minimalwerk
Goto Top

Wie Ordnerberechtigung richtig setzen - im Kontext als Administrator

Hallo liebe Community,

irgendwie verstehe ich die Thematik Berechtigung nicht richtig.
ich habe auf einem Server 2012R2 einen Ordner freigegeben. Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen-Administratoren aufgeführt. Wenn ich mich an einem Client mit dem Administrator Konto anmelde dann kann ich ohne Probldeme mit Vollzugriff auf diesen Ordner zugreifen. Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde. Ich würde dann gerne nach Aufruf dieser Ressource eine Meldung bekommen wo ich meinen Benutzernamen und Passwort eingeben muss. Momentan erscheint dort nur folgende Meldung:

ohne titel

Für Gedankenanstöße wäre ich dankbar face-smile

LG

Content-ID: 299175

Url: https://administrator.de/forum/wie-ordnerberechtigung-richtig-setzen-im-kontext-als-administrator-299175.html

Ausgedruckt am: 27.12.2024 um 09:12 Uhr

emeriks
Lösung emeriks 15.03.2016 aktualisiert um 17:14:35 Uhr
Goto Top
Hi,
im Domänen-Kontext geht das nicht. Wenn Client und Server in derselben oder in verschiedenen, miteinander vertrauten Domänen sind, dann erfolgt der Zugriff mit dem am Client angemeldeten Benutzer. Ist dieser berechtigt, dann ok. Wenn nicht, dann kommt "Zugriff verweigert".

Man kann sich aber z.B. mit "net use \\server\share /user:domäne\konto" explizit mit einem Benutzerkonto anmelden. Das geht aber pro Server nur einmal und muss erfolgen, bevor man auf das Share zugreift, also z.B. mit dem Explorer. Man kann beim Servernamen tricksen, indem man mit Aliasen arbeitet. FQDN, NetBIOS-Name, IP-Adresse, andere Aliase. Für andere Aliase muss aber der Server vorbereitet sein. (DisableStrictNameChecking)

E.
pelzfrucht
pelzfrucht 15.03.2016 aktualisiert um 20:16:30 Uhr
Goto Top
Hi,

Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen-Administratoren aufgeführt.

Das kann nicht funktionieren. Generell müssen die Freigabe Berechtigungen immer identisch mit den Dateisystem Berechtigungen sein.
Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.

Viele Grüße
pelzfrucht

[Off Topic]

ein kleiner Tipp der bei mir mal zu dem gleichen Problem geführt hat:

Kontrollier mal im Server Manager > Datei -/ Speicherdienste > Freigaben > Rechtsklick _ Eigenschaften > Einstellungen

ob da nicht der Haken bei "Datenzugriff verschlüsseln" gesetzt ist.

unbenannt

Muss nicht, kann aber schonmal zu Problemen führen.
Hatte damals das Gleiche Problem (Vollzugriff > Jeder, aber keiner konnte drauf). Nach 2-3 Tagen suchen bin ich dann auf die Funktion gestoßen.

Ich glaube die wird erst ab 8.1 und aufwärts unterstützt (bin mir nicht sicher). Unter Windows 7 hat es auf alle Fälle nicht funktioniert. Ich könnte mir vorstellen dass es unter 8.0 ebenfalls Probleme gibt.

Und selbst wenn, ein Versuch ist es wert, es abzuschalten sofern es an ist.

Viele Grüße
pelzfrucht
emeriks
emeriks 15.03.2016 um 22:33:12 Uhr
Goto Top
Generell müssen die Freigabe Berechtigungen immer identisch mit den Dateisystem Berechtigungen sein.
Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.
Sorry, aber das ist Unsinn.
pelzfrucht
pelzfrucht 16.03.2016 aktualisiert um 00:27:38 Uhr
Goto Top
Zitat von @emeriks:

Generell müssen die Freigabe Berechtigungen immer identisch mit den Dateisystem Berechtigungen sein.
Es gibt normalerweise eigentlich auch keinen Grund die jeweils anders zu gestalten.
Sorry, aber das ist Unsinn.

Kann sein, lasse mich immer gerne eines besseren Belehren face-smile

Aber auf Anhieb würde mir nicht einfallen warum die Freigabe Berechtigungen ungleich den Dateisystem Berechtigungen des Freigabe Ordner sein sollten? Höchstens dass jemand (ein Benutzer) lokal auf einen Ordner zugreifen darf, über das Netzwerk aber nicht.

Gut, dass es generell keinen Grund gibt Freigabe != Dateisystem Berechtigungen zu setzen, ist Schwachsinn.

Aber im Grunde genommen hat der TO ein Problem:

Unter der Freigabe Berechtigung steht momentan "Jeder" mit Vollzugriff. Unter der NTFS Berechtigung ist nur die Gruppe der Domänen,
Administratoren aufgeführt. Wenn ich mich an einem Client mit dem Administrator Konto anmelde dann kann ich ohne Probldeme mit Vollzugriff > auf diesen Ordner zugreifen. Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde.

Und das Problem ist einfach gelöst.

1) Auf die Freigabe mag zwar jeder zugreifen dürfen, auf die tatsächlichen Daten allerdings nur die Domänen Administratoren.

Administrator? = Freigabe erlaubt = Dateisystem erlaubt
Benutzer? = Freigabe erlaubt = Dateisystem verboten

Für Gedankenanstöße wäre ich dankbar
Und sein gewünschter Denkanstoß wäre:

Die normalen Benutzer auch in den Dateisystemberechtigungen Erlaubnis erteilen (ggf. vorher in eine Gruppe packen)
Begründung bei 1)

Viele Grüße
pelzfrucht
departure69
Lösung departure69 16.03.2016 um 10:31:02 Uhr
Goto Top
@minimalwerk:

Hallo.

Ob man Rechte an beiden Stellen regelt, also unter den Shareberechtigungen und unter NTFS, ist erstmal Geschmackssache. Bei mir sind die Shares komplett offen, dafür sind die Rechte unter NTFS sehr genau und granular geregelt, und das nach dem AGP-Prinzip über Gruppen, was immer zu empfehlen ist. Erst dann, wenn Features wie Access Based Enumeration (kann sehr nützlich sein) hinzukommen, muß ich meine Methode, daß das Share immer komplett offen ist (Jeder Vollzugriff), mal überdenken, dann geht das nicht mehr.

In diesem Artikel wird dies alles sehr genau, aber auch verständlich erklärt. Führ' Dir das mal ausgiebig zu Gemüte, es lohnt sich, besser kann man's nicht erklären:

http://www.migraven.com/hilfe/service/best-practice-berechtigungsvergab ...

In jedem Fall kommst Du nicht umhin, unter NTFS genaue Rechte zu vergeben, idealerweise über entsprechende AD-Gruppen (wenn Du hier stattdessen einzelne User berechtigst, wirst Du irgendwann, früher oder später, fürchterlich fluchen und Dich ärgern, daß Du nicht gleich Gruppen gebildet und diese berechtigt hast).


Viele Grüße

von

departure69
departure69
departure69 16.03.2016 um 10:37:40 Uhr
Goto Top
@pelzfrucht:

@emeriks meinte mit "Unsinn" 2 Dinge:

1. Die Share-Berechtigungen können rechtemäßig gar nicht abbilden, was NTFS abbilden kann (oder wie verhinderst Du bspw. nur unter dem Share das Ausführen-Recht?)

2. Es macht doppelte Arbeit, die beiden gleich (oder so ähnlich wie möglich, sh. 1.) zu gestalten (deshalb bei mir, wie ich an @minimalwerk schon schrieb, im Share alles offen, und genaue Regelungen werden nur unter NTFS getroffen)


Viele Grüße

von

departure69
minimalwerk
minimalwerk 16.03.2016 um 15:42:43 Uhr
Goto Top
Danke für die nette Hilfe und die Verlinkung zu Hilfethemen!
Also habe ich ja von Grunde her schon alles richtig gemacht. Das was ich erzielen wollte geht halt so nicht. Fertig face-smile

LG
pelzfrucht
pelzfrucht 16.03.2016 um 20:08:51 Uhr
Goto Top
@departure69

Danke für die Erläuterung.

Blöder Fehler. Hab Freigabe und Dateisystem Berechtigungen gleich gesetzt.
Hast natürlich Recht.

Allerdings habe ich den Satz vom TO
Jetzt möchte ich jedoch auch auf den Ordner zugreifen, wenn ich mich an einem Cleint als normaler User anmelde.
anders interpretiert.
Ich hab die Frage nämlich so verstanden dass er sich wundert dass die Anmeldung mit einem Benutzerkonto nicht klappt.
Nicht so dass das erwünscht ist, und er sich als ein anderer Benutzer anmelden möchte.

Die Antwort wäre gewesen:

Dazu muss der normale Benutzer aber auch die entsprechenden Berechtigungen haben.
Immernoch gilt:

Eingeschränkter Benutzer = Freigabe Ja = Daten Nein.
Administrator = Freigabe Ja = Daten Ja

Wenn du dem User keine Berechtigung dafür im Dateisystem erteilst, wird ihm der Zugriff standardmäßig verweigert.

Erlaubnis geht vor keinen Eintrag, aber Verweigerung zu erst.

Sein Problem war aber wohl

Dein zweites Problem ist, dass Windows sich mit seinen eigenen Anmeldedaten versucht an der Freigabe anzumelden (was nicht klappt da ihm die Berechtigungen fehlen).

Die Lösung wäre die von @emeriks genannte:
Man kann sich aber z.B. mit "net use \\server\share /user:domäne\konto" explizit mit einem Benutzerkonto anmelden.

Also einfach falsch interpretiert.

Schönen Abend, Viele Grüße
pelzfrucht