8
Windows Datei-Freigaben
Es ist Freitag, es ist heiß, und ich kriegs nicht hin.
Fall #A
Ich habe einen Ordner der bei allen Usern als Netzlaufwerk eingebunden wird. Auf diesen Ordner sollen alle lesenden Zugriff bekommen. Auf Unterordner in diesem Hauptordner sollen manche Gruppen Vollzugriff und der Rest nur lesenden Zugriff bekommen.
Ich hab mir gedacht ich mache eine Freigabe mit Vollzugriff für alle Domänen-Benutzer. Dann nehme ich den Hauptordner und entziehe auf Dateisystemebene die Schreibrechte für die Domänen-Benutzer. Auf den Unterordnern füge ich dann auch auf Dateisystemebene diverse Gruppen mit Vollzugriff hinzu.
Erstmal wundert mich, das ich auf dem Dateisystem überhaupt keine Berechtigungen auf den Hauptordner für die Gruppe Domänen-Benutzer habe. Hier habe ich nur Rechte für:
ERSTELLER-BESITZER
SYSTEM
Administrator@domain
COMPUTER\Administratoren
COMPUTER\Benutzer
Finden hier nur die Rechte der Freigabe Anwendung?
Wenn ich jetzt meiner Gruppe Domänen-Benutzer auf der Dateisystemebene auf den Hauptordner das Recht Schreiben gezielt verweigere, klappt das für Hauptordner und wird auf die Unterordner vererbt. Wenn ich einer Gruppe auf einen Unterordner jetzt zusätzlich Vollzugriff gewähre, gelten diese nachrangig. Ich habe aber nicht zu jeder Gruppe eine Gruppe für alle nicht Mitglieder, so das ich Domänen-Benutzern schreiben verweigern vererben muss.
Gehe ich hier den falschen Weg, kann man Rechte priorisieren oder muss ich tatsächlich mehr Gruppen erstellen?
Fall #B
Mein Hauptdatenpfad ist total zugemüllt. Ich habe viele Dateien und Ordner von denen ich glaube das sie gelöscht werden können, ich kann das aber nicht mit Sicherheit sagen. Ich möchte alle diese aussortieren Objekte auf einen eigenen Pfad verschieben. Auf diesem Pfad soll jeder LESEN und LÖSCHEN dürfen, aber nicht neue Dateien erstellen oder bestehende Dateien neu abspeichern. Gibt es da irgendeine Möglichkeit das sinnvoll umzusetzen (Jetzt nicht gleich mit einer Killerlösung)?
Danke für Ideen.
Fall #A
Ich habe einen Ordner der bei allen Usern als Netzlaufwerk eingebunden wird. Auf diesen Ordner sollen alle lesenden Zugriff bekommen. Auf Unterordner in diesem Hauptordner sollen manche Gruppen Vollzugriff und der Rest nur lesenden Zugriff bekommen.
Ich hab mir gedacht ich mache eine Freigabe mit Vollzugriff für alle Domänen-Benutzer. Dann nehme ich den Hauptordner und entziehe auf Dateisystemebene die Schreibrechte für die Domänen-Benutzer. Auf den Unterordnern füge ich dann auch auf Dateisystemebene diverse Gruppen mit Vollzugriff hinzu.
Erstmal wundert mich, das ich auf dem Dateisystem überhaupt keine Berechtigungen auf den Hauptordner für die Gruppe Domänen-Benutzer habe. Hier habe ich nur Rechte für:
ERSTELLER-BESITZER
SYSTEM
Administrator@domain
COMPUTER\Administratoren
COMPUTER\Benutzer
Finden hier nur die Rechte der Freigabe Anwendung?
Wenn ich jetzt meiner Gruppe Domänen-Benutzer auf der Dateisystemebene auf den Hauptordner das Recht Schreiben gezielt verweigere, klappt das für Hauptordner und wird auf die Unterordner vererbt. Wenn ich einer Gruppe auf einen Unterordner jetzt zusätzlich Vollzugriff gewähre, gelten diese nachrangig. Ich habe aber nicht zu jeder Gruppe eine Gruppe für alle nicht Mitglieder, so das ich Domänen-Benutzern schreiben verweigern vererben muss.
Gehe ich hier den falschen Weg, kann man Rechte priorisieren oder muss ich tatsächlich mehr Gruppen erstellen?
Fall #B
Mein Hauptdatenpfad ist total zugemüllt. Ich habe viele Dateien und Ordner von denen ich glaube das sie gelöscht werden können, ich kann das aber nicht mit Sicherheit sagen. Ich möchte alle diese aussortieren Objekte auf einen eigenen Pfad verschieben. Auf diesem Pfad soll jeder LESEN und LÖSCHEN dürfen, aber nicht neue Dateien erstellen oder bestehende Dateien neu abspeichern. Gibt es da irgendeine Möglichkeit das sinnvoll umzusetzen (Jetzt nicht gleich mit einer Killerlösung)?
Danke für Ideen.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 276373
Url: https://administrator.de/forum/windows-datei-freigaben-276373.html
Ausgedruckt am: 28.03.2025 um 07:03 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Gruß jodel32
Gehe ich hier den falschen Weg, kann man Rechte priorisieren oder muss ich tatsächlich mehr Gruppen erstellen?
Verweigern ist hier der falsche Weg. Du gibst den Domain-Usern auf den Root-Ordner allgemeine Leserechte, und bei den direkten Unterordnern unterbrichst du bei Bedarf jeweils die Vererbung (falls Lesezugriff auch verhindert werden soll) und packst dort nur die User oder besser Gruppen rein die in den jeweiligen Ordner schreiben sollen.Gruß jodel32
Okay ich habe es an einen frischen Ordner getestet. Ich gebe ihn Frei mit folgenden Einstellungen:
Hauptordner und Freigabe
Berechtigungen (Dateisystem) = Domänen-Benutzer Lesen/Ausführen
Freigabe = Domänen-Benutzer Vollzugriff
Unterordner (Vererbung deaktiviert und vererbte Rechte entfernt)
Berechtigungen (Dateisystem) = Domänen-Benutzer Vollzugriff
Ich darf dann sowohl im Hauptordner als auch im Unterordner schreiben. Ändere ich das auf:
Hauptordner und Freigabe
Berechtigungen (Dateisystem) = Domänen-Benutzer Lesen/Ausführen
Freigabe = Domänen-Benutzer Lesen/Ausführen
Unterordner (Vererbung deaktiviert und vererbte Rechte entfernt)
Berechtigungen (Dateisystem) = Domänen-Benutzer Vollzugriff
darf ich in beiden Ordnern nicht schreiben nur lesen.
Hauptordner und Freigabe
Berechtigungen (Dateisystem) = Domänen-Benutzer Lesen/Ausführen
Freigabe = Domänen-Benutzer Vollzugriff
Unterordner (Vererbung deaktiviert und vererbte Rechte entfernt)
Berechtigungen (Dateisystem) = Domänen-Benutzer Vollzugriff
Ich darf dann sowohl im Hauptordner als auch im Unterordner schreiben. Ändere ich das auf:
Hauptordner und Freigabe
Berechtigungen (Dateisystem) = Domänen-Benutzer Lesen/Ausführen
Freigabe = Domänen-Benutzer Lesen/Ausführen
Unterordner (Vererbung deaktiviert und vererbte Rechte entfernt)
Berechtigungen (Dateisystem) = Domänen-Benutzer Vollzugriff
darf ich in beiden Ordnern nicht schreiben nur lesen.
Okay jetzt hab ich es.
Hauptordner und Freigabe
Berechtigungen (Dateisystem) = Domänen-Benutzer Schreiben verweigern
Freigabe = Domänen-Benutzer Volzugriff
Unterordner (Vererbung deaktiviert und vererbte Rechte entfernt)
Berechtigungen (Dateisystem) = Domänen-Benutzer Vollzugriff
so darf ich im Hauptordner Lesen und im Unterordner schreiben. Verdreht aber funktioniert.
Mein Fall #B läßt sich damit aber noch nicht abbilden.
Hauptordner und Freigabe
Berechtigungen (Dateisystem) = Domänen-Benutzer Schreiben verweigern
Freigabe = Domänen-Benutzer Volzugriff
Unterordner (Vererbung deaktiviert und vererbte Rechte entfernt)
Berechtigungen (Dateisystem) = Domänen-Benutzer Vollzugriff
so darf ich im Hauptordner Lesen und im Unterordner schreiben. Verdreht aber funktioniert.
Mein Fall #B läßt sich damit aber noch nicht abbilden.
Zitat von @ukulele-7:
so darf ich im Hauptordner Lesen und im Unterordner schreiben. Verdreht aber funktioniert.
Quatsch, du brauchst keine Verweigerung auf dem Hauptordner. Dann hast du noch eine ACL drin in der die Domain-User Mitglied sind und dort Schreibrechte haben oder du hast was anderes verbogen!so darf ich im Hauptordner Lesen und im Unterordner schreiben. Verdreht aber funktioniert.
Fall B: Du verweigerst Daten schreiben/ anhängen
Ich habe die Gruppe Domänen-Benutzer bisher nicht angefasst, sie dient mir nur für Freigaben allgemeiner Art. Die Ordner habe ich auch extra für diesen Zweck mehrfach neu erstellt um zu testen.
Die Freigabe Einstellungen scheinen die Rechte auf dem Dateisystem für den Hauptordner außer Kraft zu setzen. Meine Beobachtung ganz am Anfang war ja auch das auf dem Dateisystem überhaupt keine Berechtigungen gesetzt wurden, mein Benutzer also eigentlich keine Rechte haben dürfte.
Die Freigabe Einstellungen scheinen die Rechte auf dem Dateisystem für den Hauptordner außer Kraft zu setzen. Meine Beobachtung ganz am Anfang war ja auch das auf dem Dateisystem überhaupt keine Berechtigungen gesetzt wurden, mein Benutzer also eigentlich keine Rechte haben dürfte.
Die Freigabe Einstellungen scheinen die Rechte auf dem Dateisystem für den Hauptordner außer Kraft zu setzen.
Niemals. ACLs im NTFS Dateisystem haben immer das letzte Wort.
Okay sie setzen sie nicht außer Kraft.
Die Gruppe DOMAIN\Domänen-Benutzer ist Mitglied der Gruppe COMPUTER\Benutzer und die wird auf den Hauptordner vererbt, unter anderem mit "Speziellen Berechtigungen" wie Dateien schreiben.
Ich muss also nicht verweigern aber ich darf auch auf den Hauptordner nichts vererben.
Die Gruppe DOMAIN\Domänen-Benutzer ist Mitglied der Gruppe COMPUTER\Benutzer und die wird auf den Hauptordner vererbt, unter anderem mit "Speziellen Berechtigungen" wie Dateien schreiben.
Ich muss also nicht verweigern aber ich darf auch auf den Hauptordner nichts vererben.
Mit Verweigern ließe sich tatsächlich auch Fall #B lösen allerdings macht die Gruppe Domänen-Benutzer wieder Ärger da auch der Domänen-Admin Mitglied ist und ider natürlich die Dokumente dahin verschieben soll. Aber dann machen wir eben eine eigene Gruppe für diesen Zweck.
