117471
14.03.2017
4746
4
0
Windows ACL auf "Unterordner"
"Moin",
für euch sicherlich eine banale Frage. Ich habe folgende Anforderung bekommen: "Der Benutzer soll im Ordner Hamburg ausschließlich auf den Unterordner 2017 zugreifen können, allerdings nicht auf dessen Unter-Unterordner "Buchhaltung".
Vereinfacht ausgedrückt sollte das so aussehen:
X:\Hamburg\ - hier darf er keine Dateiinhalte betrachten (aber gerne die Ordner- und Dateinamen sehen)
X:\Hamburg\2017\ - hier darf er alle Dateien lesen, schreiben, ändern, löschen usw.
X:\Hamburg\2017\Buchhaltung\ - hier darf er nichts
Bezüglich neuer Ordner habe ich mir überlegt, dass er grundsätzlich auch hier die Ordner- und Dateinamen sehen darf. Mehr aber auch nicht - im Zweifelsfall bekomme ich ein Ticket zwecks Erweiterung der Zugriffsrechte.
Ich möchte das Ganze so gestalten, dass ich möglichst wenig Pflegeaufwand habe und habe mir deshalb folgende Zugriffsrechte überlegt. Die Zugriffsrechte werden rekursiv auf die Ordner und alle darin enthaltenen Elemente angewandt:
Ordner X:\Hamburg\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[X] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[X] Dateien erstellen / Dateien schreiben
[X] Ordner erstellen / Daten anhängen
[X] Attribute schreiben
[X] Erweiterte Attribute schreiben
[X] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\Buchführung\
[ ] Vollzugriff
[ ] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[ ] Attribute lesen
[ ] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[ ] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Was haltet Ihr davon? Da ich eher in der Linux-Welt zu Hause bin und bezüglich Windows Server noch eine Menge zu lernen habe, bin ich entsprechend unsicher
liebe Grüße aus Bremen,
Jörg
für euch sicherlich eine banale Frage. Ich habe folgende Anforderung bekommen: "Der Benutzer soll im Ordner Hamburg ausschließlich auf den Unterordner 2017 zugreifen können, allerdings nicht auf dessen Unter-Unterordner "Buchhaltung".
Vereinfacht ausgedrückt sollte das so aussehen:
X:\Hamburg\ - hier darf er keine Dateiinhalte betrachten (aber gerne die Ordner- und Dateinamen sehen)
X:\Hamburg\2017\ - hier darf er alle Dateien lesen, schreiben, ändern, löschen usw.
X:\Hamburg\2017\Buchhaltung\ - hier darf er nichts
Bezüglich neuer Ordner habe ich mir überlegt, dass er grundsätzlich auch hier die Ordner- und Dateinamen sehen darf. Mehr aber auch nicht - im Zweifelsfall bekomme ich ein Ticket zwecks Erweiterung der Zugriffsrechte.
Ich möchte das Ganze so gestalten, dass ich möglichst wenig Pflegeaufwand habe und habe mir deshalb folgende Zugriffsrechte überlegt. Die Zugriffsrechte werden rekursiv auf die Ordner und alle darin enthaltenen Elemente angewandt:
Ordner X:\Hamburg\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[X] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[X] Dateien erstellen / Dateien schreiben
[X] Ordner erstellen / Daten anhängen
[X] Attribute schreiben
[X] Erweiterte Attribute schreiben
[X] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\Buchführung\
[ ] Vollzugriff
[ ] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[ ] Attribute lesen
[ ] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[ ] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Was haltet Ihr davon? Da ich eher in der Linux-Welt zu Hause bin und bezüglich Windows Server noch eine Menge zu lernen habe, bin ich entsprechend unsicher
liebe Grüße aus Bremen,
Jörg
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 332078
Url: https://administrator.de/forum/windows-acl-auf-unterordner-332078.html
Ausgedruckt am: 28.05.2025 um 06:05 Uhr
4 Kommentare
Neuester Kommentar
Hi,
das machst du über die "propagation flags" der ACE, und mit ABE sieht der User dann nur worauf er tatsächlich Zugriffsrechte besitzt, schau mal hier:
How to setup share and NTFS permissions to allow folder listing only but with full access to a specific folder?
P.
das machst du über die "propagation flags" der ACE, und mit ABE sieht der User dann nur worauf er tatsächlich Zugriffsrechte besitzt, schau mal hier:
How to setup share and NTFS permissions to allow folder listing only but with full access to a specific folder?
P.
Hallo,
Das ist leider alles in englisch, da verstehe ich kein Wort
Aus den Screenshots sehe ich auch, dass es sich um Windows Server 2012r2 handelt. Ich habe bei dem Kunden Windows Server 2008 im Einsatz. Gibt es da einen ähnlichen Mechanismus?
Gruß,
Jörg
das machst du über die "propagation flags" der ACE, und mit ABE sieht der User dann nur worauf er tatsächlich Zugriffsrechte besitzt,
Das ist leider alles in englisch, da verstehe ich kein Wort
Aus den Screenshots sehe ich auch, dass es sich um Windows Server 2012r2 handelt. Ich habe bei dem Kunden Windows Server 2008 im Einsatz. Gibt es da einen ähnlichen Mechanismus?
Gruß,
Jörg
Zitat von @117471:
Das ist leider alles in englisch, da verstehe ich kein Wort
Der war gut Das ist leider alles in englisch, da verstehe ich kein Wort
. Google Translator ist wohl ein Fremdwort ...in der heutigen Zeit nur eine Ausrede.Aus den Screenshots sehe ich auch, dass es sich um Windows Server 2012r2 handelt. Ich habe bei dem Kunden Windows Server 2008 im Einsatz. Gibt es da einen ähnlichen Mechanismus?
Spielt keine Rolle geht genauso wie auf dem 2012er, selbst ABE ist seit 2008 mit an Bord.Ist eigentlich nicht schwer, du gibst auf den Oberordner nur Leserechte (nicht vererbt auf Dateien sondern nur direkt untergeordnete Ordner, lässt sich in der ACE in den Details einstellen. Und dann vergibst du die gewünschten Rechte auf den Unterordner den er sehen darf, dann noch ABE auf dem Share aktiviert und schon sieht er nur noch das worauf er Zugriffsrechte hat.
Zitat von @132692:
Ist eigentlich nicht schwer, du gibst auf den Oberordner nur Leserechte (nicht vererbt auf Dateien sondern nur direkt untergeordnete Ordner, lässt sich in der ACE in den Details einstellen. Und dann vergibst du die gewünschten Rechte auf den Unterordner den er sehen darf,
Ist eigentlich nicht schwer, du gibst auf den Oberordner nur Leserechte (nicht vererbt auf Dateien sondern nur direkt untergeordnete Ordner, lässt sich in der ACE in den Details einstellen. Und dann vergibst du die gewünschten Rechte auf den Unterordner den er sehen darf,
dankeschön! Ich glaube, die Angabe unter "Übernehmen für" ist der entscheidende Knackpunkt
Ich konnte mir unter "Aktienberechtigungen" (Google-Übersetzer) nicht viel vorstellen
Tut mir leid, dass mein Englisch so schlecht ist. Vor ein paar Jahrzehnten hat man Englisch noch nicht in dem Umfang in der Schule gelernt.Also, zusammengefasst würde ich es so machen:
Ordner X:\Hamburg\
Übernehmen für: "Diesen Ordner, Unterordner"
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\
Übernehmen für: "Diesen Ordner, Unterordner und Dateien"
[ ] Vollzugriff
[X] Ordner durchsuchen / Datei ausführen
[X] Ordner auflisten / Daten lesen
[X] Attribute lesen
[X] Erweiterte Attribute lesen
[X] Dateien erstellen / Dateien schreiben
[X] Ordner erstellen / Daten anhängen
[X] Attribute schreiben
[X] Erweiterte Attribute schreiben
[X] Löschen
[X] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
Ordner X:\Hamburg\2017\Buchführung\
Übernehmen für: "Diesen Ordner, Unterordner und Dateien"
[ ] Vollzugriff
[ ] Ordner durchsuchen / Datei ausführen
[ ] Ordner auflisten / Daten lesen
[ ] Attribute lesen
[ ] Erweiterte Attribute lesen
[ ] Dateien erstellen / Dateien schreiben
[ ] Ordner erstellen / Daten anhängen
[ ] Attribute schreiben
[ ] Erweiterte Attribute schreiben
[ ] Löschen
[ ] Berechtigungen lesen
[ ] Berechtigungen ändern
[ ] Besitz übernehmen
...und dann wie in https://www.windowspro.de/sites/windowspro.de/files/imagepicker/3/ABE-Fr ... gezeigt den Haken "Zugriffsbasierte Aufzählung" setzen?
Muss ich den Haken für meine Anforderung zwingend setzen? Ich könnte - wie bereits beschreiben - damit leben, wenn der Benutzer Sachen sehen kann, auf die er nicht zugreifen darf und würde das "im ersten Gedanken" sogar ganz gut finden (daher meine explizite Frage). Der Benutzer sieht so, dass es Dinge gibt, für die er Berechtigungen beantragen könnte und fängt nicht an, irgendwo eigene redundante Daten zu erzeugen?!?
Gruß,
Jörg
