15
"Verknüpfungsproblem" - Abfrage blockieren bei Usern ohne bestimmte Berechtigung?
Hallo zusammen,
Es gibt in einer Umgebung Ordner, auf die nur gewisse User Zugriff haben. Wenn ich eine Verknüpfung auf einen solchen Ordner in einen anderen Ordner setze, dann ergeben sich zwei Möglichkeiten:
a) User mit Berechtigungen klickt auf die Verknüpfung -> er wird in den entsprechenden Ordner geleitet. Alles gut
b) User ohne Berechtigungen klickt auf die Verknüpfung -> Meldung (Verknüpfungsproblem - Das Element ... wurde veränder oder verschoben. Soll diese Verknüpfung gelöscht werden?) erscheint. Nicht gut.
Gibt es also die Möglichkeit zu Verhindern, dass User ohne Zugriff auf den Ordner diese Verknüpfung löschen können? Oder gibt es die Möglichkeit diese aufkommende Meldung zu deaktivieren.
Danke im Voraus und viele Grüße
Kilrathi
Es gibt in einer Umgebung Ordner, auf die nur gewisse User Zugriff haben. Wenn ich eine Verknüpfung auf einen solchen Ordner in einen anderen Ordner setze, dann ergeben sich zwei Möglichkeiten:
a) User mit Berechtigungen klickt auf die Verknüpfung -> er wird in den entsprechenden Ordner geleitet. Alles gut
b) User ohne Berechtigungen klickt auf die Verknüpfung -> Meldung (Verknüpfungsproblem - Das Element ... wurde veränder oder verschoben. Soll diese Verknüpfung gelöscht werden?) erscheint. Nicht gut.
Gibt es also die Möglichkeit zu Verhindern, dass User ohne Zugriff auf den Ordner diese Verknüpfung löschen können? Oder gibt es die Möglichkeit diese aufkommende Meldung zu deaktivieren.
Danke im Voraus und viele Grüße
Kilrathi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 375363
Url: https://administrator.de/contentid/375363
Ausgedruckt am: 24.11.2024 um 19:11 Uhr
15 Kommentare
Neuester Kommentar
Hallo!
Du könntest die Verknüpfungen als lokaler Administrator erstellen, dann kann der normale User daran nichts ändern, da er keine Berechtigungen hat.
Edit: Vorausgesetzt die Verknüpfungen befinden sich am lokalen Rechner!
Gruß
eisbein
Du könntest die Verknüpfungen als lokaler Administrator erstellen, dann kann der normale User daran nichts ändern, da er keine Berechtigungen hat.
Edit: Vorausgesetzt die Verknüpfungen befinden sich am lokalen Rechner!
Gruß
eisbein
Gibt's zwei GPOs für
Do not use the search-based method when resolving shell shortcuts
Do not use the tracking-based method when resolving shell shortcuts
Und dann einfach bei Bedarf noch die Berechtigungen auf den Link passend setzen.
Do not use the search-based method when resolving shell shortcuts
Do not use the tracking-based method when resolving shell shortcuts
Und dann einfach bei Bedarf noch die Berechtigungen auf den Link passend setzen.
Hi!
Die Verknüpfungen bzw. die Verzeichnisse befinden sich auf Netzlaufwerken.
Das heißt die eigentlichen Ordner liegen verteilt auf zwei Fileservern. Die User greifen über DFS Namespace auf die Ordner zu, für die sie jeweils über Gruppen (Read / Write/Read) berechtigt sind.
Das Problem mit den Verknüpfungen ist auch nur entstanden, weil damit versucht wird ein anderes Problem zu umgehen.
User erhalten Berechtigungen auf Ordnerebene 2. Alle darunter liegenden Ordner bekommen die Rechte vererbt. In einem speziellen Fall sollen aber Ordner auf Ebene 3 andere Berechtigungen erhalten (dabei aber keine zusätzlichen Gruppen angelegt werden oder Vererbung unterbrochen etc.). Deswegen werden ein oder mehrere andere Ebene 2 Ordner erstellt, auf die die bestimmten Benutzer berechtigt sind und diese Ordner werden dann über eine Verknüpfung im eigentlichen Ebene 3 Ordner erreicht...
Die Verknüpfungen bzw. die Verzeichnisse befinden sich auf Netzlaufwerken.
Das heißt die eigentlichen Ordner liegen verteilt auf zwei Fileservern. Die User greifen über DFS Namespace auf die Ordner zu, für die sie jeweils über Gruppen (Read / Write/Read) berechtigt sind.
Das Problem mit den Verknüpfungen ist auch nur entstanden, weil damit versucht wird ein anderes Problem zu umgehen.
User erhalten Berechtigungen auf Ordnerebene 2. Alle darunter liegenden Ordner bekommen die Rechte vererbt. In einem speziellen Fall sollen aber Ordner auf Ebene 3 andere Berechtigungen erhalten (dabei aber keine zusätzlichen Gruppen angelegt werden oder Vererbung unterbrochen etc.). Deswegen werden ein oder mehrere andere Ebene 2 Ordner erstellt, auf die die bestimmten Benutzer berechtigt sind und diese Ordner werden dann über eine Verknüpfung im eigentlichen Ebene 3 Ordner erreicht...
Hi,
das mit den Verknüpfungen ist Käse. Schau Dir mal Symbolic Links an.
Dann an jedem Client, welcher diesem Link folgen können soll:
(kann man per GPO -Startupscript erschlagen)
E.
das mit den Verknüpfungen ist Käse. Schau Dir mal Symbolic Links an.
mklink /D \\server\freigabe\Ordner1\Ordner2_tiefer \\server\freigabe\Ordner1\Ordner3\Ordner4\Ordner2_tieferDann an jedem Client, welcher diesem Link folgen können soll:
(kann man per GPO -Startupscript erschlagen)
fsutil behavior set symlinkevaluation R2R:1E.
Ok bei mir am lokalen Rechner hat der Test geklappt.
Am Server bisher nicht:
Was übersehe ich hier?
mklink /d E:\Temp D:\Temp
symbolische Verknüpfung erstellt für e:\Temp <<===>> d:\TempAm Server bisher nicht:
mklink /d "D:\Projekte\TEST_AK\Projekt 1\C" "D:\Projekte\TEST_AK_DS\Projekt 1-C"
Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist.Was übersehe ich hier?
Ähm habe ich ein Denkfehler oder sollte es nicht einfach reichen den Usern die NTFS Schreibrechte auf die Verknüpfung zu verweigern? Okay eventuell muss man eine Vererbung von der Ebene drüber unterbrechen oder so aber an für sich hätte sich dann das Thema erledigt. Oder?
Zitat von @Ex0r2k16:
Ähm habe ich ein Denkfehler oder sollte es nicht einfach reichen den Usern die NTFS Schreibrechte auf die Verknüpfung zu verweigern? Okay eventuell muss man eine Vererbung von der Ebene drüber unterbrechen oder so aber an für sich hätte sich dann das Thema erledigt. Oder?
Ähm habe ich ein Denkfehler oder sollte es nicht einfach reichen den Usern die NTFS Schreibrechte auf die Verknüpfung zu verweigern? Okay eventuell muss man eine Vererbung von der Ebene drüber unterbrechen oder so aber an für sich hätte sich dann das Thema erledigt. Oder?
Genau das ist eben nicht möglich. Die Vererbung darf / soll / kann nicht unterbrochen werden. Dies müsste nämlich jedes Mal durch einen der Admins durchgeführt werden. mklink können die User selbst auch ausführen oder?
Zitat von @kilrathi:
Die Vererbung darf / soll / kann nicht unterbrochen werden. Dies müsste nämlich jedes Mal durch einen der Admins durchgeführt werden.
Die Vererbung darf / soll / kann nicht unterbrochen werden. Dies müsste nämlich jedes Mal durch einen der Admins durchgeführt werden.
Was meinst du jetzt genau? Das unterbrechen der Vererbung kann einmalig vom Admin eingestellt werden. Wieso jedes mal? Klar für jeden Ordner natürlich. Und schön ist das auch nicht aber naja. Ich weiß ja nicht wie euer Fileserver sonst so aussieht
Ob mklink ohne Adminrechte läuft, weiß ich nicht.
Zitat von @Ex0r2k16:
Was meinst du jetzt genau? Das unterbrechen der Vererbung kann einmalig vom Admin eingestellt werden. Wieso jedes mal? Klar für jeden Ordner natürlich. Und schön ist das auch nicht aber naja. Ich weiß ja nicht wie euer Fileserver sonst so aussieht
Ob mklink ohne Adminrechte läuft, weiß ich nicht.
Zitat von @kilrathi:
Die Vererbung darf / soll / kann nicht unterbrochen werden. Dies müsste nämlich jedes Mal durch einen der Admins durchgeführt werden.
Die Vererbung darf / soll / kann nicht unterbrochen werden. Dies müsste nämlich jedes Mal durch einen der Admins durchgeführt werden.
Was meinst du jetzt genau? Das unterbrechen der Vererbung kann einmalig vom Admin eingestellt werden. Wieso jedes mal? Klar für jeden Ordner natürlich. Und schön ist das auch nicht aber naja. Ich weiß ja nicht wie euer Fileserver sonst so aussieht
Ob mklink ohne Adminrechte läuft, weiß ich nicht.
Genau das meine ich. Da es sich im Laufe der Zeit um eine Vielzahl an Ordnern handeln wird, müsste jemand der Admins das jedes Mal machen. Ziel ist aber die Verwaltung der Ordner so weit wie möglich auf die User zu übergeben. Da gibt es noch viele andere Baustellen, aber das ist ein anderes Thema
Was ich allerdings noch nicht verstehe: Warum sehen User ohne Zugriff die Verknüpfung überhaupt? Ich würde eher hier ansetzen. Da scheint ja was nicht zu stimmen. Sie gelangen ja schon in Bereiche, mit denen Sie eh nix anfangen können. Kannst du diese User nicht einfach anders von dieser Verknüpfung "fernhalten"? Wenn das keine historisch gewachsene Geschichte ist, und du nochwas ändern kannst, würde ich dir empfehlen, dass diese User eine Ordnerebene darüber per ACL oder so abgefangen werden. Würde dann eh einer normalen Fileserverstruktur mit z.B. Firma\Abteilung\Team\ entsprechen.
Zitat von @Ex0r2k16:
Was ich allerdings noch nicht verstehe: Warum sehen User ohne Zugriff die Verknüpfung überhaupt? Ich würde eher hier ansetzen. Da scheint ja was nicht zu stimmen. Sie gelangen ja schon in Bereiche, mit denen Sie eh nix anfangen können. Kannst du diese User nicht einfach anders von dieser Verknüpfung "fernhalten"? Wenn das keine historisch gewachsene Geschichte ist, und du nochwas ändern kannst, würde ich dir empfehlen, dass diese User eine Ordnerebene darüber per ACL oder so abgefangen werden. Würde dann eh einer normalen Fileserverstruktur mit z.B. Firma\Abteilung\Team\ entsprechen.
Was ich allerdings noch nicht verstehe: Warum sehen User ohne Zugriff die Verknüpfung überhaupt? Ich würde eher hier ansetzen. Da scheint ja was nicht zu stimmen. Sie gelangen ja schon in Bereiche, mit denen Sie eh nix anfangen können. Kannst du diese User nicht einfach anders von dieser Verknüpfung "fernhalten"? Wenn das keine historisch gewachsene Geschichte ist, und du nochwas ändern kannst, würde ich dir empfehlen, dass diese User eine Ordnerebene darüber per ACL oder so abgefangen werden. Würde dann eh einer normalen Fileserverstruktur mit z.B. Firma\Abteilung\Team\ entsprechen.
OK also:
Es gibt einen Ordner X. Dieser hat die Unterordner Y und Z. Auf dieser Ordner wird berechtigt. D.h. z.B. Y und alles drunter hat die gleichen Berechtigungen. Im Ordner Y gibt es die Ordner A B C ... Die User sehen also die Ordner und haben z.B. Schreibrechte. Jetzt soll allerdings der Ordner C nur für bestimmte User sichtbar sein bzw. nur bestimmte User haben Zugriff auf diesen Ordner. Da die Vererbung nicht unterbrochen wird bleibt die Möglichkeit a) den Ordner C ausgliedern als separaten Ebene 2 Ordner mit eigenen Berechtigungen (nicht möglich, da es im Laufe der Zeit unfassbar viele dieser "C" Ordner geben wird und die User dann von 10000000000 Ordnern im Explorer erschlagen werden) oder eben eine Verknüpfung zu einem anderen Ebene 2 Ordner erstellen. So haben die User das Gefühl sie würden nach wie vor in der X/Y/C Ordnerstruktur arbeiten ...
Zitat von @Ex0r2k16:
Was ich allerdings noch nicht verstehe: Warum sehen User ohne Zugriff die Verknüpfung überhaupt?
Wenn die Benutzer kein Lese- oder List-Recht für die LNK-Datei haben, dann könntest Du in der Freigabe das ABE aktivieren, dann sehen die Benutzer diese LNK überhaupt nicht mehr.Was ich allerdings noch nicht verstehe: Warum sehen User ohne Zugriff die Verknüpfung überhaupt?
Was übersehe ich hier?
Der Fehler ist schon mal, dass der Symlink aus Sicht des Clients erstellt werden muss, also mit UNC-Pfaden.Der FSUTIL-Befehl, am Client ausgeführt, sorgt am Client dafür, dass man von diesem aus solchen Symlinks folgen kann.
Zitat von @emeriks:
Der FSUTIL-Befehl, am Client ausgeführt, sorgt am Client dafür, dass man von diesem aus solchen Symlinks folgen kann.
Was übersehe ich hier?
Der Fehler ist schon mal, dass der Symlink aus Sicht des Clients erstellt werden muss, also mit UNC-Pfaden.Der FSUTIL-Befehl, am Client ausgeführt, sorgt am Client dafür, dass man von diesem aus solchen Symlinks folgen kann.
Ich bin gerade auf dem Fileserver und wollte den Befehl ausführen. Auch mit \\server\freigabe ... kommt die gleiche Meldung.
Beim noch falschen Befehl
mklink /d "D:\Projekte\TEST_AK\Projekt 1\C" "D:\Projekte\TEST_AK_DS\Projekt 1-C"
existiert offenbar eine Datei oder ein Ordner mit dem Namen "C" im Ordner "Projekt 1"?
