
117471
14.03.2017
Windows ACL auf "Unterordner"
"Moin",
für euch sicherlich eine banale Frage. Ich habe folgende Anforderung bekommen: "Der Benutzer soll im Ordner Hamburg ausschließlich auf den Unterordner 2017 zugreifen können, allerdings nicht auf dessen Unter-Unterordner "Buchhaltung".
Vereinfacht ausgedrückt sollte das so aussehen:
X:\Hamburg\ - hier darf er keine Dateiinhalte betrachten (aber gerne die Ordner- und Dateinamen sehen)
X:\Hamburg\2017\ - hier darf er alle Dateien lesen, schreiben, ändern, löschen usw.
X:\Hamburg\2017\Buchhaltung\ - hier darf er nichts
Bezüglich neuer Ordner habe ich mir überlegt, dass er grundsätzlich auch hier die Ordner- und Dateinamen sehen darf. Mehr aber auch nicht - im Zweifelsfall bekomme ich ein Ticket zwecks Erweiterung der Zugriffsrechte.
Ich möchte das Ganze so gestalten, dass ich möglichst wenig Pflegeaufwand habe und habe mir deshalb folgende Zugriffsrechte überlegt. Die Zugriffsrechte werden rekursiv auf die Ordner und alle darin enthaltenen Elemente angewandt:
Ordner X:\Hamburg\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[X] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[X] Dateien erstellen / Dateien schreiben
[X] Ordner erstellen / Daten anhängen
[X] Attribute schreiben
[X] Erweiterte Attribute schreiben
[X] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\Buchführung\
[ ] Vollzugriff
[ ] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[ ] Attribute lesen
[ ] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[ ] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Was haltet Ihr davon? Da ich eher in der Linux-Welt zu Hause bin und bezüglich Windows Server noch eine Menge zu lernen habe, bin ich entsprechend unsicher
liebe Grüße aus Bremen,
Jörg
für euch sicherlich eine banale Frage. Ich habe folgende Anforderung bekommen: "Der Benutzer soll im Ordner Hamburg ausschließlich auf den Unterordner 2017 zugreifen können, allerdings nicht auf dessen Unter-Unterordner "Buchhaltung".
Vereinfacht ausgedrückt sollte das so aussehen:
X:\Hamburg\ - hier darf er keine Dateiinhalte betrachten (aber gerne die Ordner- und Dateinamen sehen)
X:\Hamburg\2017\ - hier darf er alle Dateien lesen, schreiben, ändern, löschen usw.
X:\Hamburg\2017\Buchhaltung\ - hier darf er nichts
Bezüglich neuer Ordner habe ich mir überlegt, dass er grundsätzlich auch hier die Ordner- und Dateinamen sehen darf. Mehr aber auch nicht - im Zweifelsfall bekomme ich ein Ticket zwecks Erweiterung der Zugriffsrechte.
Ich möchte das Ganze so gestalten, dass ich möglichst wenig Pflegeaufwand habe und habe mir deshalb folgende Zugriffsrechte überlegt. Die Zugriffsrechte werden rekursiv auf die Ordner und alle darin enthaltenen Elemente angewandt:
Ordner X:\Hamburg\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[X] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[X] Dateien erstellen / Dateien schreiben
[X] Ordner erstellen / Daten anhängen
[X] Attribute schreiben
[X] Erweiterte Attribute schreiben
[X] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\Buchführung\
[ ] Vollzugriff
[ ] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[ ] Attribute lesen
[ ] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[ ] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Was haltet Ihr davon? Da ich eher in der Linux-Welt zu Hause bin und bezüglich Windows Server noch eine Menge zu lernen habe, bin ich entsprechend unsicher
liebe Grüße aus Bremen,
Jörg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 332078
Url: https://administrator.de/forum/windows-acl-auf-unterordner-332078.html
Ausgedruckt am: 04.05.2025 um 06:05 Uhr
4 Kommentare
Neuester Kommentar

Hi,
das machst du über die "propagation flags" der ACE, und mit ABE sieht der User dann nur worauf er tatsächlich Zugriffsrechte besitzt, schau mal hier:
How to setup share and NTFS permissions to allow folder listing only but with full access to a specific folder?
P.
das machst du über die "propagation flags" der ACE, und mit ABE sieht der User dann nur worauf er tatsächlich Zugriffsrechte besitzt, schau mal hier:
How to setup share and NTFS permissions to allow folder listing only but with full access to a specific folder?
P.

Zitat von @117471:
Das ist leider alles in englisch, da verstehe ich kein Wort
Der war gut Das ist leider alles in englisch, da verstehe ich kein Wort
Aus den Screenshots sehe ich auch, dass es sich um Windows Server 2012r2 handelt. Ich habe bei dem Kunden Windows Server 2008 im Einsatz. Gibt es da einen ähnlichen Mechanismus?
Spielt keine Rolle geht genauso wie auf dem 2012er, selbst ABE ist seit 2008 mit an Bord.Ist eigentlich nicht schwer, du gibst auf den Oberordner nur Leserechte (nicht vererbt auf Dateien sondern nur direkt untergeordnete Ordner, lässt sich in der ACE in den Details einstellen. Und dann vergibst du die gewünschten Rechte auf den Unterordner den er sehen darf, dann noch ABE auf dem Share aktiviert und schon sieht er nur noch das worauf er Zugriffsrechte hat.