drcox
Goto Top

Windows Server Gruppenrichtlinien anpassen

Ich administriere einen Windows Server und soll dort die Gruppenrichtlinien anpassen, nachdem es einige Probleme mit den Freigaben gab (Personal-Ordner konnte von allen eingesehen werden).
Nun frage ich mich, wie vorsichtig ich dabei vorgehen muss.

Einerseits soll ich die Ordnerstruktur ändern. Aber auch bei den Nutzern sollen Berechtigungen geändert werden.


Die Laufwerkszuweisung findet per Batch-Datei statt. Das ganze sieht dann zB so aus:

net use * /delete /yes
net use g: \\server\daten /persistent:no
net use u: \\server\user /persistent:no
net use s: \\server\install /persistent:no
net use v: \\server\bilder /persistent:no


Ich bin noch nicht sehr lange im Unternehmen und weiß nicht genau, wie man bei Änderungen vorgeht. Sollte man hier von Grund auf neu planen oder sind kleine Änderungen besser? Ich habe hier schon im Forum gelesen, dass Änderungen nur mit Bedacht vorgenommen werden sollten.

Content-ID: 344419

Url: https://administrator.de/forum/windows-server-gruppenrichtlinien-anpassen-344419.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

SlainteMhath
SlainteMhath 25.07.2017 um 12:38:38 Uhr
Goto Top
Moin,

Rechte auf Ordner, Dateien und Freigaben hab nichts mit GPOs zu tun. Besser du kümmerst dich erstmal um NTFS und CIFS Rechte.

Und dann kannst du Laufwerke per GPO mappen - per .bat/.cmd macht man das schon länger nicht mehr...

lg,
Slainte
06Down
06Down 25.07.2017 um 12:48:18 Uhr
Goto Top
Hi,

geht es nur darum dass die Freigaben im Netzwerk aktuell von allen gesehen werden, oder darum , dass die Freigaben auch für alle zugänglich sind?

Zu Annahme 1:
Versteckte Shares sind eine Möglichkeit. Hier einfach an den Freigabenamen ein "$" - Zeichen hängen. Schon taucht die Freigabe nicht mehr in der Liste der verfügbaren Freigaben auf. Hierzu noch folgender Link: http://www.it-administrator.de/themen/server_client/57847.html

Zu Annahme 2:
In der Freigabe selbst keine Einschränkung setzen und die Rechte mit NTFS umsetzen. Man kann das AGDLP - Prinzip anwenden. Heißt so viel wie erstelle eine Globale Gruppe im AD. Erstelle eine Domain Lokale Gruppe im AD und füge die Globale Gruppe als Mitglied hinzu. Berechtige die Domain Lokale Gruppe auf den Ordner mittels NTFS. Füge User in die Global Gruppe hinzu.

Viele Grüße face-wink
SlainteMhath
SlainteMhath 25.07.2017 um 12:57:46 Uhr
Goto Top
Hier einfach an den Freigabenamen ein "$" - Zeichen hängen.
Das ist kein Sicherheitsfeature, vor allem wenn man mit Batchfiles arbeitet, die dann von jedem User gelesen werden können.
06Down
06Down 25.07.2017 um 13:01:34 Uhr
Goto Top
Das ist kein Sicherheitsfeature, vor allem wenn man mit Batchfiles arbeitet, die dann von jedem User gelesen werden können.
Das habe ich auch nicht gesagt. face-wink
DrCox
DrCox 25.07.2017 um 13:21:05 Uhr
Goto Top
Gewisse Abteilungen sollen auch nur Zugriff auf gewisse Ordner haben. Wenn ich nun die Bat-Dateien lösche, dann hat keiner mehr die Laufwerke. Das heißt, dass ich sie dann händisch pro Benutzer vergeben muss? Bzw. Gruppen (je nach Abteilung) dazu erstelle?
SlainteMhath
SlainteMhath 25.07.2017 um 13:27:35 Uhr
Goto Top
Ok, nochmal in Kurzform

Zugriffsrechte => per NTFS-Berechtigungen und Gruppen
Laufwerkszuordnung => per GPO (ggfs über Gruppen, aber eigentlich kann jeder alle Laufwerke bekommen, da der Zugriff ja per NTFS geregelt ist)
Penny.Cilin
Penny.Cilin 25.07.2017 aktualisiert um 13:39:46 Uhr
Goto Top
Hallo,

wenn Ihr Server 2012 oder 2012 R2 einsetzt, würde ich mal über access based enumeration nachdenken und einsetzen.

MS-Artikel Access-based Enumeration
Access-Based Enumeration (ABE) Concepts (part 1 of 2)


Gruss Penny
DrCox
DrCox 25.07.2017 um 15:59:33 Uhr
Goto Top
Access based enumeration kann ich irgendwie nicht aktivieren. ich verwende Windows Server 2012 R2. Die Shares werden per SMB geteilt. Ist da ein Unterschied zu ntfs-shares?
Pjordorf
Pjordorf 25.07.2017 um 16:23:20 Uhr
Goto Top
Hallo,

Zitat von @DrCox:
Die Shares werden per SMB geteilt. Ist da ein Unterschied zu ntfs-shares?
Nicht wirklich face-smile

SMB = Server Message Block
NTFS = New Technology File System

DrCox = DrMüller = DrMeier = DrSchmidt = Drwerauchimmer. Und jedesmal bist du gemeint, oder gibt es da unterschiede? face-smile Du verwendest ja auch unterschiedlcihe Buchstaben an unterschiedliche stellen um allen zu zeigen das du nicht jeder bist face-smile Fragt sich jetzt wo wie wann worüber DrCox sein Dr gebaut hat face-devilish

https://de.wikipedia.org/wiki/Server_Message_Block
https://de.wikipedia.org/wiki/NTFS

Gruß,
Peter
DrCox
DrCox 25.07.2017 um 22:37:34 Uhr
Goto Top
Vielen Dank für die Links. Habe mich da jetzt eingelesen.


Jetzt hab ich aber noch eine Frage zur vorgehensweise.

Ich möchte auf meinem Server Daten umordnen. Diese sind momentan in folgendem Ordner gespeichert:

\\server\daten


Darin befinden sich jetzt viele Ordner mit unterschiedlichen Berechtigungen. Wenn ich jetzt zum Beispiel den Ordner Buchhaltung in 02_Buchhaltung ändere, bleiben dann die Richtlinien für den Dateizugriff aufrecht oder werden diese dadurch gelöscht?

ich möchte fast alle Ordner öffentlich zugänglich machen, nur manche Unterordner dürfen nur von bestimmten Personen geöffnet werden.

Nun kann ich für die Unterordner also auch die Vererbung ausschalten. Denen werde ich dann per Gruppenrichtlinie die richtigen Leute zuweisen und dann sollte es ja prinzipiell funktionieren.
06Down
06Down 25.07.2017 um 22:56:10 Uhr
Goto Top
So, nun habe ich etwas mehr Zeit.

Ich an Deiner Stelle würde, bevor ich ans eingemacht gehe, erstmal konzeptionell an die Sache ran gehen. Folgende Fragen würde ich mir stellen:

1. Welche Abteilungen habe ich?
2. Braucht jede dieser Abteilungen einen Ordnern mit speziellen Zugriffsrechten auf einen eigenen Buchstaben verbunden? Oder genügt enventuell ein Netzlaufwerk, bspw. N:\, mit einzelnen Ordner pro Abteilung mit Zugriffsschutz (Dann macht Access-Based Enumeration viel Sinn) --> Achtung beim Kopieren / Verschieben von Dateien auf dem gleichen NTFS-Volume werden Berechtigungen nicht neu gesetzt / überschrieben was in der Praxis durchaus zu Problemen führt
3. Müssen innerhalb der Abteilungsordner weitere Zugriffseinschränkungen vorgenommen werden? --> Je tiefer die Ordnerstruktur desto schwieriger wirds mit der Vererbung bzw. der Unterbrechung der Vererbung der Berechtigungen
4. Soll jeder Mitarbeiter außerdem evtl. ein eigens Laufwerk (Homelaufwerk) haben auf welches nur er selbst Zugriff hat (Quota ist hier natürlich absolut sinnvoll)

Wenn Du einen 2012R2 einsetzt, ist, sofern Du die Rolle "Datei und Speicherdienste" installiert und konfiguriert hast, Access-Based Enumeration von Haus aus aktiv.

Du kannst dir im AD eine OU "Permission_Groups" anlegen. Innerhalb dieser kannst Du weitere OUs anlegen und so Deine Ordnerstruktur im AD abbilden (rein organisatorische Maßnahme um dem Überblick zu behalten). Innerhalb der einzelnen OUs kannst Du Dir dann die Gruppen im AD anlegen. Nehmen wir mal an du hast eine Share "Produktion" auf dem Fileserver. Darin sind zwei Ordner, nämlich "Produktionsleiter" und "Produktionsteam". Nur der Leiter soll Vollzugriff auf "Produktionsleiter" erhalten. Alle anderen und der Produktionsleiter sollen Lese- und Schreibrechte auf "Produktionsteam" haben.

Beispielhafter OU-Baum im AD:

Permission_Groups
|------Produktion
|----------------Produktionsleiter
|----------------Produktionsteam

Folgende Gruppen könntest Du dann innerhalb der jeweiligen OUs anlegen:
G_Produktion_r --> User des Teams und Produktionsleiter hinzufügen und Gruppe selbst als Mitglied in zugehöriger domain local Gruppe hinzufügen
DL_Produktion_r --> Auf Ordner mit NTFS berechtigen
G_Produktion_Produktionsleiter_rwx --> Produktionsleiter aufnehmen und die Gruppe selbst als Mitglied in zugehöriger domain local Gruppe hinzufügen
DL_Produktion_Produktionsleiter_rwx --> auf Ordner mit NTFS berechtigen (Vererbung aufbrechen)
G_Produktion_Produktionsteam_rw --> User des Teams und Produktionsleiter aufnehmen und die Gruppe selbst als Mitglied in zugehöriger domain local Gruppe hinzufügen
DL_Produktion_Produktionsteam_rw --> auf Ordner mit NTFS berechtigen (Vererbung aufbrechen)

G steht für globale Gruppe
DL steht für Domain Lokale Gruppe
rwx steht für Vollzugriff (read write execute)
rw steht für Lese- und Schreibzugriff (read write)
r steht für Nur lesen (read)

Das verbinden der Netzlaufwerke / des Netzlaufwerks machst Du dann mit einer Gruppenrichtlinie, welche Du auf eine OU anwendest in der sich entsprechende User befinden.
https://www.youtube.com/watch?v=E7hDAapUXoM

So könntest Du es angehen. Natürlich führen viele Wege nach Rom ... face-smile
Pjordorf
Pjordorf 25.07.2017 um 23:37:21 Uhr
Goto Top
Hallo,

Zitat von @DrCox:
Darin befinden sich jetzt viele Ordner mit unterschiedlichen Berechtigungen. Wenn ich jetzt zum Beispiel den Ordner Buchhaltung in 02_Buchhaltung ändere, bleiben dann die Richtlinien für den Dateizugriff aufrecht oder werden diese dadurch gelöscht?
Probier es einfach an ein Testordner aus. Auf den Server ein Testordner angelegt, Freigabe erstellt, NTFS Ordner Verschieben, umbennennen, kopieren, löschen. Du wirst dann sehen was die Freigabe macht, die NTFS Rechte tun usw. Dann siehst du auch wie unterschiedlich etwas reagiert je nach ob du auf einer gleichen Partition etwas tust oder von einer Platte zu einer anderen usw. Deine Richtlinien für den dateizugriff...

Nun kann ich für die Unterordner also auch die Vererbung ausschalten.
Ja, natürlich, wird aber nicht gerne empfohlen. Vielleicht auch icacls mal anschauen.

Denen werde ich dann per Gruppenrichtlinie die richtigen Leute zuweisen und dann sollte es ja prinzipiell funktionieren.
Könntest dir aber auch alles abschießen. Sicher die NTFS rechte vorher - icacls hilft dir weiter. Die Freigaberechte findest du in der registrierung unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares" und des freigabenamens (Sichern).

Gruß,
Peter