Wie Ordnerberechtigung richtig setzen - im Kontext als Administrator
Hallo liebe Community,
irgendwie verstehe ich die Thematik Berechtigung nicht richtig.
ich habe auf einem Server 2012R2 einen Ordner freigegeben. Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen-Administratoren aufgeführt. Wenn ich mich an einem Client mit dem Administrator Konto anmelde dann kann ich ohne Probldeme mit Vollzugriff auf diesen Ordner zugreifen. Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde. Ich würde dann gerne nach Aufruf dieser Ressource eine Meldung bekommen wo ich meinen Benutzernamen und Passwort eingeben muss. Momentan erscheint dort nur folgende Meldung:
Für Gedankenanstöße wäre ich dankbar
LG
irgendwie verstehe ich die Thematik Berechtigung nicht richtig.
ich habe auf einem Server 2012R2 einen Ordner freigegeben. Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen-Administratoren aufgeführt. Wenn ich mich an einem Client mit dem Administrator Konto anmelde dann kann ich ohne Probldeme mit Vollzugriff auf diesen Ordner zugreifen. Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde. Ich würde dann gerne nach Aufruf dieser Ressource eine Meldung bekommen wo ich meinen Benutzernamen und Passwort eingeben muss. Momentan erscheint dort nur folgende Meldung:
Für Gedankenanstöße wäre ich dankbar
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 299175
Url: https://administrator.de/forum/wie-ordnerberechtigung-richtig-setzen-im-kontext-als-administrator-299175.html
Ausgedruckt am: 27.12.2024 um 09:12 Uhr
8 Kommentare
Neuester Kommentar
Hi,
im Domänen-Kontext geht das nicht. Wenn Client und Server in derselben oder in verschiedenen, miteinander vertrauten Domänen sind, dann erfolgt der Zugriff mit dem am Client angemeldeten Benutzer. Ist dieser berechtigt, dann ok. Wenn nicht, dann kommt "Zugriff verweigert".
Man kann sich aber z.B. mit "net use \\server\share /user:domäne\konto" explizit mit einem Benutzerkonto anmelden. Das geht aber pro Server nur einmal und muss erfolgen, bevor man auf das Share zugreift, also z.B. mit dem Explorer. Man kann beim Servernamen tricksen, indem man mit Aliasen arbeitet. FQDN, NetBIOS-Name, IP-Adresse, andere Aliase. Für andere Aliase muss aber der Server vorbereitet sein. (DisableStrictNameChecking)
E.
im Domänen-Kontext geht das nicht. Wenn Client und Server in derselben oder in verschiedenen, miteinander vertrauten Domänen sind, dann erfolgt der Zugriff mit dem am Client angemeldeten Benutzer. Ist dieser berechtigt, dann ok. Wenn nicht, dann kommt "Zugriff verweigert".
Man kann sich aber z.B. mit "net use \\server\share /user:domäne\konto" explizit mit einem Benutzerkonto anmelden. Das geht aber pro Server nur einmal und muss erfolgen, bevor man auf das Share zugreift, also z.B. mit dem Explorer. Man kann beim Servernamen tricksen, indem man mit Aliasen arbeitet. FQDN, NetBIOS-Name, IP-Adresse, andere Aliase. Für andere Aliase muss aber der Server vorbereitet sein. (DisableStrictNameChecking)
E.
Hi,
Das kann nicht funktionieren. Generell müssen die Freigabe Berechtigungen immer identisch mit den Dateisystem Berechtigungen sein.
Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.
Viele Grüße
pelzfrucht
[Off Topic]
ein kleiner Tipp der bei mir mal zu dem gleichen Problem geführt hat:
Kontrollier mal im Server Manager > Datei -/ Speicherdienste > Freigaben > Rechtsklick _ Eigenschaften > Einstellungen
ob da nicht der Haken bei "Datenzugriff verschlüsseln" gesetzt ist.
Muss nicht, kann aber schonmal zu Problemen führen.
Hatte damals das Gleiche Problem (Vollzugriff > Jeder, aber keiner konnte drauf). Nach 2-3 Tagen suchen bin ich dann auf die Funktion gestoßen.
Ich glaube die wird erst ab 8.1 und aufwärts unterstützt (bin mir nicht sicher). Unter Windows 7 hat es auf alle Fälle nicht funktioniert. Ich könnte mir vorstellen dass es unter 8.0 ebenfalls Probleme gibt.
Und selbst wenn, ein Versuch ist es wert, es abzuschalten sofern es an ist.
Viele Grüße
pelzfrucht
Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen-Administratoren aufgeführt.
Das kann nicht funktionieren. Generell müssen die Freigabe Berechtigungen immer identisch mit den Dateisystem Berechtigungen sein.
Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.
Viele Grüße
pelzfrucht
[Off Topic]
ein kleiner Tipp der bei mir mal zu dem gleichen Problem geführt hat:
Kontrollier mal im Server Manager > Datei -/ Speicherdienste > Freigaben > Rechtsklick _ Eigenschaften > Einstellungen
ob da nicht der Haken bei "Datenzugriff verschlüsseln" gesetzt ist.
Muss nicht, kann aber schonmal zu Problemen führen.
Hatte damals das Gleiche Problem (Vollzugriff > Jeder, aber keiner konnte drauf). Nach 2-3 Tagen suchen bin ich dann auf die Funktion gestoßen.
Ich glaube die wird erst ab 8.1 und aufwärts unterstützt (bin mir nicht sicher). Unter Windows 7 hat es auf alle Fälle nicht funktioniert. Ich könnte mir vorstellen dass es unter 8.0 ebenfalls Probleme gibt.
Und selbst wenn, ein Versuch ist es wert, es abzuschalten sofern es an ist.
Viele Grüße
pelzfrucht
Zitat von @emeriks:
Generell müssen die Freigabe Berechtigungen immer identisch mit den Dateisystem Berechtigungen sein.
Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.
Sorry, aber das ist Unsinn.Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.
Kann sein, lasse mich immer gerne eines besseren Belehren
Aber auf Anhieb würde mir nicht einfallen warum die Freigabe Berechtigungen ungleich den Dateisystem Berechtigungen des Freigabe Ordner sein sollten? Höchstens dass jemand (ein Benutzer) lokal auf einen Ordner zugreifen darf, über das Netzwerk aber nicht.
Gut, dass es generell keinen Grund gibt Freigabe != Dateisystem Berechtigungen zu setzen, ist Schwachsinn.
Aber im Grunde genommen hat der TO ein Problem:
Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen,
Administratoren aufgeführt. Wenn ich mich an einem Client mit dem Administrator Konto anmelde dann kann ich ohne Probldeme mit Vollzugriff > auf diesen Ordner zugreifen. Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde.
Administratoren aufgeführt. Wenn ich mich an einem Client mit dem Administrator Konto anmelde dann kann ich ohne Probldeme mit Vollzugriff > auf diesen Ordner zugreifen. Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde.
Und das Problem ist einfach gelöst.
1) Auf die Freigabe mag zwar jeder zugreifen dürfen, auf die tatsächlichen Daten allerdings nur die Domänen Administratoren.
Administrator? = Freigabe erlaubt = Dateisystem erlaubt
Benutzer? = Freigabe erlaubt = Dateisystem verboten
Für Gedankenanstöße wäre ich dankbar
Und sein gewünschter Denkanstoß wäre:Die normalen Benutzer auch in den Dateisystemberechtigungen Erlaubnis erteilen (ggf. vorher in eine Gruppe packen)
Begründung bei 1)
Viele Grüße
pelzfrucht
@minimalwerk:
Hallo.
Ob man Rechte an beiden Stellen regelt, also unter den Shareberechtigungen und unter NTFS, ist erstmal Geschmackssache. Bei mir sind die Shares komplett offen, dafür sind die Rechte unter NTFS sehr genau und granular geregelt, und das nach dem AGP-Prinzip über Gruppen, was immer zu empfehlen ist. Erst dann, wenn Features wie Access Based Enumeration (kann sehr nützlich sein) hinzukommen, muß ich meine Methode, daß das Share immer komplett offen ist (Jeder Vollzugriff), mal überdenken, dann geht das nicht mehr.
In diesem Artikel wird dies alles sehr genau, aber auch verständlich erklärt. Führ' Dir das mal ausgiebig zu Gemüte, es lohnt sich, besser kann man's nicht erklären:
http://www.migraven.com/hilfe/service/best-practice-berechtigungsvergab ...
In jedem Fall kommst Du nicht umhin, unter NTFS genaue Rechte zu vergeben, idealerweise über entsprechende AD-Gruppen (wenn Du hier stattdessen einzelne User berechtigst, wirst Du irgendwann, früher oder später, fürchterlich fluchen und Dich ärgern, daß Du nicht gleich Gruppen gebildet und diese berechtigt hast).
Viele Grüße
von
departure69
Hallo.
Ob man Rechte an beiden Stellen regelt, also unter den Shareberechtigungen und unter NTFS, ist erstmal Geschmackssache. Bei mir sind die Shares komplett offen, dafür sind die Rechte unter NTFS sehr genau und granular geregelt, und das nach dem AGP-Prinzip über Gruppen, was immer zu empfehlen ist. Erst dann, wenn Features wie Access Based Enumeration (kann sehr nützlich sein) hinzukommen, muß ich meine Methode, daß das Share immer komplett offen ist (Jeder Vollzugriff), mal überdenken, dann geht das nicht mehr.
In diesem Artikel wird dies alles sehr genau, aber auch verständlich erklärt. Führ' Dir das mal ausgiebig zu Gemüte, es lohnt sich, besser kann man's nicht erklären:
http://www.migraven.com/hilfe/service/best-practice-berechtigungsvergab ...
In jedem Fall kommst Du nicht umhin, unter NTFS genaue Rechte zu vergeben, idealerweise über entsprechende AD-Gruppen (wenn Du hier stattdessen einzelne User berechtigst, wirst Du irgendwann, früher oder später, fürchterlich fluchen und Dich ärgern, daß Du nicht gleich Gruppen gebildet und diese berechtigt hast).
Viele Grüße
von
departure69
@pelzfrucht:
@emeriks meinte mit "Unsinn" 2 Dinge:
1. Die Share-Berechtigungen können rechtemäßig gar nicht abbilden, was NTFS abbilden kann (oder wie verhinderst Du bspw. nur unter dem Share das Ausführen-Recht?)
2. Es macht doppelte Arbeit, die beiden gleich (oder so ähnlich wie möglich, sh. 1.) zu gestalten (deshalb bei mir, wie ich an @minimalwerk schon schrieb, im Share alles offen, und genaue Regelungen werden nur unter NTFS getroffen)
Viele Grüße
von
departure69
@emeriks meinte mit "Unsinn" 2 Dinge:
1. Die Share-Berechtigungen können rechtemäßig gar nicht abbilden, was NTFS abbilden kann (oder wie verhinderst Du bspw. nur unter dem Share das Ausführen-Recht?)
2. Es macht doppelte Arbeit, die beiden gleich (oder so ähnlich wie möglich, sh. 1.) zu gestalten (deshalb bei mir, wie ich an @minimalwerk schon schrieb, im Share alles offen, und genaue Regelungen werden nur unter NTFS getroffen)
Viele Grüße
von
departure69
@departure69
Danke für die Erläuterung.
Blöder Fehler. Hab Freigabe und Dateisystem Berechtigungen gleich gesetzt.
Hast natürlich Recht.
Allerdings habe ich den Satz vom TO
Ich hab die Frage nämlich so verstanden dass er sich wundert dass die Anmeldung mit einem Benutzerkonto nicht klappt.
Nicht so dass das erwünscht ist, und er sich als ein anderer Benutzer anmelden möchte.
Die Antwort wäre gewesen:
Dazu muss der normale Benutzer aber auch die entsprechenden Berechtigungen haben.
Immernoch gilt:
Eingeschränkter Benutzer = Freigabe Ja = Daten Nein.
Administrator = Freigabe Ja = Daten Ja
Wenn du dem User keine Berechtigung dafür im Dateisystem erteilst, wird ihm der Zugriff standardmäßig verweigert.
Erlaubnis geht vor keinen Eintrag, aber Verweigerung zu erst.
Sein Problem war aber wohl
Dein zweites Problem ist, dass Windows sich mit seinen eigenen Anmeldedaten versucht an der Freigabe anzumelden (was nicht klappt da ihm die Berechtigungen fehlen).
Die Lösung wäre die von @emeriks genannte:
Also einfach falsch interpretiert.
Schönen Abend, Viele Grüße
pelzfrucht
Danke für die Erläuterung.
Blöder Fehler. Hab Freigabe und Dateisystem Berechtigungen gleich gesetzt.
Hast natürlich Recht.
Allerdings habe ich den Satz vom TO
Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde.
anders interpretiert.Ich hab die Frage nämlich so verstanden dass er sich wundert dass die Anmeldung mit einem Benutzerkonto nicht klappt.
Nicht so dass das erwünscht ist, und er sich als ein anderer Benutzer anmelden möchte.
Die Antwort wäre gewesen:
Dazu muss der normale Benutzer aber auch die entsprechenden Berechtigungen haben.
Immernoch gilt:
Eingeschränkter Benutzer = Freigabe Ja = Daten Nein.
Administrator = Freigabe Ja = Daten Ja
Wenn du dem User keine Berechtigung dafür im Dateisystem erteilst, wird ihm der Zugriff standardmäßig verweigert.
Erlaubnis geht vor keinen Eintrag, aber Verweigerung zu erst.
Sein Problem war aber wohl
Dein zweites Problem ist, dass Windows sich mit seinen eigenen Anmeldedaten versucht an der Freigabe anzumelden (was nicht klappt da ihm die Berechtigungen fehlen).
Die Lösung wäre die von @emeriks genannte:
Man kann sich aber z.B. mit "net use \\server\share /user:domäne\konto" explizit mit einem Benutzerkonto anmelden.
Also einfach falsch interpretiert.
Schönen Abend, Viele Grüße
pelzfrucht