Windows Freigabe und Sicherheit?
Servus zusammen,
bin grad etwas verwirrt und frage lieber nochmal nach.
Also ich hab hier mehrere ordner auf einem Server die im netz freigegeben sind.
jetzt zu meiner frage : ist es ok wenn alle einzel und gruppenberechtigungen unter freigabe/Berechtigungen eingetragen sind und unter Sicherheit immer jeder (vollzugriff) drin steht? hebelt das nicht immer alles auf?
grüße
Geforce
bin grad etwas verwirrt und frage lieber nochmal nach.
Also ich hab hier mehrere ordner auf einem Server die im netz freigegeben sind.
jetzt zu meiner frage : ist es ok wenn alle einzel und gruppenberechtigungen unter freigabe/Berechtigungen eingetragen sind und unter Sicherheit immer jeder (vollzugriff) drin steht? hebelt das nicht immer alles auf?
grüße
Geforce
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 263209
Url: https://administrator.de/forum/windows-freigabe-und-sicherheit-263209.html
Ausgedruckt am: 06.04.2025 um 00:04 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
nein, es hebelt es nicht aus. Es sei denn, es meldet sich jemand am Server an. Ich würde bei den Freigaben nur über Gruppen gehen, das erleichtert die Administration.
Freigabeberechtigungen -> gelten beim anmelden übers Netz
Sicherheit -> Berechtigung lokal (sollte hier ein Benutzer nicht drinstehen, der aber in der Freigabe steht, wird der Zugriff trotzdem verweigert).
Gruß Sven
nein, es hebelt es nicht aus. Es sei denn, es meldet sich jemand am Server an. Ich würde bei den Freigaben nur über Gruppen gehen, das erleichtert die Administration.
Freigabeberechtigungen -> gelten beim anmelden übers Netz
Sicherheit -> Berechtigung lokal (sollte hier ein Benutzer nicht drinstehen, der aber in der Freigabe steht, wird der Zugriff trotzdem verweigert).
Gruß Sven
Übernimm mal in den Sicherheitseinstellungen den "Besitz" der Ordner und Unterordner mit einem admin Konto.
Well alles falsch eingerichtet ist, würde ich, bevor ich anfange, einen Plan machen, wer was wo darf und dann die Berechtigungen entsprechend sauber einrichten.
Wie gesagt, ich würde Gruppen definieren, damit du nicht bei jedem neuen Mitarbeiter die ganzen Berdchtigungen setzten mußt. Du packst ihn in die entsprechende Gruppe und gut. Bei der Ersteinrichtung ist es erst etwas aufwendiger, nachher dafür einfacher und es passieren weniger Fehler.
Gruß Sven
Well alles falsch eingerichtet ist, würde ich, bevor ich anfange, einen Plan machen, wer was wo darf und dann die Berechtigungen entsprechend sauber einrichten.
Wie gesagt, ich würde Gruppen definieren, damit du nicht bei jedem neuen Mitarbeiter die ganzen Berdchtigungen setzten mußt. Du packst ihn in die entsprechende Gruppe und gut. Bei der Ersteinrichtung ist es erst etwas aufwendiger, nachher dafür einfacher und es passieren weniger Fehler.
Gruß Sven
Hi
Ab Server 2008 gibt es die Rolle "Dateidienste" mit der "Freigabe- und Speicherverwaltung". Darüber lassen sich alle Freigaben sehr schön verwalten.
Dann gehe bitte so vor, wie GüntherH es dir im ersten Post geschrieben hatte:
Das macht man u.a. darum, weil die NTFS-Rechte viel feiner strukturiert werden können, als die Freigabeberechtigungen.
Zitat von @Geforce:
Laufwerk wurde freigegeben und unter Sicherheit hat jeder vollzugriff
in den darin enthaltenen Ordnern stehen die meisten user/grußen unter freigabe drin unter Sicherheit fast immer JEDER mit
vollzugriff
was nun?
Was ist das für ein Server (2003/2008R2/2012)?Laufwerk wurde freigegeben und unter Sicherheit hat jeder vollzugriff
in den darin enthaltenen Ordnern stehen die meisten user/grußen unter freigabe drin unter Sicherheit fast immer JEDER mit
vollzugriff
was nun?
Ab Server 2008 gibt es die Rolle "Dateidienste" mit der "Freigabe- und Speicherverwaltung". Darüber lassen sich alle Freigaben sehr schön verwalten.
Dann gehe bitte so vor, wie GüntherH es dir im ersten Post geschrieben hatte:
Umgekehrt sollte es sein. Die Freigabe kannst du auf Jeder oder Authentifizierte Benutzer und Vollzugriff setzen. Die Berechtigungen slebst setzt du dann über die NTFS Rechte.
Das macht man u.a. darum, weil die NTFS-Rechte viel feiner strukturiert werden können, als die Freigabeberechtigungen.
Hi,
rein technisch kannst Du das machen, wie Du willst. Wenn das Ergebnis stimmt ...
Der "offizielle" Weg, also der von Mutti empfohlene, sieht vor, die Freigabeberechtigungen auf das maximal erforderliche Recht einzustellen und in den NTFS- Berechtigungen fenigranular einzuschränken.
Unter den Aspekten "Verwaltungsaufwand" und "potentiellen Fehlerquellen" ist dann weiterhin empfohlen, in den Freigabeberechtigungen möglichst wenige Einträge zu haben.
In 99% aller Fälle handhaben wir das bei uns so, dass in der Freigabe "Jeder - Vollzugriff" bekommt und in den NTFS-Berechtigungen über Gruppen berechtigt wird.
Wir haben aber auch Szenarien, wo wir Millionen von Dateien unterhalb von Freigaben haben, für welche alle identische Berechtigungen gelten. Um hier für den (zwar nur selten auftrendenden) Fall, dass diese Berechtigungen angepasst werden müssen, zu vermeiden, dass bei Anpassung über dei NTFS-Berechtigungen die Übernahme derer dann stundenlang dauert, gehen wir dort den Weg, im NTFS "Jeder - Vollzugriff" und in Freigabe die betreffenden Gruppen einzutragen.
Wenn man den Weg über NTFS "Jeder - Vollzugriff" geht, dann muss man unbedingt verhindern, dass sich ein Nicht-Administrator lokal an diesem Server anmelden kann. Bei "echten" Windows Servern ist dies standardmäßig möglich! (Ausnahme Domain Controller) Wenn nicht, dann besteht die potentielle Gefahr, dass sich jemand unberechtigter Weise Zugriff zum Server verschafft, sich dort lokal anmeldet und dann mit vollen Rechten auf alle Daten zugreifen kann.
E.
rein technisch kannst Du das machen, wie Du willst. Wenn das Ergebnis stimmt ...
Der "offizielle" Weg, also der von Mutti empfohlene, sieht vor, die Freigabeberechtigungen auf das maximal erforderliche Recht einzustellen und in den NTFS- Berechtigungen fenigranular einzuschränken.
Unter den Aspekten "Verwaltungsaufwand" und "potentiellen Fehlerquellen" ist dann weiterhin empfohlen, in den Freigabeberechtigungen möglichst wenige Einträge zu haben.
In 99% aller Fälle handhaben wir das bei uns so, dass in der Freigabe "Jeder - Vollzugriff" bekommt und in den NTFS-Berechtigungen über Gruppen berechtigt wird.
Wir haben aber auch Szenarien, wo wir Millionen von Dateien unterhalb von Freigaben haben, für welche alle identische Berechtigungen gelten. Um hier für den (zwar nur selten auftrendenden) Fall, dass diese Berechtigungen angepasst werden müssen, zu vermeiden, dass bei Anpassung über dei NTFS-Berechtigungen die Übernahme derer dann stundenlang dauert, gehen wir dort den Weg, im NTFS "Jeder - Vollzugriff" und in Freigabe die betreffenden Gruppen einzutragen.
Wenn man den Weg über NTFS "Jeder - Vollzugriff" geht, dann muss man unbedingt verhindern, dass sich ein Nicht-Administrator lokal an diesem Server anmelden kann. Bei "echten" Windows Servern ist dies standardmäßig möglich! (Ausnahme Domain Controller) Wenn nicht, dann besteht die potentielle Gefahr, dass sich jemand unberechtigter Weise Zugriff zum Server verschafft, sich dort lokal anmeldet und dann mit vollen Rechten auf alle Daten zugreifen kann.
E.
Wie fast immer bei dieser Frage wird leider ein Aspekt übersehen:
Gibt man der Gruppe jeder bei den Freigaberechten Vollzugriff, dann kann der Administrator über die NTFS-Rechte nicht mehr verhindern, dass ein Nutzer auf einen von ihm selbst erstellten Ordner andere Rechte setzt, als wir es gern hätten. Es ist wirklich so, probiert es aus, wenn Ihr es nicht glaubt, selbst mit Verweigerungen kann man es nicht verhindern. Das liegt daran, dass der Grundsatz: "das restriktiver Gesetzte entscheidet" eben diese Ausnahme für den Creator/Owner hat.
Deswegen: auf gar keinen Fall nimmt man bei den Freigaberechten "jeder: Vollzugriff". Man nimmt "jeder:ändern" und dann benutzt man die NTFS Rechte.
Ich schreib das hier seit Jahr und Tag, aber Gehör findet es bislang wenig.
Gibt man der Gruppe jeder bei den Freigaberechten Vollzugriff, dann kann der Administrator über die NTFS-Rechte nicht mehr verhindern, dass ein Nutzer auf einen von ihm selbst erstellten Ordner andere Rechte setzt, als wir es gern hätten. Es ist wirklich so, probiert es aus, wenn Ihr es nicht glaubt, selbst mit Verweigerungen kann man es nicht verhindern. Das liegt daran, dass der Grundsatz: "das restriktiver Gesetzte entscheidet" eben diese Ausnahme für den Creator/Owner hat.
Deswegen: auf gar keinen Fall nimmt man bei den Freigaberechten "jeder: Vollzugriff". Man nimmt "jeder:ändern" und dann benutzt man die NTFS Rechte.
Ich schreib das hier seit Jahr und Tag, aber Gehör findet es bislang wenig.
Zitat von @DerWoWusste:
Wie fast immer bei dieser Frage wird leider ein Aspekt übersehen:
Gibt man der Gruppe jeder bei den Freigaberechten Vollzugriff, dann kann der Administrator über die NTFS-Rechte nicht mehr
verhindern, dass ein Nutzer auf einen von ihm selbst erstellten Ordner andere Rechte setzt, als wir es gern hätten. Es ist
wirklich so, probiert es aus, wenn Ihr es nicht glaubt, selbst mit Verweigerungen kann man es nicht verhindern. Das liegt daran,
dass der Grundsatz: "das restriktiver Gesetzte entscheidet" eben diese Ausnahme für den Creator/Owner hat.
Deswegen: auf gar keinen Fall nimmt man bei den Freigaberechten "jeder: Vollzugriff". Man nimmt
"jeder:ändern" und dann benutzt man die NTFS Rechte.
Ich schreib das hier seit Jahr und Tag, aber Gehör findet es bislang wenig.
Wie fast immer bei dieser Frage wird leider ein Aspekt übersehen:
Gibt man der Gruppe jeder bei den Freigaberechten Vollzugriff, dann kann der Administrator über die NTFS-Rechte nicht mehr
verhindern, dass ein Nutzer auf einen von ihm selbst erstellten Ordner andere Rechte setzt, als wir es gern hätten. Es ist
wirklich so, probiert es aus, wenn Ihr es nicht glaubt, selbst mit Verweigerungen kann man es nicht verhindern. Das liegt daran,
dass der Grundsatz: "das restriktiver Gesetzte entscheidet" eben diese Ausnahme für den Creator/Owner hat.
Deswegen: auf gar keinen Fall nimmt man bei den Freigaberechten "jeder: Vollzugriff". Man nimmt
"jeder:ändern" und dann benutzt man die NTFS Rechte.
Ich schreib das hier seit Jahr und Tag, aber Gehör findet es bislang wenig.
Guten Morgen DWW,
Du sprichst mir aus der Seele. Ich spendiere Dir einen (virtuellen) Kaffee. Ich spreche dies auch immer bei den Projekten an. Geändert wird nix. Zitat: Haben wir immer schon so gemacht. Das funktioniert, usw.
Ich kann mich noch dran erinnern, daß damals bei uns im Rechenzentrum die Assistentin der Geschäftsführung an den Berechtigungen rumgespielt hatte und dann nichts mehr funktionierte.
Schönen Gruss Penny.
Hi.
unter freigabe jeder:ändern und Domänen-admins vollzugriff
jeder:ändern reicht. Admins braucht man nicht explizit zu berechtigen.unter Sicherheit/ntfs ist aber schon standardmässig 4 user drin, können die da bleiben oder soll ich sie entfernen und wenn ja wie?
Da kommt meine Gegenfrage: willst Du, dass diese 4 User/Gruppen das können, was ihnen durch Vererbung zugeteilt wurde? Nein? Dann nimm sie raus. Dazu musst Du die Vererbung unter "erweitert" auflösen.