15
Windows 2008 R2 Fileserver NTFS Berechtigungen greifen auf Freigabe nicht
Hallo zusammen
Wir habe einen neuen Windows 2008 R2 Server als Domänenmitglied in Betrieb genommen. Dieser soll als Dateiserver dienen. Die Rolle Dateiserver ist instaliert. Ich bin gerade dabei die Freigaben und Berechtigungen zu erstellen.
Zu Übungszwecken habe ich mir einen Ordner "test" erstellt und diesen Freigegeben. Danach habe ich die NTFS Rechte für den Benutzer "XYZ" gesetzt.
Allerding werden ausschliesslich die Freigabeberechtigungen berücksichtigt. Die NTFS Berechtigungen greifen nicht.
Folgendes Beispiel:
Eine Freigabename mit dem Namen "test" ist erstellt. Der Benutzer "Jeder" erhält auf der Freigabeebene Vollzugriff. Der Benutzer "XYZ" wird im Reiter Sicherheit mit Leserechten eingetragen.
Ergebniss:
Der Benutzr XYZ hat Vollzugriff auf die Freigabe.
Ich dachte immer bei Freigaben werden sowohl NTFS-Rechte als auch Freigabe Rechte berücksichtigt. Und das System einigt sich auf den kleinsten gemeinsamen nenner. In meinem Beispiel sollte doch der Benutzer nur Leserechte haben. Oder habe ich hier was falsch verstanden.
Über das Rechte Konzept bei Windows habe ich schon eine ganze menge gelesen und dachte auch das ich dieses Verstanden habe. Mittlerweile Zweifel ich aber daran.
Eines ist mir ausserdem auch nicht klar. Wenn ich die Rechte über das Kontextmenü im Explorer änder, werden dies nicht in der "Freigabe und Speicherverwaltung" übernommen. Die Änderungen werden mir zumindest dort nicht angezeigt. Gibt es hier irgendweche unterschiese?
Schon mal vielen Dank füre die Hilfe
Gruß
Artur
Wir habe einen neuen Windows 2008 R2 Server als Domänenmitglied in Betrieb genommen. Dieser soll als Dateiserver dienen. Die Rolle Dateiserver ist instaliert. Ich bin gerade dabei die Freigaben und Berechtigungen zu erstellen.
Zu Übungszwecken habe ich mir einen Ordner "test" erstellt und diesen Freigegeben. Danach habe ich die NTFS Rechte für den Benutzer "XYZ" gesetzt.
Allerding werden ausschliesslich die Freigabeberechtigungen berücksichtigt. Die NTFS Berechtigungen greifen nicht.
Folgendes Beispiel:
Eine Freigabename mit dem Namen "test" ist erstellt. Der Benutzer "Jeder" erhält auf der Freigabeebene Vollzugriff. Der Benutzer "XYZ" wird im Reiter Sicherheit mit Leserechten eingetragen.
Ergebniss:
Der Benutzr XYZ hat Vollzugriff auf die Freigabe.
Ich dachte immer bei Freigaben werden sowohl NTFS-Rechte als auch Freigabe Rechte berücksichtigt. Und das System einigt sich auf den kleinsten gemeinsamen nenner. In meinem Beispiel sollte doch der Benutzer nur Leserechte haben. Oder habe ich hier was falsch verstanden.
Über das Rechte Konzept bei Windows habe ich schon eine ganze menge gelesen und dachte auch das ich dieses Verstanden habe. Mittlerweile Zweifel ich aber daran.
Eines ist mir ausserdem auch nicht klar. Wenn ich die Rechte über das Kontextmenü im Explorer änder, werden dies nicht in der "Freigabe und Speicherverwaltung" übernommen. Die Änderungen werden mir zumindest dort nicht angezeigt. Gibt es hier irgendweche unterschiese?
Schon mal vielen Dank füre die Hilfe
Gruß
Artur
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 190315
Url: https://administrator.de/contentid/190315
Printed on: April 26, 2024 at 01:04 o'clock
15 Comments
Latest comment
Hat vielleicht "Jeder" oder "Domänen-Benutzer" bei den NTFS Rechten Vollzugriff?
Hallo
Nein. Weder "Jeder" noch "Domänenbenutzer" sind bei den NTFS rechten aufgelistet. Nur die Benutzer Administartor und System haben Vollzugriff.
Gruß
Artur
Nein. Weder "Jeder" noch "Domänenbenutzer" sind bei den NTFS rechten aufgelistet. Nur die Benutzer Administartor und System haben Vollzugriff.
Gruß
Artur
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Wir machen das bei uns auf den Servern deshalb so:
Freigabe XYZ --> Jeder lesen, Domänen-Benutzer lesen, Domänen-Admins vollzugriff
In den Ordnern darunter gebe ich dann die entsprechenden Berechtigungen wie gewünscht, z. B.:
Einkauf --> Domäne\Einkauf lesen, schreiben
So kann die Gruppe Einkauf nur in diesem Ordner und den darunter liegenden schreiben,
aber nicht direkt unter der Freigabe.
Edit: Wenn es in den Sicherheitseinstellungen nicht anders definiert wurde wirken sich die
Rechte von "Jeder" auf alle authentifizierten Benutzer aus, diese überschreiben dort die Einstellungen,
die du für den Benutzer gemacht hast. Wenn du in dem Unterordner manuell den Benutzer jeder löscht und
nur dein Benutzer dort drin steht, dann hat er die Berechtigungen, wie dort angegeben.
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Wir machen das bei uns auf den Servern deshalb so:
Freigabe XYZ --> Jeder lesen, Domänen-Benutzer lesen, Domänen-Admins vollzugriff
In den Ordnern darunter gebe ich dann die entsprechenden Berechtigungen wie gewünscht, z. B.:
Einkauf --> Domäne\Einkauf lesen, schreiben
So kann die Gruppe Einkauf nur in diesem Ordner und den darunter liegenden schreiben,
aber nicht direkt unter der Freigabe.
Edit: Wenn es in den Sicherheitseinstellungen nicht anders definiert wurde wirken sich die
Rechte von "Jeder" auf alle authentifizierten Benutzer aus, diese überschreiben dort die Einstellungen,
die du für den Benutzer gemacht hast. Wenn du in dem Unterordner manuell den Benutzer jeder löscht und
nur dein Benutzer dort drin steht, dann hat er die Berechtigungen, wie dort angegeben.
Zitat von @83466:
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Seit wann?
Zitat von @83466:
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Wir machen das bei uns auf den Servern deshalb so:
Freigabe XYZ --> Jeder lesen, Domänen-Benutzer lesen, Domänen-Admins vollzugriff
In den Ordnern darunter gebe ich dann die entsprechenden Berechtigungen wie gewünscht, z. B.:
Einkauf --> Domäne\Einkauf lesen, schreiben
So kann die Gruppe Einkauf nur in diesem Ordner und den darunter liegenden schreiben,
aber nicht direkt unter der Freigabe.
Edit: Wenn es in den Sicherheitseinstellungen nicht anders definiert wurde wirken sich die
Rechte von "Jeder" auf alle authentifizierten Benutzer aus, diese überschreiben dort die Einstellungen,
die du für den Benutzer gemacht hast. Wenn du in dem Unterordner manuell den Benutzer jeder löscht und
nur dein Benutzer dort drin steht, dann hat er die Berechtigungen, wie dort angegeben.
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Wir machen das bei uns auf den Servern deshalb so:
Freigabe XYZ --> Jeder lesen, Domänen-Benutzer lesen, Domänen-Admins vollzugriff
In den Ordnern darunter gebe ich dann die entsprechenden Berechtigungen wie gewünscht, z. B.:
Einkauf --> Domäne\Einkauf lesen, schreiben
So kann die Gruppe Einkauf nur in diesem Ordner und den darunter liegenden schreiben,
aber nicht direkt unter der Freigabe.
Edit: Wenn es in den Sicherheitseinstellungen nicht anders definiert wurde wirken sich die
Rechte von "Jeder" auf alle authentifizierten Benutzer aus, diese überschreiben dort die Einstellungen,
die du für den Benutzer gemacht hast. Wenn du in dem Unterordner manuell den Benutzer jeder löscht und
nur dein Benutzer dort drin steht, dann hat er die Berechtigungen, wie dort angegeben.
Soweit ich weis, gilt immer das Minimum aus beidem! (korrigiert mich wenn ich falsch liege)
Grundsätzlich würde ich Freigaben/Berechtigungen immer nur mit Gruppen berechtigen und diesen Gruppen dann die Benutzer im AD zuweisen. Dann einfach die Gruppe sowohl bei Freigabe als auch bei den NTFS Rechten eintragen und es sollte kein Problem mehr geben.
Zitat von @83466:
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Hi,
auf Freigabeebene stehen die Rechte, die du bei der Freigabe einrichtest, höher, als die vom NTFS.
Hi! Aber das schlicht und ergreifend Blödsinn!
Schau lieber mal nach ob dein Benutzer XYZ lokale Adminrechte auf der Maschine hat
Zitat von @goyatzl1:
Hallo
Nein. Weder "Jeder" noch "Domänenbenutzer" sind bei den NTFS rechten aufgelistet. Nur die Benutzer
Administartor und System haben Vollzugriff.
Gruß
Artur
Hallo
Nein. Weder "Jeder" noch "Domänenbenutzer" sind bei den NTFS rechten aufgelistet. Nur die Benutzer
Administartor und System haben Vollzugriff.
Gruß
Artur
Mal ketzerisch gefragt: Ist dein Testbenutzer Domänen-Admin oder lokaler Admin? :D
Eventuell werden Rechte auch von einem Übergeordneten Ordner vererbt, bitte mal überprüfen und evtl. Vererbung deaktivieren.
Ich bin grade dabei, von Novell auf ein Windows Server 2008 R2 DFS zu ziehen, und musste diese Erfahrung auch machen, was nicht sehr angenehm war, als die User überall hin kamen. Wir haben den Fehler gemacht und der Gruppe "Jeder" zu viele Rechte gegeben, mehr als lesen sollte diese nicht bekommen. Sobald dieses korrigiert war funktionierten unsere NTFS-Rechte auch wieder so, wie vergeben. Wir nutzen Windows Server 2008 R2 Datacenter mit DFS und DFS-R in einer 2008 AD Umgebung.
Edit: Unsere Benutzer dürfen, wie es sich gehört, nicht mal Programme installieren. Das Phänomen kann übringends auf einem frischen Windows Server 2008 R2 nachgestellt werden, es sind auch keine anderen Einstellungen, die das verbockt haben.
Edit: Unsere Benutzer dürfen, wie es sich gehört, nicht mal Programme installieren. Das Phänomen kann übringends auf einem frischen Windows Server 2008 R2 nachgestellt werden, es sind auch keine anderen Einstellungen, die das verbockt haben.
Zitat von @83466:
Ich bin grade dabei, von Novell auf ein Windows Server 2008 R2 DFS zu ziehen, und musste diese Erfahrung auch machen, was nicht
sehr angenehm war, als die User überall hin kamen. Wir haben den Fehler gemacht und der Gruppe "Jeder" zu viele
Rechte gegeben, mehr als lesen sollte diese nicht bekommen. Sobald dieses korrigiert war funktionierten unsere NTFS-Rechte auch
wieder so, wie vergeben. Wir nutzen Windows Server 2008 R2 Datacenter mit DFS und DFS-R in einer 2008 AD Umgebung.
Ich bin grade dabei, von Novell auf ein Windows Server 2008 R2 DFS zu ziehen, und musste diese Erfahrung auch machen, was nicht
sehr angenehm war, als die User überall hin kamen. Wir haben den Fehler gemacht und der Gruppe "Jeder" zu viele
Rechte gegeben, mehr als lesen sollte diese nicht bekommen. Sobald dieses korrigiert war funktionierten unsere NTFS-Rechte auch
wieder so, wie vergeben. Wir nutzen Windows Server 2008 R2 Datacenter mit DFS und DFS-R in einer 2008 AD Umgebung.
Grundsätzlich würde ich mal sagen, dass "Jeder" in einem halbwegs ernst gemeinten Berechtigungskonzept, nichts verloren hat.
(gibt aber natürlich auch hier spezielle Ausnahmen)
Der Benutzer "Jeder" wird hier mit lesen auch nur verwendet, weil unser Zenworks ohne die Leserechte des Benutzers kein Programm mehr installieren wird, da es versucht, mit dem lokalen Benutzer auf den Clients auf die Daten zuzugreifen, was er dann natürlich nicht kann. Jeder beinhaltet in der Standard-Konfiguration den anonymen Benutzer nicht, es bleibt also bei den AD-Benutzern.
Soweit ich weis, gilt immer das Minimum aus beidem! (korrigiert mich wenn ich falsch liege)
So habe ich das auch Verstanden.
Share permissions and NTFS permissions are independent in the sense that neither changes the other. The final access permissions on a shared folder are determined by taking into consideration both the share permission and the NTFS permission entries. The more restrictive permissions are then applied.
http://technet.microsoft.com/en-us/library/cc754178.aspx
http://technet.microsoft.com/en-us/library/cc754178.aspx
Mal ketzerisch gefragt: Ist dein Testbenutzer Domänen-Admin oder lokaler Admin? :D
Eventuell werden Rechte auch von einem Übergeordneten Ordner vererbt, bitte mal überprüfen und evtl. Vererbung
deaktivieren.
Eventuell werden Rechte auch von einem Übergeordneten Ordner vererbt, bitte mal überprüfen und evtl. Vererbung
deaktivieren.
Hallo
Der User ist normaler Domänenbenutzer. Auch wird von oben nichts vererbt. Das habe gerade nochmal geprüft. Vererbung ist deaktiviert.
Ich erstelle die Freigabe und verteile die Rechte als Admin auf dem Server. Vom Client aus greife ich als Domänenbenutzer auf die Freigabe zu.
Wenn ich auf Freigabeeben dem Benutzer nur Leserechte gebe und auf NTFS Ebene Vollzugriff, greift hier scheinbar der kleinste gemeinsame nenner. Der User darf den Order öffnen und Daten lese aber hat kein schreibrecht.
Es ist übrigens egal ob ich auf Freigabeebene als Benutzer "Jeden" oder meinen Domänen Benuzter eintrage. Sobald der User auf Freigabeebene Vollzugriff, oder das recht Ändern hat, darf dieser auf dem Verzeichniss schreiben. Ganz egal was in den NTFS Rechten eingetargen ist.
Gruß
Artur
Hallo
Ich glaube das Problem ist gelöst. Folgendes ist passiert. Wenn auf NTFS Ebene das Recht "Ändern" aktiviert wird, wird auch gleichzeitig das Schreibrecht aktiviert. Das Schreibrecht wird aber nicht automatisch deaktiviert, wenn bei dem Recht "Ändern" der Hacken entfernt wird.
Der Hacken beim Recht "Schreiben" muss noch deaktiviert werden. Dies habe ich die ganze Zeit übersehen.
Dies war wohl mal wieder ein Typische Benutzer fehler.
Ich danke euch allen für die Hilfe und unterstützung. Manchmal hilft es seine Probleme mit anderen zu teilen, um das Dickicht im Kopf wieder zu lösen.
Gruß
Artur
Ich glaube das Problem ist gelöst. Folgendes ist passiert. Wenn auf NTFS Ebene das Recht "Ändern" aktiviert wird, wird auch gleichzeitig das Schreibrecht aktiviert. Das Schreibrecht wird aber nicht automatisch deaktiviert, wenn bei dem Recht "Ändern" der Hacken entfernt wird.
Der Hacken beim Recht "Schreiben" muss noch deaktiviert werden. Dies habe ich die ganze Zeit übersehen.
Dies war wohl mal wieder ein Typische Benutzer fehler.
Ich danke euch allen für die Hilfe und unterstützung. Manchmal hilft es seine Probleme mit anderen zu teilen, um das Dickicht im Kopf wieder zu lösen.
Gruß
Artur
Moin
schön, wenn es jetzt funktioniert. Aber doch noch ein paar Anmerkungen dazu:
Fast - der kleinste gemeinsame Nenner, wenn du das auf die Kombination von Freigabe- und NTFS-Rechten beziehst. Bei den NTFS-Rechten greift aber das maximal zulässige Recht.
Was erwartest du anders ? Genau das sagt das Recht zum Ändern aus. Schreibrecht in dem Ordner
Auf allen anderen Windows-Servern passiert genau das: Nach dem Entfernen des Hakens kann nicht mehr in dem Ordner geschrieben werden.
Ich glaube her, du hast übersehen, dass der Benutzer durch irgendeine andere Einstellung die notwendigen Rechte zum Schreiben bekommen hat. Wenn du dannd en Hakeb bei "verweigern" setzt, dann hast du diese einstellung durch das explizite deny überschrieben, weil das Verweigern immer Vorrang hat vor den erlaubten Aktionen.
Gruß
Hubert
schön, wenn es jetzt funktioniert. Aber doch noch ein paar Anmerkungen dazu:
Ich dachte immer bei Freigaben werden sowohl NTFS-Rechte als auch Freigabe Rechte berücksichtigt.
Und das System einigt sich auf den kleinsten gemeinsamen nenner.
Und das System einigt sich auf den kleinsten gemeinsamen nenner.
Fast - der kleinste gemeinsame Nenner, wenn du das auf die Kombination von Freigabe- und NTFS-Rechten beziehst. Bei den NTFS-Rechten greift aber das maximal zulässige Recht.
Wenn auf NTFS Ebene das Recht "Ändern" aktiviert wird, wird auch gleichzeitig das Schreibrecht aktiviert.
Was erwartest du anders ? Genau das sagt das Recht zum Ändern aus. Schreibrecht in dem Ordner
Das Schreibrecht wird aber nicht automatisch deaktiviert, wenn bei dem Recht "Ändern" der Hacken entfernt wird.
Auf allen anderen Windows-Servern passiert genau das: Nach dem Entfernen des Hakens kann nicht mehr in dem Ordner geschrieben werden.
Der Hacken beim Recht "Schreiben" muss noch deaktiviert werden. Dies habe ich die ganze Zeit übersehen
Ich glaube her, du hast übersehen, dass der Benutzer durch irgendeine andere Einstellung die notwendigen Rechte zum Schreiben bekommen hat. Wenn du dannd en Hakeb bei "verweigern" setzt, dann hast du diese einstellung durch das explizite deny überschrieben, weil das Verweigern immer Vorrang hat vor den erlaubten Aktionen.
Gruß
Hubert
