6
W2K22 - DFS-Namespace - Freigaben für Ordnerziele, Rechte
Guten Abend,
welche Freigaberechte muss das Ordnerziel haben um es im DFS-N registrieren zu können?
Ich versuche zu erklären was ich meine:
1)
W2K22 Memberserver. Der User des Memberserver hat keine besonderen Rechte im AD, ist aber lokaler Admin auf dem Memberserver. Nennen wir ihn memberuser.
2)
Um ein Ordnerziel hinzuzufügen muss ich genau diesem memberuser Rechte auf die Freigaben geben. Klar, das kann ich machen, aber dann habe ich einen User der überall Rechte hat die er nicht braucht.
Evtl. habe ich aber auch einen Spezialfall. Wenn man so etwas neu machen würde, würde man einem Root-Ordner Leserechte für "jeder" geben und dann die Unterordner per NTFS-Berechtigungen sichern. Leider habe ich ein altes System mit vielen einzelnen Freigaben. Also nicht nur eine Freigabe sondern so um die 50. Jede dieser Freigaben hat spezielle Berechtigungen.
Muss ich wirklich dem User mit dem ich den DFS-Namespace verwalte jedem einzelnen Share Rechte vergeben. Ich weiß, idealerweise sollte man aufräumen und die Freigabeberechtigungen in NTFS-Berechtigungen auflösen und alles über eine Freigabe mit "jeder" machen.
Um Freigabeberechtigungen in NTFS-Berechtigungen zu konvertieren habe ich bisher nur den manuellen Weg gefunden und alles einzeln zusammenzuklicken.
Danke und schönen Abend
welche Freigaberechte muss das Ordnerziel haben um es im DFS-N registrieren zu können?
Ich versuche zu erklären was ich meine:
1)
W2K22 Memberserver. Der User des Memberserver hat keine besonderen Rechte im AD, ist aber lokaler Admin auf dem Memberserver. Nennen wir ihn memberuser.
2)
Um ein Ordnerziel hinzuzufügen muss ich genau diesem memberuser Rechte auf die Freigaben geben. Klar, das kann ich machen, aber dann habe ich einen User der überall Rechte hat die er nicht braucht.
Evtl. habe ich aber auch einen Spezialfall. Wenn man so etwas neu machen würde, würde man einem Root-Ordner Leserechte für "jeder" geben und dann die Unterordner per NTFS-Berechtigungen sichern. Leider habe ich ein altes System mit vielen einzelnen Freigaben. Also nicht nur eine Freigabe sondern so um die 50. Jede dieser Freigaben hat spezielle Berechtigungen.
Muss ich wirklich dem User mit dem ich den DFS-Namespace verwalte jedem einzelnen Share Rechte vergeben. Ich weiß, idealerweise sollte man aufräumen und die Freigabeberechtigungen in NTFS-Berechtigungen auflösen und alles über eine Freigabe mit "jeder" machen.
Um Freigabeberechtigungen in NTFS-Berechtigungen zu konvertieren habe ich bisher nur den manuellen Weg gefunden und alles einzeln zusammenzuklicken.
Danke und schönen Abend
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6103490769
Url: https://administrator.de/contentid/6103490769
Printed on: July 27, 2024 at 12:07 o'clock
6 Comments
Latest comment
Guten Abend,
es ist hierbei eigentlich nur relevant, welche Rechte der User auf der Zielfreigabe vom Namespace hat. (Also der Server, wo die Freigabe liegt, auf die das DFS-N zeigt).
Ob der Zugriff dort mit Freigabeberechtigungen oder NTFS-Berechtigungen limitiert wird, interessiert das DFS-N nicht.
Gruß
Ad39min
es ist hierbei eigentlich nur relevant, welche Rechte der User auf der Zielfreigabe vom Namespace hat. (Also der Server, wo die Freigabe liegt, auf die das DFS-N zeigt).
Ob der Zugriff dort mit Freigabeberechtigungen oder NTFS-Berechtigungen limitiert wird, interessiert das DFS-N nicht.
Gruß
Ad39min
Danke. Es geht mir nicht um die Limitierung im Betrieb. Ohne Freigabeberechtigung des Users mit dem der Namespace verwaltet wird, kann das Ordnerziel nicht registriert werden.
Wenn ich Dich richtig verstehe ist das so. Hat der User, mit dem das DFS-N verwaltet wird, keinen Zugriff, kann das Ordnerziel nicht hinzugefügt werden.
Wenn ich Dich richtig verstehe ist das so. Hat der User, mit dem das DFS-N verwaltet wird, keinen Zugriff, kann das Ordnerziel nicht hinzugefügt werden.
Zitat von @mautis:
Danke. Es geht mir nicht um die Limitierung im Betrieb. Ohne Freigabeberechtigung des Users mit dem der Namespace verwaltet wird, kann das Ordnerziel nicht registriert werden.
Danke. Es geht mir nicht um die Limitierung im Betrieb. Ohne Freigabeberechtigung des Users mit dem der Namespace verwaltet wird, kann das Ordnerziel nicht registriert werden.
Du meinst den Domänenadmin-Account, mit dem du die DFS-Konsole geöffnet hast?
Mit dem solltest du ja wohl Zugriff auf die Zielfreigabe haben, oder?
Nein, das habe ich nicht, weil ich die DFS-Konsole mit einem User geöffnet habe der in der Domäne normaler User ist und nur lokal auf dem Member-Server Adminrechte habe. Aber auch der Domänenadmin hätte diese Rechte nicht.
Aber ich verstehe so langsam, warum das in keinem Tutorial behandelt wird. Es wird wohl vorausgesetzt, dass man das mit einem Domänenadmin verwaltet und dieser auf jeden Fall die Rechte hat.
Ist es best practice den DFS-Namespace auf einem DC zu installieren und zu verwalten und bei den Shares auch dem Domänenadmin hinzuzufügen?
Aber ich verstehe so langsam, warum das in keinem Tutorial behandelt wird. Es wird wohl vorausgesetzt, dass man das mit einem Domänenadmin verwaltet und dieser auf jeden Fall die Rechte hat.
Ist es best practice den DFS-Namespace auf einem DC zu installieren und zu verwalten und bei den Shares auch dem Domänenadmin hinzuzufügen?
Servus,
DC als Namespaceserver passt. Bei Namespace Type ist der default auch "Domain-based namespace".
Bei den Shares kommt es ein wenig auf das Berechtigungskozept und auch den Level der Security an.
Kenne sowohl das read/write auf den Share für alle freigegeben ist, als auch die Einschränkung auf dedizierte Gruppen.
DomAdmin bei den Shares eintragen habe ich dagegen noch nicht gesehen.
Die Namespaces sollte auch nur ein Admin anlegen. Also nicht den User machen lassen.
Gruß
DC als Namespaceserver passt. Bei Namespace Type ist der default auch "Domain-based namespace".
Bei den Shares kommt es ein wenig auf das Berechtigungskozept und auch den Level der Security an.
Kenne sowohl das read/write auf den Share für alle freigegeben ist, als auch die Einschränkung auf dedizierte Gruppen.
DomAdmin bei den Shares eintragen habe ich dagegen noch nicht gesehen.
Die Namespaces sollte auch nur ein Admin anlegen. Also nicht den User machen lassen.
Gruß
Guten Abend,
irgendwie verstehe ich das nicht. Egal mit welchem User ich das mache, auch wenn es der Domänenadministrator ist. Die Ordnerziele lassen sich nur registrieren wenn der User mit dem das gemacht wird in den Freigabeberechtigungen enthalten ist. Der User scheint egal zu sein, aber er muss per Share darauf zugreifen können.
Mich wundert, dass das in keinem Tutorial und auch nicht in der Doku von Microsoft behandelt wird. Oder ich mache etwas falsch.
Grüße
irgendwie verstehe ich das nicht. Egal mit welchem User ich das mache, auch wenn es der Domänenadministrator ist. Die Ordnerziele lassen sich nur registrieren wenn der User mit dem das gemacht wird in den Freigabeberechtigungen enthalten ist. Der User scheint egal zu sein, aber er muss per Share darauf zugreifen können.
Mich wundert, dass das in keinem Tutorial und auch nicht in der Doku von Microsoft behandelt wird. Oder ich mache etwas falsch.
Grüße