phatair
Goto Top

Windows Server 2008 - Frage zur ABE

Hallo zusammen,

ich habe eine Frage zu ABE in Windows Server 2008.

Ich habe eine Freigabe und auf diese Freigabe ist ABE aktiviert. Trotz atkivierter ABE kann ich mit einem User alle dort
enthaltenen Order und Dateien sehen. Wie müssen für diese Freigabe den die Freigabeberechtigungen und NTFS
Berechtigungen lauten damit dies nicht mehr der Fall ist und jeder User nur noch die Ordner sieht, die er laut NTFS Berechtigung
sehen darf.

Vielen dank schon mal im voraus.

Content-ID: 179672

Url: https://administrator.de/contentid/179672

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

goscho
goscho 27.01.2012 um 14:04:43 Uhr
Goto Top
Zitat von @phatair:
Hallo zusammen,
Mahlzeit

Ich habe eine Freigabe und auf diese Freigabe ist ABE aktiviert. Trotz atkivierter ABE kann ich mit einem User alle dort
enthaltenen Order und Dateien sehen. Wie müssen für diese Freigabe den die Freigabeberechtigungen und NTFS
Berechtigungen lauten damit dies nicht mehr der Fall ist und jeder User nur noch die Ordner sieht, die er laut NTFS Berechtigung
sehen darf.
Du darfst nur noch den Usern Berechtigungen für diese Ordner geben, die diese Ordner auch nutzen sollen (+System und Admins, etc.).
So sollte zuerst mal die Jeder-Berechtigung verschwinden.
Zumeist ist die Vererbung aktiviert. Wenn du jedoch in Unterordnern andere Rechte vergeben willst, musst du diese Vererbung erst einmal auschalten.
phatair
phatair 27.01.2012 um 14:09:57 Uhr
Goto Top
Hi goscho,
also wir haben z.B. einen Ordner "TEST" und unter diesem sind mehrere Unterordner.
Das würde also bedeuten das wir für den Ordner TEST nur den Admin und System berechtigen dürfen. Auf die Unterordner berechtigt man dann nur die User die auch diese Ordner sehen dürfen.
Ist das soweit richtig?
Karo
Karo 27.01.2012 um 14:18:17 Uhr
Goto Top
Hoi,

wenn TEST der Einsprungspunkt ist, dann sollten auch die Gruppen, Verzeihung USER verrechte ich nie einzeln, darauf LIST Rechte haben. Darunter z.B. Unterordner1 Admin, System, GRUPPE1, Unterordner2 Admins, SYSTEM, GRUPPE2 etc. Auf den Unterordnern die Vererbung rausnehmen.

Karo
phatair
phatair 27.01.2012 um 14:26:26 Uhr
Goto Top
Ok, das bedeutet also auf den "Einsprungspunkt" (wenn das die Freigabe ist) solle man alle Gruppen berechtigen die auf diese Freigabe Zugriff haben sollen. Jeder sollte man also nicht verwenden?

auf die einzelnen Unterordner vergibt man dann die Berechtigung für die Gruppen aber vererbt diese nicht durch
Karo
Karo 27.01.2012 um 14:37:41 Uhr
Goto Top
nicht so ganz (wenn ich das richtig interpretiere face-wink )

Also JEDER ist immer GAAANZ böse und verleitet zu Sec-Problemen.

Auf dem Einstiespunkt, sprich in diesem Fall TEST haben die Administratoren und SYSTEM FULL-Rechte, die anderen Gruppen der Unterordner LIST-Rechte. Auf den Unterordnern wird die Vererbung ausgeschaltet. Bei Abfrage bei der Änderung ob die Rechgte von oben kopiert werden sollen mit 'NEIN' beantworten und dann die Verrechtung wie gewollt vergeben.

Karo
phatair
phatair 27.01.2012 um 14:45:02 Uhr
Goto Top
Ok,
so habe ich das auch verstanden. Werde das mal so auf einem Test Ordner umsetzen und mich dann noch mal melden.

Vielen Dank schon mal für die ausführliche Hilfe!!
phatair
phatair 27.01.2012 um 14:54:11 Uhr
Goto Top
Sehr cool - funktioniert soweit.

auf den Einstiegspunkt habe ich jetzt Admin, System FULL und den Gruppen nur LIST Rechte gegeben.

Darunter habe ich meine Unterordner und dort habe ich dann die jeweilige Gruppe berechtigt. Wenn dieser Unterordner wieder viele weitere Unterordner beinhaltet gebe ich auf diesen wieder nur LIST Rechte und vergebe dann für die weiteren Unterordner eigene Berechtigungen. So werden dann auch nur die gewünschten Ordner pro User angzeigt, richtig? face-smile Hoffe das versteht man ;)
Werde das aber auch noch mal testen.
Du/Ihr habt mir schon sehr viel wetier geholfen. DANKE!


EDIT: Jetzt gibt es nur noch ein Problem. Als Freigabeberechtigung habe ich jeder - lesen
Wenn ich nun in den Ordner die mir angezeigt werden etwas erstlelen möchte, bekomme ich die Meldung "Zugriff verweigert". Obwohl die NTFS Berechtigung für die Gruppe Ändern beinhaltet. Muss ich die Freigabeberchtigung auf ändern erhöhren? Oder was ist das Problem?
Karo
Karo 27.01.2012 um 15:21:59 Uhr
Goto Top
"Authenticated USERS" = MODIFY (LESEN/SCHREIBEN) auf dem SHARE, JEDER Rausschmeissen. Wenn Du hier nur LESEN setzt, dann hat das Auswirkung auf die darunter liegende Verrechtung, denn das ist dann die höchste durchzuführende Verrechtung. ADMINS auf FULL

Die Zugriffsberechtigung machst Du auf NTFS-Ebene wie oben besprochen.

Wenns klappt, dann bitte diesen Post auf GELÖST setzen.

Karo
phatair
phatair 27.01.2012 um 15:36:21 Uhr
Goto Top
Alles klar,

also bei der Freigabeberechtigung "Authenticated Users" mit Ändern Rechten und die "Admins" mit FULL Berechtigung eintragen.
Soblad ich das geschafft habe, werde ich das hier als gelöst markieren face-smile

P.S.
Mein Kollege fragt warum man auf den Einstiegspunkt nicht einfach JEDER eintragen kann da das ja nciht weiter durch vererbt wird. So würde man sich das einzelne Gruppen eintragen sparen... Ich habe keine Argumente warum nicht. Ist das wirklich so problematisch?
Könnte man statt den Gruppen auch mit authenticated user arbeiten?
Karo
Karo 27.01.2012 um 15:54:36 Uhr
Goto Top
Natürlich kann man das alles machen, aber ich kann aus Erfahrung sagen, dass es sinnvoll ist die Sachen gleich festzuzurren und sicher zu machen, als solche 'Faulheits'-Lösungen zu basteln.
Wer gibt Dir denn Brief und Siegel, dass da nicht doch was in den Unterordnern vergessen wird einzuschränken?
Wer gibt die Sicherheit, dass nicht mal die Vererbung wieder aktiviert wird?
Wer sagt Dir, das nicht auch ein 'Authenticated User' Müll macht? Bei JEDER hast DU wirklich JEDEN am Zopf wenn was offen steht.
Willst Du Deinen Kopf dafür hinhalten? Security ist ein Schleudersitz!
... und und und ............

Karo
phatair
phatair 27.01.2012 um 16:09:06 Uhr
Goto Top
OK, werde das mal so weiter geben face-smile
Denke ja auch das es besser ist von Anfang an alles richtig dicht zu machen.
phatair
phatair 31.01.2012 um 14:27:52 Uhr
Goto Top
Auch wenn die Frage jetzt schon als "gelöst" markeirt ist, vielleicht kann mir ja noch jemand helfen.

Wenn ich nun auf den Einstiegspunkt - hier test, den Gruppen LIST Rechte gebe und die Vererbung dann unterbreche ist alles OK.
Nun habe ich unter dem Einstiegspunkt Test folgende ORdnerstruktur

TEST (Einstiegspunkt)
Ordner1
Ordner2
Ordner3
Ordner2a
Ordner2b


Wenn ich nun den Ordner 3 für einen Gruppe freigeben möchte, muss ich die Gruppe auf den Ordner 1 berechtigen mit "LIST" und dieses wird dann auf alle Unterordner vererbt. Das heißt für die Ordner 2a udn 2b muss ich die Gruppe wieder rausnehmen da sie diese Ordner nicht sehen sollen. Für Ordner 2 bleibt List bestehen und auf den Ordner3 gebe ich dann die Änderungs Berechtigung.
Das ist doch sehr umständlich. Geht das nicht irgendwie anders....einfach nur die Berechtigung afu Ordner 3 und Windows macht die Ordner "darüber" automatisch für die Gruppe als "LIST" frei?
Karo
Karo 02.02.2012 um 11:54:32 Uhr
Goto Top
Hi,

nur wenn die User direkt auf den Unterordner gehen:
Beispiel: net use * \\SERVERNAME\TEST\Ordner1\Ordner2\Ordner3 (wenn auf Ordner 1 + 2 keine Rechte wären)
Ansonsten ist es klar, wenn Du die Vererbung auf einem Ordner rausnimmst ist das wie ne Mauer mit Tür: Nur wer einen Schlüssel hat (sprich Gruppenberechtigung) durch. Das ist Sinn und Zweck der Vererbung.

Karo
phatair
phatair 02.02.2012 um 18:39:20 Uhr
Goto Top
Alles klar,
ist dann einfach etwas Umgewöhnung. vielen Dank noch mal für deine Hilfe!!