14
Windows Server 2008 - Frage zur ABE
Hallo zusammen,
ich habe eine Frage zu ABE in Windows Server 2008.
Ich habe eine Freigabe und auf diese Freigabe ist ABE aktiviert. Trotz atkivierter ABE kann ich mit einem User alle dort
enthaltenen Order und Dateien sehen. Wie müssen für diese Freigabe den die Freigabeberechtigungen und NTFS
Berechtigungen lauten damit dies nicht mehr der Fall ist und jeder User nur noch die Ordner sieht, die er laut NTFS Berechtigung
sehen darf.
Vielen dank schon mal im voraus.
ich habe eine Frage zu ABE in Windows Server 2008.
Ich habe eine Freigabe und auf diese Freigabe ist ABE aktiviert. Trotz atkivierter ABE kann ich mit einem User alle dort
enthaltenen Order und Dateien sehen. Wie müssen für diese Freigabe den die Freigabeberechtigungen und NTFS
Berechtigungen lauten damit dies nicht mehr der Fall ist und jeder User nur noch die Ordner sieht, die er laut NTFS Berechtigung
sehen darf.
Vielen dank schon mal im voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179672
Url: https://administrator.de/contentid/179672
Printed on: April 16, 2024 at 05:04 o'clock
14 Comments
Latest comment
Mahlzeit
So sollte zuerst mal die Jeder-Berechtigung verschwinden.
Zumeist ist die Vererbung aktiviert. Wenn du jedoch in Unterordnern andere Rechte vergeben willst, musst du diese Vererbung erst einmal auschalten.
Ich habe eine Freigabe und auf diese Freigabe ist ABE aktiviert. Trotz atkivierter ABE kann ich mit einem User alle dort
enthaltenen Order und Dateien sehen. Wie müssen für diese Freigabe den die Freigabeberechtigungen und NTFS
Berechtigungen lauten damit dies nicht mehr der Fall ist und jeder User nur noch die Ordner sieht, die er laut NTFS Berechtigung
sehen darf.
Du darfst nur noch den Usern Berechtigungen für diese Ordner geben, die diese Ordner auch nutzen sollen (+System und Admins, etc.).enthaltenen Order und Dateien sehen. Wie müssen für diese Freigabe den die Freigabeberechtigungen und NTFS
Berechtigungen lauten damit dies nicht mehr der Fall ist und jeder User nur noch die Ordner sieht, die er laut NTFS Berechtigung
sehen darf.
So sollte zuerst mal die Jeder-Berechtigung verschwinden.
Zumeist ist die Vererbung aktiviert. Wenn du jedoch in Unterordnern andere Rechte vergeben willst, musst du diese Vererbung erst einmal auschalten.
Hi goscho,
also wir haben z.B. einen Ordner "TEST" und unter diesem sind mehrere Unterordner.
Das würde also bedeuten das wir für den Ordner TEST nur den Admin und System berechtigen dürfen. Auf die Unterordner berechtigt man dann nur die User die auch diese Ordner sehen dürfen.
Ist das soweit richtig?
also wir haben z.B. einen Ordner "TEST" und unter diesem sind mehrere Unterordner.
Das würde also bedeuten das wir für den Ordner TEST nur den Admin und System berechtigen dürfen. Auf die Unterordner berechtigt man dann nur die User die auch diese Ordner sehen dürfen.
Ist das soweit richtig?
Hoi,
wenn TEST der Einsprungspunkt ist, dann sollten auch die Gruppen, Verzeihung USER verrechte ich nie einzeln, darauf LIST Rechte haben. Darunter z.B. Unterordner1 Admin, System, GRUPPE1, Unterordner2 Admins, SYSTEM, GRUPPE2 etc. Auf den Unterordnern die Vererbung rausnehmen.
Karo
wenn TEST der Einsprungspunkt ist, dann sollten auch die Gruppen, Verzeihung USER verrechte ich nie einzeln, darauf LIST Rechte haben. Darunter z.B. Unterordner1 Admin, System, GRUPPE1, Unterordner2 Admins, SYSTEM, GRUPPE2 etc. Auf den Unterordnern die Vererbung rausnehmen.
Karo
Ok, das bedeutet also auf den "Einsprungspunkt" (wenn das die Freigabe ist) solle man alle Gruppen berechtigen die auf diese Freigabe Zugriff haben sollen. Jeder sollte man also nicht verwenden?
auf die einzelnen Unterordner vergibt man dann die Berechtigung für die Gruppen aber vererbt diese nicht durch
auf die einzelnen Unterordner vergibt man dann die Berechtigung für die Gruppen aber vererbt diese nicht durch
nicht so ganz (wenn ich das richtig interpretiere 
)
Also JEDER ist immer GAAANZ böse und verleitet zu Sec-Problemen.
Auf dem Einstiespunkt, sprich in diesem Fall TEST haben die Administratoren und SYSTEM FULL-Rechte, die anderen Gruppen der Unterordner LIST-Rechte. Auf den Unterordnern wird die Vererbung ausgeschaltet. Bei Abfrage bei der Änderung ob die Rechgte von oben kopiert werden sollen mit 'NEIN' beantworten und dann die Verrechtung wie gewollt vergeben.
Karo
)Also JEDER ist immer GAAANZ böse und verleitet zu Sec-Problemen.
Auf dem Einstiespunkt, sprich in diesem Fall TEST haben die Administratoren und SYSTEM FULL-Rechte, die anderen Gruppen der Unterordner LIST-Rechte. Auf den Unterordnern wird die Vererbung ausgeschaltet. Bei Abfrage bei der Änderung ob die Rechgte von oben kopiert werden sollen mit 'NEIN' beantworten und dann die Verrechtung wie gewollt vergeben.
Karo
Ok,
so habe ich das auch verstanden. Werde das mal so auf einem Test Ordner umsetzen und mich dann noch mal melden.
Vielen Dank schon mal für die ausführliche Hilfe!!
so habe ich das auch verstanden. Werde das mal so auf einem Test Ordner umsetzen und mich dann noch mal melden.
Vielen Dank schon mal für die ausführliche Hilfe!!
Sehr cool - funktioniert soweit.
auf den Einstiegspunkt habe ich jetzt Admin, System FULL und den Gruppen nur LIST Rechte gegeben.
Darunter habe ich meine Unterordner und dort habe ich dann die jeweilige Gruppe berechtigt. Wenn dieser Unterordner wieder viele weitere Unterordner beinhaltet gebe ich auf diesen wieder nur LIST Rechte und vergebe dann für die weiteren Unterordner eigene Berechtigungen. So werden dann auch nur die gewünschten Ordner pro User angzeigt, richtig?
Hoffe das versteht man ;)
Werde das aber auch noch mal testen.
Du/Ihr habt mir schon sehr viel wetier geholfen. DANKE!
EDIT: Jetzt gibt es nur noch ein Problem. Als Freigabeberechtigung habe ich jeder - lesen
Wenn ich nun in den Ordner die mir angezeigt werden etwas erstlelen möchte, bekomme ich die Meldung "Zugriff verweigert". Obwohl die NTFS Berechtigung für die Gruppe Ändern beinhaltet. Muss ich die Freigabeberchtigung auf ändern erhöhren? Oder was ist das Problem?
auf den Einstiegspunkt habe ich jetzt Admin, System FULL und den Gruppen nur LIST Rechte gegeben.
Darunter habe ich meine Unterordner und dort habe ich dann die jeweilige Gruppe berechtigt. Wenn dieser Unterordner wieder viele weitere Unterordner beinhaltet gebe ich auf diesen wieder nur LIST Rechte und vergebe dann für die weiteren Unterordner eigene Berechtigungen. So werden dann auch nur die gewünschten Ordner pro User angzeigt, richtig?
Hoffe das versteht man ;)Werde das aber auch noch mal testen.
Du/Ihr habt mir schon sehr viel wetier geholfen. DANKE!
EDIT: Jetzt gibt es nur noch ein Problem. Als Freigabeberechtigung habe ich jeder - lesen
Wenn ich nun in den Ordner die mir angezeigt werden etwas erstlelen möchte, bekomme ich die Meldung "Zugriff verweigert". Obwohl die NTFS Berechtigung für die Gruppe Ändern beinhaltet. Muss ich die Freigabeberchtigung auf ändern erhöhren? Oder was ist das Problem?
"Authenticated USERS" = MODIFY (LESEN/SCHREIBEN) auf dem SHARE, JEDER Rausschmeissen. Wenn Du hier nur LESEN setzt, dann hat das Auswirkung auf die darunter liegende Verrechtung, denn das ist dann die höchste durchzuführende Verrechtung. ADMINS auf FULL
Die Zugriffsberechtigung machst Du auf NTFS-Ebene wie oben besprochen.
Wenns klappt, dann bitte diesen Post auf GELÖST setzen.
Karo
Die Zugriffsberechtigung machst Du auf NTFS-Ebene wie oben besprochen.
Wenns klappt, dann bitte diesen Post auf GELÖST setzen.
Karo
Alles klar,
also bei der Freigabeberechtigung "Authenticated Users" mit Ändern Rechten und die "Admins" mit FULL Berechtigung eintragen.
Soblad ich das geschafft habe, werde ich das hier als gelöst markieren
P.S.
Mein Kollege fragt warum man auf den Einstiegspunkt nicht einfach JEDER eintragen kann da das ja nciht weiter durch vererbt wird. So würde man sich das einzelne Gruppen eintragen sparen... Ich habe keine Argumente warum nicht. Ist das wirklich so problematisch?
Könnte man statt den Gruppen auch mit authenticated user arbeiten?
also bei der Freigabeberechtigung "Authenticated Users" mit Ändern Rechten und die "Admins" mit FULL Berechtigung eintragen.
Soblad ich das geschafft habe, werde ich das hier als gelöst markieren
P.S.
Mein Kollege fragt warum man auf den Einstiegspunkt nicht einfach JEDER eintragen kann da das ja nciht weiter durch vererbt wird. So würde man sich das einzelne Gruppen eintragen sparen... Ich habe keine Argumente warum nicht. Ist das wirklich so problematisch?
Könnte man statt den Gruppen auch mit authenticated user arbeiten?
Natürlich kann man das alles machen, aber ich kann aus Erfahrung sagen, dass es sinnvoll ist die Sachen gleich festzuzurren und sicher zu machen, als solche 'Faulheits'-Lösungen zu basteln.
Wer gibt Dir denn Brief und Siegel, dass da nicht doch was in den Unterordnern vergessen wird einzuschränken?
Wer gibt die Sicherheit, dass nicht mal die Vererbung wieder aktiviert wird?
Wer sagt Dir, das nicht auch ein 'Authenticated User' Müll macht? Bei JEDER hast DU wirklich JEDEN am Zopf wenn was offen steht.
Willst Du Deinen Kopf dafür hinhalten? Security ist ein Schleudersitz!
... und und und ............
Karo
Wer gibt Dir denn Brief und Siegel, dass da nicht doch was in den Unterordnern vergessen wird einzuschränken?
Wer gibt die Sicherheit, dass nicht mal die Vererbung wieder aktiviert wird?
Wer sagt Dir, das nicht auch ein 'Authenticated User' Müll macht? Bei JEDER hast DU wirklich JEDEN am Zopf wenn was offen steht.
Willst Du Deinen Kopf dafür hinhalten? Security ist ein Schleudersitz!
... und und und ............
Karo
OK, werde das mal so weiter geben
Denke ja auch das es besser ist von Anfang an alles richtig dicht zu machen.
Denke ja auch das es besser ist von Anfang an alles richtig dicht zu machen.
Auch wenn die Frage jetzt schon als "gelöst" markeirt ist, vielleicht kann mir ja noch jemand helfen.
Wenn ich nun auf den Einstiegspunkt - hier test, den Gruppen LIST Rechte gebe und die Vererbung dann unterbreche ist alles OK.
Nun habe ich unter dem Einstiegspunkt Test folgende ORdnerstruktur
TEST (Einstiegspunkt)
Ordner1
Ordner2
Ordner3
Ordner2a
Ordner2b
Wenn ich nun den Ordner 3 für einen Gruppe freigeben möchte, muss ich die Gruppe auf den Ordner 1 berechtigen mit "LIST" und dieses wird dann auf alle Unterordner vererbt. Das heißt für die Ordner 2a udn 2b muss ich die Gruppe wieder rausnehmen da sie diese Ordner nicht sehen sollen. Für Ordner 2 bleibt List bestehen und auf den Ordner3 gebe ich dann die Änderungs Berechtigung.
Das ist doch sehr umständlich. Geht das nicht irgendwie anders....einfach nur die Berechtigung afu Ordner 3 und Windows macht die Ordner "darüber" automatisch für die Gruppe als "LIST" frei?
Wenn ich nun auf den Einstiegspunkt - hier test, den Gruppen LIST Rechte gebe und die Vererbung dann unterbreche ist alles OK.
Nun habe ich unter dem Einstiegspunkt Test folgende ORdnerstruktur
TEST (Einstiegspunkt)
Ordner1
Ordner2
Ordner3
Ordner2a
Ordner2b
Wenn ich nun den Ordner 3 für einen Gruppe freigeben möchte, muss ich die Gruppe auf den Ordner 1 berechtigen mit "LIST" und dieses wird dann auf alle Unterordner vererbt. Das heißt für die Ordner 2a udn 2b muss ich die Gruppe wieder rausnehmen da sie diese Ordner nicht sehen sollen. Für Ordner 2 bleibt List bestehen und auf den Ordner3 gebe ich dann die Änderungs Berechtigung.
Das ist doch sehr umständlich. Geht das nicht irgendwie anders....einfach nur die Berechtigung afu Ordner 3 und Windows macht die Ordner "darüber" automatisch für die Gruppe als "LIST" frei?
Hi,
nur wenn die User direkt auf den Unterordner gehen:
Beispiel: net use * \\SERVERNAME\TEST\Ordner1\Ordner2\Ordner3 (wenn auf Ordner 1 + 2 keine Rechte wären)
Ansonsten ist es klar, wenn Du die Vererbung auf einem Ordner rausnimmst ist das wie ne Mauer mit Tür: Nur wer einen Schlüssel hat (sprich Gruppenberechtigung) durch. Das ist Sinn und Zweck der Vererbung.
Karo
nur wenn die User direkt auf den Unterordner gehen:
Beispiel: net use * \\SERVERNAME\TEST\Ordner1\Ordner2\Ordner3 (wenn auf Ordner 1 + 2 keine Rechte wären)
Ansonsten ist es klar, wenn Du die Vererbung auf einem Ordner rausnimmst ist das wie ne Mauer mit Tür: Nur wer einen Schlüssel hat (sprich Gruppenberechtigung) durch. Das ist Sinn und Zweck der Vererbung.
Karo
Alles klar,
ist dann einfach etwas Umgewöhnung. vielen Dank noch mal für deine Hilfe!!
ist dann einfach etwas Umgewöhnung. vielen Dank noch mal für deine Hilfe!!