Windows Server Gruppenrichtlinien anpassen
Ich administriere einen Windows Server und soll dort die Gruppenrichtlinien anpassen, nachdem es einige Probleme mit den Freigaben gab (Personal-Ordner konnte von allen eingesehen werden).
Nun frage ich mich, wie vorsichtig ich dabei vorgehen muss.
Einerseits soll ich die Ordnerstruktur ändern. Aber auch bei den Nutzern sollen Berechtigungen geändert werden.
Die Laufwerkszuweisung findet per Batch-Datei statt. Das ganze sieht dann zB so aus:
net use * /delete /yes
net use g: \\server\daten /persistent:no
net use u: \\server\user /persistent:no
net use s: \\server\install /persistent:no
net use v: \\server\bilder /persistent:no
Ich bin noch nicht sehr lange im Unternehmen und weiß nicht genau, wie man bei Änderungen vorgeht. Sollte man hier von Grund auf neu planen oder sind kleine Änderungen besser? Ich habe hier schon im Forum gelesen, dass Änderungen nur mit Bedacht vorgenommen werden sollten.
Nun frage ich mich, wie vorsichtig ich dabei vorgehen muss.
Einerseits soll ich die Ordnerstruktur ändern. Aber auch bei den Nutzern sollen Berechtigungen geändert werden.
Die Laufwerkszuweisung findet per Batch-Datei statt. Das ganze sieht dann zB so aus:
net use * /delete /yes
net use g: \\server\daten /persistent:no
net use u: \\server\user /persistent:no
net use s: \\server\install /persistent:no
net use v: \\server\bilder /persistent:no
Ich bin noch nicht sehr lange im Unternehmen und weiß nicht genau, wie man bei Änderungen vorgeht. Sollte man hier von Grund auf neu planen oder sind kleine Änderungen besser? Ich habe hier schon im Forum gelesen, dass Änderungen nur mit Bedacht vorgenommen werden sollten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344419
Url: https://administrator.de/forum/windows-server-gruppenrichtlinien-anpassen-344419.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
12 Kommentare
Neuester Kommentar
Hi,
geht es nur darum dass die Freigaben im Netzwerk aktuell von allen gesehen werden, oder darum , dass die Freigaben auch für alle zugänglich sind?
Zu Annahme 1:
Versteckte Shares sind eine Möglichkeit. Hier einfach an den Freigabenamen ein "$" - Zeichen hängen. Schon taucht die Freigabe nicht mehr in der Liste der verfügbaren Freigaben auf. Hierzu noch folgender Link: http://www.it-administrator.de/themen/server_client/57847.html
Zu Annahme 2:
In der Freigabe selbst keine Einschränkung setzen und die Rechte mit NTFS umsetzen. Man kann das AGDLP - Prinzip anwenden. Heißt so viel wie erstelle eine Globale Gruppe im AD. Erstelle eine Domain Lokale Gruppe im AD und füge die Globale Gruppe als Mitglied hinzu. Berechtige die Domain Lokale Gruppe auf den Ordner mittels NTFS. Füge User in die Global Gruppe hinzu.
Viele Grüße
geht es nur darum dass die Freigaben im Netzwerk aktuell von allen gesehen werden, oder darum , dass die Freigaben auch für alle zugänglich sind?
Zu Annahme 1:
Versteckte Shares sind eine Möglichkeit. Hier einfach an den Freigabenamen ein "$" - Zeichen hängen. Schon taucht die Freigabe nicht mehr in der Liste der verfügbaren Freigaben auf. Hierzu noch folgender Link: http://www.it-administrator.de/themen/server_client/57847.html
Zu Annahme 2:
In der Freigabe selbst keine Einschränkung setzen und die Rechte mit NTFS umsetzen. Man kann das AGDLP - Prinzip anwenden. Heißt so viel wie erstelle eine Globale Gruppe im AD. Erstelle eine Domain Lokale Gruppe im AD und füge die Globale Gruppe als Mitglied hinzu. Berechtige die Domain Lokale Gruppe auf den Ordner mittels NTFS. Füge User in die Global Gruppe hinzu.
Viele Grüße
Hallo,
wenn Ihr Server 2012 oder 2012 R2 einsetzt, würde ich mal über access based enumeration nachdenken und einsetzen.
MS-Artikel Access-based Enumeration
Access-Based Enumeration (ABE) Concepts (part 1 of 2)
Gruss Penny
wenn Ihr Server 2012 oder 2012 R2 einsetzt, würde ich mal über access based enumeration nachdenken und einsetzen.
MS-Artikel Access-based Enumeration
Access-Based Enumeration (ABE) Concepts (part 1 of 2)
Gruss Penny
Hallo,
Nicht wirklich
SMB = Server Message Block
NTFS = New Technology File System
DrCox = DrMüller = DrMeier = DrSchmidt = Drwerauchimmer. Und jedesmal bist du gemeint, oder gibt es da unterschiede? Du verwendest ja auch unterschiedlcihe Buchstaben an unterschiedliche stellen um allen zu zeigen das du nicht jeder bist Fragt sich jetzt wo wie wann worüber DrCox sein Dr gebaut hat
https://de.wikipedia.org/wiki/Server_Message_Block
https://de.wikipedia.org/wiki/NTFS
Gruß,
Peter
Nicht wirklich
SMB = Server Message Block
NTFS = New Technology File System
DrCox = DrMüller = DrMeier = DrSchmidt = Drwerauchimmer. Und jedesmal bist du gemeint, oder gibt es da unterschiede? Du verwendest ja auch unterschiedlcihe Buchstaben an unterschiedliche stellen um allen zu zeigen das du nicht jeder bist Fragt sich jetzt wo wie wann worüber DrCox sein Dr gebaut hat
https://de.wikipedia.org/wiki/Server_Message_Block
https://de.wikipedia.org/wiki/NTFS
Gruß,
Peter
So, nun habe ich etwas mehr Zeit.
Ich an Deiner Stelle würde, bevor ich ans eingemacht gehe, erstmal konzeptionell an die Sache ran gehen. Folgende Fragen würde ich mir stellen:
1. Welche Abteilungen habe ich?
2. Braucht jede dieser Abteilungen einen Ordnern mit speziellen Zugriffsrechten auf einen eigenen Buchstaben verbunden? Oder genügt enventuell ein Netzlaufwerk, bspw. N:\, mit einzelnen Ordner pro Abteilung mit Zugriffsschutz (Dann macht Access-Based Enumeration viel Sinn) --> Achtung beim Kopieren / Verschieben von Dateien auf dem gleichen NTFS-Volume werden Berechtigungen nicht neu gesetzt / überschrieben was in der Praxis durchaus zu Problemen führt
3. Müssen innerhalb der Abteilungsordner weitere Zugriffseinschränkungen vorgenommen werden? --> Je tiefer die Ordnerstruktur desto schwieriger wirds mit der Vererbung bzw. der Unterbrechung der Vererbung der Berechtigungen
4. Soll jeder Mitarbeiter außerdem evtl. ein eigens Laufwerk (Homelaufwerk) haben auf welches nur er selbst Zugriff hat (Quota ist hier natürlich absolut sinnvoll)
Wenn Du einen 2012R2 einsetzt, ist, sofern Du die Rolle "Datei und Speicherdienste" installiert und konfiguriert hast, Access-Based Enumeration von Haus aus aktiv.
Du kannst dir im AD eine OU "Permission_Groups" anlegen. Innerhalb dieser kannst Du weitere OUs anlegen und so Deine Ordnerstruktur im AD abbilden (rein organisatorische Maßnahme um dem Überblick zu behalten). Innerhalb der einzelnen OUs kannst Du Dir dann die Gruppen im AD anlegen. Nehmen wir mal an du hast eine Share "Produktion" auf dem Fileserver. Darin sind zwei Ordner, nämlich "Produktionsleiter" und "Produktionsteam". Nur der Leiter soll Vollzugriff auf "Produktionsleiter" erhalten. Alle anderen und der Produktionsleiter sollen Lese- und Schreibrechte auf "Produktionsteam" haben.
Beispielhafter OU-Baum im AD:
Permission_Groups
|------Produktion
|----------------Produktionsleiter
|----------------Produktionsteam
Folgende Gruppen könntest Du dann innerhalb der jeweiligen OUs anlegen:
G_Produktion_r --> User des Teams und Produktionsleiter hinzufügen und Gruppe selbst als Mitglied in zugehöriger domain local Gruppe hinzufügen
DL_Produktion_r --> Auf Ordner mit NTFS berechtigen
G_Produktion_Produktionsleiter_rwx --> Produktionsleiter aufnehmen und die Gruppe selbst als Mitglied in zugehöriger domain local Gruppe hinzufügen
DL_Produktion_Produktionsleiter_rwx --> auf Ordner mit NTFS berechtigen (Vererbung aufbrechen)
G_Produktion_Produktionsteam_rw --> User des Teams und Produktionsleiter aufnehmen und die Gruppe selbst als Mitglied in zugehöriger domain local Gruppe hinzufügen
DL_Produktion_Produktionsteam_rw --> auf Ordner mit NTFS berechtigen (Vererbung aufbrechen)
G steht für globale Gruppe
DL steht für Domain Lokale Gruppe
rwx steht für Vollzugriff (read write execute)
rw steht für Lese- und Schreibzugriff (read write)
r steht für Nur lesen (read)
Das verbinden der Netzlaufwerke / des Netzlaufwerks machst Du dann mit einer Gruppenrichtlinie, welche Du auf eine OU anwendest in der sich entsprechende User befinden.
https://www.youtube.com/watch?v=E7hDAapUXoM
So könntest Du es angehen. Natürlich führen viele Wege nach Rom ...
Ich an Deiner Stelle würde, bevor ich ans eingemacht gehe, erstmal konzeptionell an die Sache ran gehen. Folgende Fragen würde ich mir stellen:
1. Welche Abteilungen habe ich?
2. Braucht jede dieser Abteilungen einen Ordnern mit speziellen Zugriffsrechten auf einen eigenen Buchstaben verbunden? Oder genügt enventuell ein Netzlaufwerk, bspw. N:\, mit einzelnen Ordner pro Abteilung mit Zugriffsschutz (Dann macht Access-Based Enumeration viel Sinn) --> Achtung beim Kopieren / Verschieben von Dateien auf dem gleichen NTFS-Volume werden Berechtigungen nicht neu gesetzt / überschrieben was in der Praxis durchaus zu Problemen führt
3. Müssen innerhalb der Abteilungsordner weitere Zugriffseinschränkungen vorgenommen werden? --> Je tiefer die Ordnerstruktur desto schwieriger wirds mit der Vererbung bzw. der Unterbrechung der Vererbung der Berechtigungen
4. Soll jeder Mitarbeiter außerdem evtl. ein eigens Laufwerk (Homelaufwerk) haben auf welches nur er selbst Zugriff hat (Quota ist hier natürlich absolut sinnvoll)
Wenn Du einen 2012R2 einsetzt, ist, sofern Du die Rolle "Datei und Speicherdienste" installiert und konfiguriert hast, Access-Based Enumeration von Haus aus aktiv.
Du kannst dir im AD eine OU "Permission_Groups" anlegen. Innerhalb dieser kannst Du weitere OUs anlegen und so Deine Ordnerstruktur im AD abbilden (rein organisatorische Maßnahme um dem Überblick zu behalten). Innerhalb der einzelnen OUs kannst Du Dir dann die Gruppen im AD anlegen. Nehmen wir mal an du hast eine Share "Produktion" auf dem Fileserver. Darin sind zwei Ordner, nämlich "Produktionsleiter" und "Produktionsteam". Nur der Leiter soll Vollzugriff auf "Produktionsleiter" erhalten. Alle anderen und der Produktionsleiter sollen Lese- und Schreibrechte auf "Produktionsteam" haben.
Beispielhafter OU-Baum im AD:
Permission_Groups
|------Produktion
|----------------Produktionsleiter
|----------------Produktionsteam
Folgende Gruppen könntest Du dann innerhalb der jeweiligen OUs anlegen:
G_Produktion_r --> User des Teams und Produktionsleiter hinzufügen und Gruppe selbst als Mitglied in zugehöriger domain local Gruppe hinzufügen
DL_Produktion_r --> Auf Ordner mit NTFS berechtigen
G_Produktion_Produktionsleiter_rwx --> Produktionsleiter aufnehmen und die Gruppe selbst als Mitglied in zugehöriger domain local Gruppe hinzufügen
DL_Produktion_Produktionsleiter_rwx --> auf Ordner mit NTFS berechtigen (Vererbung aufbrechen)
G_Produktion_Produktionsteam_rw --> User des Teams und Produktionsleiter aufnehmen und die Gruppe selbst als Mitglied in zugehöriger domain local Gruppe hinzufügen
DL_Produktion_Produktionsteam_rw --> auf Ordner mit NTFS berechtigen (Vererbung aufbrechen)
G steht für globale Gruppe
DL steht für Domain Lokale Gruppe
rwx steht für Vollzugriff (read write execute)
rw steht für Lese- und Schreibzugriff (read write)
r steht für Nur lesen (read)
Das verbinden der Netzlaufwerke / des Netzlaufwerks machst Du dann mit einer Gruppenrichtlinie, welche Du auf eine OU anwendest in der sich entsprechende User befinden.
https://www.youtube.com/watch?v=E7hDAapUXoM
So könntest Du es angehen. Natürlich führen viele Wege nach Rom ...
Hallo,
Gruß,
Peter
Zitat von @DrCox:
Darin befinden sich jetzt viele Ordner mit unterschiedlichen Berechtigungen. Wenn ich jetzt zum Beispiel den Ordner Buchhaltung in 02_Buchhaltung ändere, bleiben dann die Richtlinien für den Dateizugriff aufrecht oder werden diese dadurch gelöscht?
Probier es einfach an ein Testordner aus. Auf den Server ein Testordner angelegt, Freigabe erstellt, NTFS Ordner Verschieben, umbennennen, kopieren, löschen. Du wirst dann sehen was die Freigabe macht, die NTFS Rechte tun usw. Dann siehst du auch wie unterschiedlich etwas reagiert je nach ob du auf einer gleichen Partition etwas tust oder von einer Platte zu einer anderen usw. Deine Richtlinien für den dateizugriff...Darin befinden sich jetzt viele Ordner mit unterschiedlichen Berechtigungen. Wenn ich jetzt zum Beispiel den Ordner Buchhaltung in 02_Buchhaltung ändere, bleiben dann die Richtlinien für den Dateizugriff aufrecht oder werden diese dadurch gelöscht?
Nun kann ich für die Unterordner also auch die Vererbung ausschalten.
Ja, natürlich, wird aber nicht gerne empfohlen. Vielleicht auch icacls mal anschauen.Denen werde ich dann per Gruppenrichtlinie die richtigen Leute zuweisen und dann sollte es ja prinzipiell funktionieren.
Könntest dir aber auch alles abschießen. Sicher die NTFS rechte vorher - icacls hilft dir weiter. Die Freigaberechte findest du in der registrierung unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares" und des freigabenamens (Sichern).Gruß,
Peter