5
Windows: Ordner erstellen, in dem jede nur die eigenen Dateien sehen kann?
Moin,
auf einem Windows-Server (Active Directory) möchte ich ein Verzeichnis erstellen, in dem jeder Dateien ablegen kann. Es soll dort allerdings jeder nur die eigenen Dateien sehen bzw. bearbeiten können. Quasi ein "elektronischer" Briefkasten.
Ist das mit Windows-Bordmitteln möglich?
auf einem Windows-Server (Active Directory) möchte ich ein Verzeichnis erstellen, in dem jeder Dateien ablegen kann. Es soll dort allerdings jeder nur die eigenen Dateien sehen bzw. bearbeiten können. Quasi ein "elektronischer" Briefkasten.
Ist das mit Windows-Bordmitteln möglich?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670899
Url: https://administrator.de/forum/windows-ordner-erstellen-in-dem-jede-nur-die-eigenen-dateien-sehen-kann-670899.html
Ausgedruckt am: 23.01.2025 um 14:01 Uhr
5 Kommentare
Neuester Kommentar
Moin,
lese Dich in die Themen
Du findest im Internet und bei Microsoft genügend Informationen dazu.
Gruss Penny.
lese Dich in die Themen
- Fileserver
- Access Based Enumeration
Du findest im Internet und bei Microsoft genügend Informationen dazu.
Gruss Penny.
Okay, die "Zugriffsbasierte Aufzählung" (deutsch für "Access Based Enumeration"; der Server ist in deutscher Sprache eingerichtet) war nicht aktiviert, das habe ich jetzt nachgeholt.
Wie richte ich die Berechtigungen passend ein? Derzeit habe ich eine Gruppe "Briefkasten", die Lese- und Schreibrechte (kein Vollzugriff) auf dem Ordner hat. In "Briefkasten" sind die Personen Mitglied, die Dateien in dem Ordner ablegen können. Die darin abgelegten Dateien erhalten automatisch die Berechtigungen der Gruppe "Briefkasten" (Vererbung ist nicht aktiviert), womit alle Mitglieder von "Briefkasten" Zugriff auf die Dateien in dem Ordner haben - das ist also nicht die Lösung.
Wie richte ich die Berechtigungen passend ein? Derzeit habe ich eine Gruppe "Briefkasten", die Lese- und Schreibrechte (kein Vollzugriff) auf dem Ordner hat. In "Briefkasten" sind die Personen Mitglied, die Dateien in dem Ordner ablegen können. Die darin abgelegten Dateien erhalten automatisch die Berechtigungen der Gruppe "Briefkasten" (Vererbung ist nicht aktiviert), womit alle Mitglieder von "Briefkasten" Zugriff auf die Dateien in dem Ordner haben - das ist also nicht die Lösung.
Hi,
du musst die NTFS-Berechtigungen auf den freizugebenden Ordner richtig setzen, die sollten korrekt sein (aufmerksam lesen, verstehen und vorher prüfen):
Administratoren > Vollzugriff > Dieser Ordner, Unterordner und Dateien
Domänen-Admins > Vollzugriff > Dieser Ordner, Unterordner und Dateien
SYSTEM > Vollzugriff > Dieser Ordner, Unterordner und Dateien
Authentifizierte Benutzer > Spezial > Ordner durchsuchen / Datei ausführen, Ordner auflisten/Daten lesen, Attribute lesen, Ordner erstellen/Daten hinzufügen > Nur diesen Ordner
ERSTELLER-BESITZER > Vollzugriff > Unterordner und Dateien
Mit der zugriffsbasierte Aufzählung sehen User nur Ordner und Dateien, auf denen sie mindestens lese-Recht besitzen. Dann den Ordner im Netzlaufwerk freigeben.
Viel Erfolg
MfG
du musst die NTFS-Berechtigungen auf den freizugebenden Ordner richtig setzen, die sollten korrekt sein (aufmerksam lesen, verstehen und vorher prüfen):
Administratoren > Vollzugriff > Dieser Ordner, Unterordner und Dateien
Domänen-Admins > Vollzugriff > Dieser Ordner, Unterordner und Dateien
SYSTEM > Vollzugriff > Dieser Ordner, Unterordner und Dateien
Authentifizierte Benutzer > Spezial > Ordner durchsuchen / Datei ausführen, Ordner auflisten/Daten lesen, Attribute lesen, Ordner erstellen/Daten hinzufügen > Nur diesen Ordner
ERSTELLER-BESITZER > Vollzugriff > Unterordner und Dateien
Mit der zugriffsbasierte Aufzählung sehen User nur Ordner und Dateien, auf denen sie mindestens lese-Recht besitzen. Dann den Ordner im Netzlaufwerk freigeben.
Viel Erfolg
MfG
Ich kann dir unsere mit icacls.exe ausgelesene ACL zeigen, die so funktioniert:
Everyone:(Rc,S,X)
Everyone:(OI)(CI)(W,RD,REA,RA)
CREATOR OWNER:(OI)(CI)(IO)(M)
domain\fileserveradmins:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
Per Powershell z.B. so Share und ACLs eingerichtet ...
Gruß gastric
# Freizugebender Ordner
$folder = 'E:\myshare'
# Name des Shares
$sharename = 'myshare'
# ---------------------------
# Ordner erstellen wenn noch nicht geschehen
if (!(Test-Path -Path $folder -PathType Container)){New-Item -ItemType Dir -Path $folder | out-null}
# Share erstellen
New-SmbShare -Path $folder -FolderEnumerationMode AccessBased -Name $sharename -ChangeAccess "Authentifizierte Benutzer"
# ACLs ermitteln
$acl = Get-ACL -Path $folder
# Vererbung unterbrechen.
$acl.SetAccessRuleProtection($true,$false)
# ACLs hinzufügen
$acl.SetAccessRule([System.Security.AccessControl.FileSystemAccessRule]::new([System.Security.Principal.SecurityIdentifier]::new('S-1-3-0'),'FullControl','ContainerInherit,ObjectInherit','InheritOnly','Allow'))
$acl.SetAccessRule([System.Security.AccessControl.FileSystemAccessRule]::new([System.Security.Principal.SecurityIdentifier]::new('S-1-5-18'),'FullControl','ContainerInherit,ObjectInherit','None','Allow'))
$acl.SetAccessRule([System.Security.AccessControl.FileSystemAccessRule]::new([System.Security.Principal.NTAccount]'Administratoren','FullControl','ContainerInherit,ObjectInherit','None','Allow'))
$acl.SetAccessRule([System.Security.AccessControl.FileSystemAccessRule]::new([System.Security.Principal.SecurityIdentifier]::new('S-1-5-11'),'ReadData,CreateFiles,AppendData,ExecuteFile,ReadAttributes','None','None','Allow'))
# und zurückschreiben
Set-ACL -Path $folder -AclObject $acl
1
