen NTFS Partition verschoben werden behalten ihre Rechte. Pragmatische Lösung: Kopien, dann die Quelle löschen - oder das vom ChatBot vorgeschlagene Powershell Script regelmäßig laufen lassen.
Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben.
lg,
Slainte
it's ntot a bug, it's a feature.
Folders/Files die auf der gleichen NTFS Partition verschoben werden behalten ihre Rechte. Pragmatische Lösung: Kopien, dann die Quelle löschen - oder das vom ChatBot vorgeschlagene Powershell Script regelmäßig laufen lassen.
Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben.
lg,
Slainte
Moin Slainte,
danke für deine schnelle Rückmeldung!
"Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben."
Doch schon, wenn man den genauen Pfad kennt, dann kann man diesen direkt in den Explorer eingeben, es ist nur nicht möglich sich durchzuklicken, da man am Ordner Geschützt hängen bleibt. Allerdings vollständige Pfadeingabe im Explorer funktioniert (gestern getestet).
Grüße
Bastian
danke für deine schnelle Rückmeldung!
"Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben."
Doch schon, wenn man den genauen Pfad kennt, dann kann man diesen direkt in den Explorer eingeben, es ist nur nicht möglich sich durchzuklicken, da man am Ordner Geschützt hängen bleibt. Allerdings vollständige Pfadeingabe im Explorer funktioniert (gestern getestet).
Grüße
Bastian
Aber: Wenn keine Rechte auf "Geschützt" vorhanden sind, kommt man auch nicht an die Unterordner ran, auch wenn auf diese Alle Rechte haben.
Doch
Indem man den vollen Pfad angibt.
Hallo,
Fehlkonfiguration der NTFS-Rechte:
Im einfachsten Fall bezieht sich die ACL von "\\Server\Daten\Geschützt" auf "Alle Unterordner und Dateien" und wird vererbt.
Durch die Vererbung erhält ein neu erstellter oder auch verschobener Ordner "\\Server\Daten\Geschützt\Test" dieselbe ACL. Andere Tools als der Explorer haben aus diesem Grund ja extra Schalter, um beim Verschieben die originäre ACL mit der ererbten zu vereinen. Was für einen Nutzer aber auch nicht funktionieren würde, da er die in dem Fall ausgeübten Rechte zur Änderung der ACL nicht haben darf.
Grüße
Richard
Fehlkonfiguration der NTFS-Rechte:
Im einfachsten Fall bezieht sich die ACL von "\\Server\Daten\Geschützt" auf "Alle Unterordner und Dateien" und wird vererbt.
Durch die Vererbung erhält ein neu erstellter oder auch verschobener Ordner "\\Server\Daten\Geschützt\Test" dieselbe ACL. Andere Tools als der Explorer haben aus diesem Grund ja extra Schalter, um beim Verschieben die originäre ACL mit der ererbten zu vereinen. Was für einen Nutzer aber auch nicht funktionieren würde, da er die in dem Fall ausgeübten Rechte zur Änderung der ACL nicht haben darf.
Grüße
Richard
Guten Morgen zusammen,
wenn ich die Vererbung aktiviere, dann übernimmt er ja zeitgleich auch die Vererbung von "Daten" (zumindest war es bei meinem Aufbau der Fall). Auf den Daten Ordner hatten auch die Domänen-Benutzer Zugriff und dadurch auch auf den "Geschützten".
wenn ich die Vererbung aktiviere, dann übernimmt er ja zeitgleich auch die Vererbung von "Daten" (zumindest war es bei meinem Aufbau der Fall). Auf den Daten Ordner hatten auch die Domänen-Benutzer Zugriff und dadurch auch auf den "Geschützten".
Du musst ja nicht das ganze Laufwerk und alle Unterordner darin und darunter vererben. Es reicht wenn die Vererbung bei "Geschützt" beginnt.
Ich habe nun die Vererbung im Daten Ordner deaktiviert und die Berechtigungen in den beiden Unterordnern neu passend angelegt, so funktioniert es. Habe ich dadurch irgendwelche Nachteile?
Moin,
Gruß,
Dani
Folders/Files die auf der gleichen NTFS Partition verschoben werden behalten ihre Rechte.
das verhalten kann mit einem Registry angepasst werden: [How permissions are handled when you copy and move files and folders https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...].Gruß,
Dani
1Zitat von @Dani:
das verhalten kann mit einem Registry angepasst werden: [How permissions are handled when you copy and move files and folders https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...].
das verhalten kann mit einem Registry angepasst werden: [How permissions are handled when you copy and move files and folders https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...].
Bekämpft nur das Symptom, und die Rechte können ja nicht vom konreten Tool und dessen Konfiguration abhängen, weil sie sonst manupulierbar sind. In einer sicheren Rechtestruktur dürfen nicht gesteuerte Objekte (wie "Test") ausschließlich von gesteuerten Objekten ererbte ACL erhalten. Wenn das der Fall ist, kann das beobachtete Verhalten (ohne administrative Kopie/Umformung der ACL) nicht auftreten.
