123859
20.02.2017
6830
27
0
Windows Freigabe: Zugriff auf alle Ordner trotz Sicherheitseinstellungen
Hallo zuammen,
ich habe folgendes Problem.
Wir haben unsere Netzlaufwerke so umgestellt, dass wir die Privaten Userlaufwerke über den UNC-Pfad nicht mehr sehen können. Das funktioniert mit einer Freigaben über den übergeordneten Ordner als $-Freigabe. Nur kann ich als einziger auf alle privaten Laufwerke zugreifen, obwohl ich die alten Freigaben und die Sicherheitseinstellungen komplett überarbeitet habe. Aktuell sollte nur der jeweilige Benutzer und der Administrator zugriff haben, da Sie als Vollzugriff haben und der Administrator der Besitzer ist. Jedoch kann auch ich mit meinem stink normalen Benutzer, welcher kein Administrator ist, und die gleichen Rechte hat wie alle anderen User auf alle Laufwerke zugreifen. Jedoch verstehe ich nicht warum. Der Ordner mit der $-Freigabe sowie die Festplatte auf der der Ordner liegt haben als Sicherheitseinstellung und als Besitzer nur den Administrator und die User Gruppe...
Mit freundlichen Grüßen
Pandreas
ich habe folgendes Problem.
Wir haben unsere Netzlaufwerke so umgestellt, dass wir die Privaten Userlaufwerke über den UNC-Pfad nicht mehr sehen können. Das funktioniert mit einer Freigaben über den übergeordneten Ordner als $-Freigabe. Nur kann ich als einziger auf alle privaten Laufwerke zugreifen, obwohl ich die alten Freigaben und die Sicherheitseinstellungen komplett überarbeitet habe. Aktuell sollte nur der jeweilige Benutzer und der Administrator zugriff haben, da Sie als Vollzugriff haben und der Administrator der Besitzer ist. Jedoch kann auch ich mit meinem stink normalen Benutzer, welcher kein Administrator ist, und die gleichen Rechte hat wie alle anderen User auf alle Laufwerke zugreifen. Jedoch verstehe ich nicht warum. Der Ordner mit der $-Freigabe sowie die Festplatte auf der der Ordner liegt haben als Sicherheitseinstellung und als Besitzer nur den Administrator und die User Gruppe...
Mit freundlichen Grüßen
Pandreas
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 330010
Url: https://administrator.de/forum/windows-freigabe-zugriff-auf-alle-ordner-trotz-sicherheitseinstellungen-330010.html
Ausgedruckt am: 07.05.2025 um 05:05 Uhr
27 Kommentare
Neuester Kommentar
Hi,
bitte unterscheide für uns "sehen" und "zugreifen" und "Zugriff haben". Ich kann etwas sehen und darauf zugreifen wollen und trotzdem die Meldung bekommen "Zugriff verweigert".
Das mit dem "$" nennt man einfach eine versteckte Freigabe.
Wo hast Du die Rechte geändert? In den Freigabe-Berechtigungen oder in den NTFS-Berechtigungen der/des Ordner/s?
Eigenschaften der Freigabe --> Freigabe-Berechtigungen
Eigneschaften des freigegebenen Ordners --> NTFS-Berechtigungen für den Stammordner
Eigenschaften eines Benutzerordners --> NTFS-Berechtigungen für diesen Benutzerordner
Bei einem Benutzerordner sollten keine Benutzergruppe drin stehen, sondern nur der Benutzer selbst und ggf. die Gruppe der betreffenden Administratoren. Ich empfehle, auch "SYSTEM" mit Vollzugriff hinzuzufügen.
E.
bitte unterscheide für uns "sehen" und "zugreifen" und "Zugriff haben". Ich kann etwas sehen und darauf zugreifen wollen und trotzdem die Meldung bekommen "Zugriff verweigert".
Das mit dem "$" nennt man einfach eine versteckte Freigabe.
Wo hast Du die Rechte geändert? In den Freigabe-Berechtigungen oder in den NTFS-Berechtigungen der/des Ordner/s?
Eigenschaften der Freigabe --> Freigabe-Berechtigungen
Eigneschaften des freigegebenen Ordners --> NTFS-Berechtigungen für den Stammordner
Eigenschaften eines Benutzerordners --> NTFS-Berechtigungen für diesen Benutzerordner
Bei einem Benutzerordner sollten keine Benutzergruppe drin stehen, sondern nur der Benutzer selbst und ggf. die Gruppe der betreffenden Administratoren. Ich empfehle, auch "SYSTEM" mit Vollzugriff hinzuzufügen.
E.
Ich "sehe" und kann "zugreifen". Die anderen User können "sehen" aber nicht "zugreifen".
Das folgende habe ich als Administrator direkt auf dem Server gemacht:
Ich habe die Freigaben die zuvor auf den einzelnen Benutzerlaufwerken waren entfernt und für den übergeordneten Ordner eine versteckte Freigabe erstellt. Danach habe ich die Rechte für diese eine Freigabe so bearbeitet, dass Jeder darauf Zugriff hat. Danach habe ich unter dem Reiter "Sicherheit" zwei Gruppen hinzugefügt. Die Gruppe mit den Benutzern und die mit den Administratoren. Dann habe ich unter den Sicherheitseinstellungen für die einzelnen Benutzerordner den Besitzer auf den Administrator geändert (nicht auf die Administratoren-Gruppe). Dann habe ich als Zugriffsberechtigte die Administratoren-Gruppe und den jeweiligen User für den Ordner ausgewählt.
"SYSTEM" brauchen wir nicht als Vollzugriff, da wir eine Active Directory verwenden.
Ich möchte nochmal erwähnen, dass mir klar ist dass ich mit dem Benutzer "Administrator" zugriff auf die einzelnen Ordner habe. Was mir nicht klar ist, ist warum ich mit meinem eigenen User welcher nicht in der Administratoren Gruppe ist zugriff auf alle Ordner habe.
Ich hänge an dieser Stelle nun Bilder an, da es so bestimmt ersichtlicher wird was mein Problem ist. (ich bin nicht Benutzer xyz, habe aber trotzdem zugriff auf seinen Ordner).
Das folgende habe ich als Administrator direkt auf dem Server gemacht:
Ich habe die Freigaben die zuvor auf den einzelnen Benutzerlaufwerken waren entfernt und für den übergeordneten Ordner eine versteckte Freigabe erstellt. Danach habe ich die Rechte für diese eine Freigabe so bearbeitet, dass Jeder darauf Zugriff hat. Danach habe ich unter dem Reiter "Sicherheit" zwei Gruppen hinzugefügt. Die Gruppe mit den Benutzern und die mit den Administratoren. Dann habe ich unter den Sicherheitseinstellungen für die einzelnen Benutzerordner den Besitzer auf den Administrator geändert (nicht auf die Administratoren-Gruppe). Dann habe ich als Zugriffsberechtigte die Administratoren-Gruppe und den jeweiligen User für den Ordner ausgewählt.
"SYSTEM" brauchen wir nicht als Vollzugriff, da wir eine Active Directory verwenden.
Ich möchte nochmal erwähnen, dass mir klar ist dass ich mit dem Benutzer "Administrator" zugriff auf die einzelnen Ordner habe. Was mir nicht klar ist, ist warum ich mit meinem eigenen User welcher nicht in der Administratoren Gruppe ist zugriff auf alle Ordner habe.
Ich hänge an dieser Stelle nun Bilder an, da es so bestimmt ersichtlicher wird was mein Problem ist. (ich bin nicht Benutzer xyz, habe aber trotzdem zugriff auf seinen Ordner).
Moin,
dein Aufbau ist totaler Murks!
Die Benutzer sollten Besitzer ihrer Ordner werden, dann kannst du den Zugriff über "Besitzer" regeln. Siehe erweitere Berechtigungen - nur Unterordner und Dateien.
Gruß Krämer
dein Aufbau ist totaler Murks!
"SYSTEM" brauchen wir nicht als Vollzugriff, da wir eine Active Directory verwenden.
An dieser Aussage merkt man schon, dass du das ganze Berechtigungssystem leider nicht verstanden hast!Die Benutzer sollten Besitzer ihrer Ordner werden, dann kannst du den Zugriff über "Besitzer" regeln. Siehe erweitere Berechtigungen - nur Unterordner und Dateien.
Gruß Krämer
Hallo Kraemer,
System habe ich nun auch hinzugefügt, und als Besitzer den jeweiligen User für seinen Ordner sowie die Unterordner ausgewählt.
Leider habe ich nach wie vor als einziger Standardbenutzer Zugriff auf alle Userordner was so nicht sein soll...
Gruß Pandreas
System habe ich nun auch hinzugefügt, und als Besitzer den jeweiligen User für seinen Ordner sowie die Unterordner ausgewählt.
Leider habe ich nach wie vor als einziger Standardbenutzer Zugriff auf alle Userordner was so nicht sein soll...
Gruß Pandreas
Die Bilder zeigen leider nicht, welche Rechte genau die "Benutzergruppe" für den Stammordner hat.
Sind die Benutzerkonten denn überhaupt Mitglieder dieser "Benutzergruppe"? Wurden sie seit dem Hinzufügen zu dieser Gruppe neu angemeldet? (Bei TS/RDP nicht bloß trennen sondern explizit abmelden!)
Sind die Anwender tatsächlich mit dem jeweiligen Domänen-Konto angemeldet und nicht etwa mit einem lokalen Konto?
Wenn Du von Deinem Standardbenutzer redest, meinst Du dann den Administrator oder ein extra Nicht-Admin-Konto für Deine normale Arbeit?
Sind die Benutzerkonten denn überhaupt Mitglieder dieser "Benutzergruppe"? Wurden sie seit dem Hinzufügen zu dieser Gruppe neu angemeldet? (Bei TS/RDP nicht bloß trennen sondern explizit abmelden!)
Sind die Anwender tatsächlich mit dem jeweiligen Domänen-Konto angemeldet und nicht etwa mit einem lokalen Konto?
Wenn Du von Deinem Standardbenutzer redest, meinst Du dann den Administrator oder ein extra Nicht-Admin-Konto für Deine normale Arbeit?
Ordner user:
1. Vererbung deaktivieren
2. Prinzipal System: Vollzugriff auf diesen Ordner, Unterordner und Dateien
3. Prinzipal Ersteller-Besitzer: Vollzugriff auf Unterordner und Dateien
3. Prinzipal: Domänen-Benutzer: Zulassen nur diesen Ordner Lesen, Ausführen + Ordnerinhalt anzeigen + Lesen
4. Dein(e) Administratoren - ich denke die willst du so haben wie den Besitzer
Die Unterordner erben die Sicherheitseinstellungen vom Ordner user - Besitzer ist entsprechend anzupassen.
Gruß Krämer
1. Vererbung deaktivieren
2. Prinzipal System: Vollzugriff auf diesen Ordner, Unterordner und Dateien
3. Prinzipal Ersteller-Besitzer: Vollzugriff auf Unterordner und Dateien
3. Prinzipal: Domänen-Benutzer: Zulassen nur diesen Ordner Lesen, Ausführen + Ordnerinhalt anzeigen + Lesen
4. Dein(e) Administratoren - ich denke die willst du so haben wie den Besitzer
Die Unterordner erben die Sicherheitseinstellungen vom Ordner user - Besitzer ist entsprechend anzupassen.
Gruß Krämer
Die Benutzer sollten Besitzer ihrer Ordner werden, dann kannst du den Zugriff über "Besitzer" regeln. Siehe erweitere Berechtigungen - nur Unterordner und Dateien.
Aber nicht für den Stamm-Ordner des eigenen Homedirectory (\\server\freigabe\%username%) ! Weil er sonst anderen Benzutern/Gruppen für sein eigenes Homedirectory Rechte erteilen könnte. Es sein denn, man will das so haben.Zitat von @emeriks:
Die Benutzer sollten Besitzer ihrer Ordner werden, dann kannst du den Zugriff über "Besitzer" regeln. Siehe erweitere Berechtigungen - nur Unterordner und Dateien.
Aber nicht für den Stamm-Ordner des eigenen Homedirectory (\\server\freigabe\%username%) ! Weil er sonst anderen Benzutern/Gruppen für sein eigenes Homedirectory Rechte erteilen könnte. Es sein denn, man will das so haben.Sieh dir erst einmal meine genaue Beschreibung an. Das ist schon richtig so, wie ich es sage!
Du kannst Rechte vergeben, was Du willst. Wenn ein Benutzer Besitzer eines Ordners ist, dann kann er die ACL dieses Ordners jederzeit ändern.
Also beim Stamm-Ordner des Homdirectory (nicht verwechseln mit dem Stamm-Ordner der Homedirectrory-Freigabe -- dort sowieso nicht) sollte man das nur machen, wenn man keine Probleme damit hat, wenn der Benutzer dort an der ACL rumfummeln kann.
Also beim Stamm-Ordner des Homdirectory (nicht verwechseln mit dem Stamm-Ordner der Homedirectrory-Freigabe -- dort sowieso nicht) sollte man das nur machen, wenn man keine Probleme damit hat, wenn der Benutzer dort an der ACL rumfummeln kann.
1. Vererbung ist deaktiviert.
2. Wird angewendet.
3. wird auch so angewendet.
4. Die Administratorengruppe hat Voll-Zugriff.
So funktioniert das jetzt ja auch. Nur leider kann ich trotz alle dem als Standard User auf die anderen User-Laufwerke zugreifen.
Obwohl nur der User, das SYSTEM und die Administratoren Zugriff haben können.
Grüße Pandreas
2. Wird angewendet.
3. wird auch so angewendet.
4. Die Administratorengruppe hat Voll-Zugriff.
So funktioniert das jetzt ja auch. Nur leider kann ich trotz alle dem als Standard User auf die anderen User-Laufwerke zugreifen.
Obwohl nur der User, das SYSTEM und die Administratoren Zugriff haben können.
Grüße Pandreas
So funktioniert das jetzt ja auch. Nur leider kann ich trotz alle dem als Standard User auf die anderen User-Laufwerke zugreifen.
Obwohl nur der User, das SYSTEM und die Administratoren Zugriff haben können.
Du wärst nicht der Erste, der sich selbst verarscht.Obwohl nur der User, das SYSTEM und die Administratoren Zugriff haben können.
Poste doch bitte mal eine Ausgabe, z.B. von icalcs.
icalcs \\server\freigabe\{benutzername}
(Das verpixelte ist nur der Domänenname)
Danke. Jetzt kann man folgen.
Und wenn "bstefan" angemeldet ist, dann kann er den Ordner von "mandreas" öffnen? Und Inhalte lesen oder gar ändern/löschen?
Und wenn "bstefan" angemeldet ist, dann kann er den Ordner von "mandreas" öffnen? Und Inhalte lesen oder gar ändern/löschen?
Nein.
Wenn ich als "pandreas" an der Domäne angemeldet bin kann ich auf alle unsere Userlaufwerke (bspw. mandreas & bstefan) zugreifen. "bstefan" und "mandreas" wiederrum können nur auf ihren eigenen Ordner zugreifen. Bei den anderen Ordnern wird Ihnen "Zugriff verweigert" angezeigt.
Wenn ich als "pandreas" an der Domäne angemeldet bin kann ich auf alle unsere Userlaufwerke (bspw. mandreas & bstefan) zugreifen. "bstefan" und "mandreas" wiederrum können nur auf ihren eigenen Ordner zugreifen. Bei den anderen Ordnern wird Ihnen "Zugriff verweigert" angezeigt.
Zitat von @123859:
Wenn ich als "pandreas" lokal ...
du meinst also, dass du dich lokal am Rechner und nicht an der Domäne anmeldest? Dann würde ich mal sagen, dass du für diesen Benutzer die Credentials des Administrators für den Server hinterlegt hast.Wenn ich als "pandreas" lokal ...
Gruß Krämer
Sorry, Lokal ist blöd ausgedrückt. Wenn ich mich an der Domäne von meinem lokalen Rechner aus anmelde...
Auf dem Server unter "Lokale Benutzer und Gruppen" ist nur der Domänenadministrator und der lokale Administrator drin...
Wenn ich als "pandreas" an der Domäne angemeldet bin kann ich auf alle unsere Userlaufwerke (bspw. mandreas & bstefan) zugreifen. "bstefan" und "mandreas" wiederrum können nur auf ihren eigenen Ordner zugreifen. Bei den anderen Ordnern wird Ihnen "Zugriff verweigert" angezeigt.
Sorry, aber das kann ich nicht wirklich glauben.Hast Du "pandreas" auf dem Client (dort, von wo aus Du zugreifst) schon mal richtig abgemeldet? Und dann wieder angemeldet. Oder gar es auch von einem anderen Client aus versucht?
Sind auf diesem Client "Offline Files" aktiviert? Ist die Freigabe "User$" für das Cachen von Offline Files konfiguriert? Falls beides ja: Deaktiviere mal die Offline Files am Client und boote den durch. Dann nochmal testen.
Gehst Du dabei direkt über den UNC oder über ein verbundenes Netzlaufwerk? Falls Netzlaufwerk: Wie wird dieses verbunden? Werden dabei vielleicht abweichende Anmeldedaten übergeben? (Das kannst Du auch am Server sehen. Unter Computerverwaltung --> Sitzungen --> welcher Bednutzername steht da beim betreffenden Client?) Oder wurden diese irgendwann einmalig beim Verbinden des Laufwerks angegeben mit gesetztem Haken "speichern"? Auch das kannst Du ausschließen, indem Du "pandreas" mit einem frischem Benutzerprofil anmeldest.
Der Server ist ein Windows? Und nicht etwa irgendein CIFS-NAS ?
Zitat von @emeriks:
Hast Du "pandreas" auf dem Client (dort, von wo aus Du zugreifst) schon mal richtig abgemeldet? Und dann wieder angemeldet. Oder gar es auch von einem anderen Client aus versucht?
Hast Du "pandreas" auf dem Client (dort, von wo aus Du zugreifst) schon mal richtig abgemeldet? Und dann wieder angemeldet. Oder gar es auch von einem anderen Client aus versucht?
Da liegt wohl der Fehler. Ich hatte es eigentlich mit ein paar Rechnern versucht, jedoch immer mit dem selben Ergebnis. Nun sieht es so aus als wären es die Lokalen Benutzer und Gruppen. Dort steht in der Administratorgruppe mein Name drin.
Nur wenn ich dort meinen User rausnehme und neustarte komme ich immer noch auf die Userlaufwerke...
Der Server ist ein W2008R2 und mein Client ein W10 Version 1607. Das war jedoch bis gestern noch ein Win8.1 Rechner.
Die Rechner mit denen ich das Untersucht haben waren alle W7 W8 oder W10 Rechner.
Ich verstehe bloß "Bahnhof".
Deine Antworten passen irgendwie nicht zusammen.
Wenn Du es von verschiedenen Rechner aus versucht hast, dann können wir Offline Files also ausschließen? Schön, dass Du da so "ausführlich" drauf eingegangen bist.
Lokale Gruppen von was? Den Clients oder des Servers? Mitgliedschaft in Lokale Gruppen des Clients sind irrelevant für Berechtigungen auf dem Server.
Deine Antworten passen irgendwie nicht zusammen.
Da liegt wohl der Fehler.
Wo? Auf das Zitat davor bezogen oder auf Deinen Satz danach?Wenn Du es von verschiedenen Rechner aus versucht hast, dann können wir Offline Files also ausschließen? Schön, dass Du da so "ausführlich" drauf eingegangen bist.
Lokale Gruppen von was? Den Clients oder des Servers? Mitgliedschaft in Lokale Gruppen des Clients sind irrelevant für Berechtigungen auf dem Server.
Offline Files sind auszuschließen. Bin gerade etwas in Eile, deswegen die Kurze "ausführung". Die Lokale Gruppe bezieht sich auf die des Clients. Ich weiß dass diese Irrelevant sind, jedoch kann ich auf meinem Client sowie meinem Laptop, ohne Probleme auf die Netzlaufwerke der anderen User zugreifen. Wenn ich mich jedoch auf einen anderen Client mit "Pandreas" anmelde komme ich nur auf mein Laufwerk.
Der Fehler bezieht sich auf das Zitat und auf die weitere Ausführung von meiner Seite.
Wenn sich andere auf meinem Rechner anmelden können Sie auch nur auf Ihr Laufwerk zugreifen.
Grüße Pandreas
Da liegt wohl der Fehler.
Wo? Auf das Zitat davor bezogen oder auf Deinen Satz danach?Wenn Du es von verschiedenen Rechner aus versucht hast, dann können wir Offline Files also ausschließen? Schön, dass Du da so "ausführlich" drauf eingegangen bist.
Offline Files sind auszuschließen. Bin gerade etwas in Eile, deswegen die Kurze "Ausführung".Lokale Gruppen von was? Den Clients oder des Servers? Mitgliedschaft in Lokale Gruppen des Clients sind irrelevant für Berechtigungen auf dem Server.
Die Lokale Gruppe bezieht sich auf die des Clients. Ich weiß dass diese Irrelevant sind, jedoch kann ich auf meinem Client sowie meinem Laptop (angemeldet als Pandreas), ohne Probleme auf die Netzlaufwerke der anderen User zugreifen. Wenn ich mich jedoch auf einen anderen Client mit "Pandreas" anmelde komme ich nur auf mein Laufwerk und auf die anderen erhalte ich die Zugriff verweigert Meldung.Wenn sich andere auf meinem Rechner anmelden können Sie auch nur auf Ihr Laufwerk zugreifen.
Grüße Pandreas
Ich glaube, ich sollte mich ausklinken ... 
Diese Aussagen widersprechen sich und es macht echt keinen Spaß mehr!
Ach, soll es ein/e andere/r versuchen ....
Wenn ich mich jedoch auf einen anderen Client mit "Pandreas" anmelde komme ich nur auf mein Laufwerk.
Ich hatte es eigentlich mit ein paar Rechnern versucht, jedoch immer mit dem selben Ergebnis.
Diese Aussagen widersprechen sich und es macht echt keinen Spaß mehr!
Wenn sich andere auf meinem Rechner anmelden können Sie auch nur auf Ihr Laufwerk zugreifen, alle anderen sind nicht verbunden.
Und "zugreifen" und "verbunden" sind ebenfalls Äpfel und Birnen, welche man bekanntlich nicht vergeleichen kann!Ach, soll es ein/e andere/r versuchen ....
Schade, trotzdem Danke 
Gruß Pandreas
Gruß Pandreas
Ich sehe es wie @emeriks . Wenn der TO sich nicht einmal die Zeit nimmt, hier klare Aussagen zu treffen, habe ich auch keine Lust meine Zeit dafür zu verschwenden.
So ich habs... Ich habe den Vollzugriff des Domänenadmins aus dem Sicherheitsreiter entfernt und nun kann ich als Standardbenutzer auch nicht mehr auf die Userlaufwerke der anderen drauf. Fragt mich nicht wieso mein Standarduser mit dem Administrator verbunden ist, oder wie zur Hölle das Funktioniert.
Ich hab keine Ahung.
Grüße Pandreas
Ich hab keine Ahung.
Grüße Pandreas
So ich habs... Ich habe den Vollzugriff des Domänenadmins aus dem Sicherheitsreiter entfernt und nun kann ich als Standardbenutzer auch nicht mehr auf die Userlaufwerke der anderen drauf. Fragt mich nicht wieso mein Standarduser mit dem Administrator verbunden ist, oder wie zur Hölle das Funktioniert.
Märchenstunde ...Ich hab keine Ahung.
Ganz sicher.Warum schreibe ich das? Damit andere, die es auch erst noch lernen müssen, nicht auf solche Zusammenhänge schließen.
Zitat von @123859:
So ich habs... Ich habe den Vollzugriff des Domänenadmins aus dem Sicherheitsreiter entfernt und nun kann ich als Standardbenutzer auch nicht mehr auf die Userlaufwerke der anderen drauf. Fragt mich nicht wieso mein Standarduser mit dem Administrator verbunden ist, oder wie zur Hölle das Funktioniert.
Ich hab keine Ahung.
Grüße Pandreas
ja ne ist klar.So ich habs... Ich habe den Vollzugriff des Domänenadmins aus dem Sicherheitsreiter entfernt und nun kann ich als Standardbenutzer auch nicht mehr auf die Userlaufwerke der anderen drauf. Fragt mich nicht wieso mein Standarduser mit dem Administrator verbunden ist, oder wie zur Hölle das Funktioniert.
Ich hab keine Ahung.
Grüße Pandreas
Das Problem solltest du dringlichst in den Griff bekommen - sprich besorg dir Ahnung!
