atti58
Goto Top

Einrichten einer Ordnerfreigabe mit unterschiedlichen Benutzerberechtigungen auf einem Windows 2003 Server mit NTFS - Dateiberechtigungen

Immer wieder taucht hier im Forum die Frage auf, wie man Zugriffsberechtigungen auf eine Ordnerfreigabe am sinnvollsten einrichtet. Im Folgenden möchte ich zeigen, wie man für einen kleinen Betrieb die Berechtigungen für unterschiedliche Abteilungen und Gruppen einrichtet. Dazu gehe ich davon aus, dass auf einem Windows 2003 Server eine Domäne existiert und auf einem NTFS - formatierten Laufwerk ein Stamm - Verzeichnis als Freigabe existiert. Dies sind nicht notwendige Annahmen, das Verfahren kann in leicht abgewandelter Weise auch auf "gewöhnliche“ Freigaben unter Windows XP angewendet werden, Voraussetzung ist lediglich das NTFS-Dateiformat

Man unterscheidet unter Windows zwei verschiedene Userberechtigungen, die auf Freigabeebene und die auf Dateisystemebene. Beide sind "UND“-verknüpft, das heißt, wenn man die Grundeinstellung der Userberechtigungen der Freigabe "Lesen“ beibehält und dem Domänenadmin "Vollzugriff" über das Dateisystem gibt, hat er trotzdem nur Leseberechtigung auf die Freigabe. Ich gehe im Tutorial ausschließlich auf die Userberechtigungen aus Dateisystemebene ein, die auf Freigabeebene setze ich für "Jeder“ auf "Vollzugriff“, besser wäre aber "Domänenbenutzer" auf Vollzugriff und "Jeder" löschen.

Ich verwende die Management-Konsole unter Windows XP zur Darstellung von SnapShots. Für dieses Beispiel wird eine Organisationseinheit "Testfirma“ verwendet, in der alle Benutzer und Gruppen angelegt werden. Ich gehe davon aus, dass folgende Benutzer existieren:

3c559d05f57c95c18d543b39f0ebcc4e-bild1
Bild 1

Folgende Bedingungen sollen erfüllt werden:

1. Jede Abteilung erhält ein eigenes Stammverzeichnis (Geschäftsführung, Buchhaltung, Entwicklung) und die Abteilung "Entwicklung“ erhält für die Gruppen "Anwendungen“ und "Spiele“ jeweils ein Unterverzeichnis.
2. Die Geschäftsführung soll auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und für alle anderen Verzeichnisse Leseberechtigung erhalten.
3. Die Buchhaltung erhält nur auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung.
4. Die Gruppen der Entwicklung erhalten auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und auf das der fremden Gruppe Leseberechtigungen.
5. Ein "Public“-Verzeichnis zum abteilungsweiten Datenaustausch soll angelegt werden, auf das alle Mitglieder Lese- Schreibrechte haben.
6. Der Domänenadministrator bekommt Vollzugriff auf alle Verzeichnisse. Sollte dies aus Geheimhaltungsgründen nicht möglich sein, kann keine Gewähr für eine vollständige Reparatur im Schadenfall übernommen werden.

Es werden folgende Sicherheitsgruppen angelegt und mit den zugehörigen Mitarbeitern / Gruppen gefüllt:

1. globale Gruppe "Geschäftsleitung“ – Mitglieder "Gerda Sekretariat“, "Franz Geschäftsleiter1“, "Fritz Geschäftsleiter2“
2. globale Gruppe "Buchhaltung“ – Mitglieder "Helga Buchhalter1“ und "Hilde Buchhalter2“
3. globale Gruppe "Anwendungsentwickler“ – Mitglieder "Igor Anwendungsentwickler1“ und "Ingo Anwendungsentwickler2“
4. globale Gruppe "Spieleentwickler“ – Mitglieder "Jens Spieleentwickler1“ und "Jörg Spieleentwickler2“
5. globale Gruppe "Entwicklung“ – mit den Gruppen "Anwendungsentwickler“ und "Spieleentwicklung“
6. globale Gruppe "Personal“ - mit den Gruppen "Geschäftsleitung“, "Entwicklung“ und "Buchhaltung“

Diese werden angelegt über einen Rechtsklick auf "Testfirma“ und

24e04adcbe4f44da3e3e94e6ab54bea6-bild2
Bild 2

e442c6f0269ae2f67c74d00d874ba868-bild3
Bild 3

bf7d9b311ca3f9cf4424e6dcf3dd5e9b-bild3a
Bild 3a

7cab711628c6bf69745d479aefaf18fb-bild3b
Bild 3b

Die anderen Gruppen werden analog angelegt und entsprechend obiger Aufstellung mit Benutzern oder Gruppen gefüllt.

Als nächstes wird die Freigabe (im Beispiel "Testfirma“) erstellt

921939df74ead3ddf1fc0d1b44bb834b-bild4
Bild 4

und bei "Berechtigungen“ ist "Jeder“ auf Vollzugriff zu setzen (besser wäre es, "Jeder" zu löschen und der Gruppe "Domänen-Benutzer" Vollzugriff zu geben!), der Rest wird dann über's Dateisystem geregelt:

3a6b6f2d1c1ea0d1edc6af319b0d82a6-bild5
Bild 5

Nun wird es spannend, auf der Lasche "Sicherheit“ wird der Freigabe die Gruppe "Personal“ zugeordnet. Die Gruppe "Jeder“ wird entfernt indem man auf den Button "Erweitert“ klickt

e859363cc1bce91afdfb9fc25c41f83d-bild6
Bild 6

den Haken bei „Berechtigungen übergeordneter Objekte …“ entfernen und durch "Kopieren“

98c11afda809add97b7e0886ece95724-bild7
Bild 7

und anschließendes "Entfernen“ löschen:

9b995317cb62d1af07cae5ee862959c2-bild8
Bild 8

und die Berechtigungen auf

4a1e9a7b69eaea876474c2c90ef7e1a0-bild9
Bild 9

setzen. Nun wird noch der Domänenadmin mit Vollzugriff

2dea675058f0da564b76cbba7eaa14eb-bild10
Bild 10

Und die Geschäftsleitung mit:

8afb9c31d2f058410fd06c1e8ae75068-bild11
Bild 11

Leseberechtigung hinzugefügt.

Nun wird es Zeit, sich um die untergeordneten Ordner zu kümmern, diese werden einfach in der Freigabe angelegt

ae689e911cb629d81f5afbf338498113-bild12
Bild 12

Diesen Ordnern werden nun die Gruppen nach folgendem Schema zugeordnet und die durch Vererbung erhaltene Gruppe "Personal" wird gelöscht (analog Bild 6, 7und 8):

088b380d96f664f2f48b86773200ac86-bild13
Bild 13

Dabei bedeuten:

LA – Lesen, Ausführen
OA – Ordnerinhalt auflisten
L – Lesen
Ä – Ändern
V – Vollzugriff

Damit sind alle Vorgaben erfüllt und man hat ein korrekt funktionierendes freigegebenes Verzeichnis.

Atti

[edit] am 20.07.2008 nach Hinweisen von QuentinT und geTuemII überarbeitet,

vielen Dank,

Atti

Content-ID: 58586

Url: https://administrator.de/contentid/58586

Printed on: December 5, 2024 at 15:12 o'clock

Dani
Dani May 09, 2007 at 15:21:49 (UTC)
Goto Top
Hi Atti58,
sehr schön gemacht. Gefällt mir recht gut...Ich hab noch ein kl. Nachtrag für größere Firmen: Wir haben die gleiche Variante wie Atti im Einsatz. Somit ist es per Script möglich Rechte zusetzen. Freigaben können so nur grundsätzlich mit "Vollzugriff" erstellt werden. Die NTFS-Rechte lassen sich mit dem Windows - Befehl "xcals" konfiguriert werden.


Gruß
Dani
n.o.b.o.d.y
n.o.b.o.d.y May 11, 2007 at 19:23:12 (UTC)
Goto Top
Hallo!!

was ich noch anmerken oder besser hervorheben möchte, ist, dass man wie Atti es (natürlich face-smile) gemacht hat, bei der Verganbe von Bereichigungen niemals Benutzer verrechtet, sondern immer Gruppen. Das macht einem das administrative Leben danach erheblich leicht, da man den User nur noch die entsprechenden Gruppen zuweisen muß.

5* von mir

Ralf
Egbert
Egbert May 25, 2007, updated at Oct 18, 2012 at 16:31:59 (UTC)
Goto Top
Hallo,

dafür gibt es unter Windows 2003 Access Based Enumeration.
Muß allerdings als Kit heruntergeladen werden, weiss nicht genau ob es bei SP2 mit drin ist.

mehr dazu auch in diesem Thread
Access Based Enumeration und GUI

Gruß
Egbert
datasearch
datasearch Jun 23, 2007 at 21:39:09 (UTC)
Goto Top
Nicht schlecht. Für Umgebungen mit mehreren Domänen sollte man aber mit den Gruppen in 2 bzw. 3 Ebenen arbeiten.

wir machen das so:

  1. Ressourcengruppe erstellen (Domäne1) zb. LG-DOM1-Buchhaltung
  2. Ressourcengruppe erstellen (Domäne2) zb. LG-DOM2-Buchhaltung
  3. Benutzergruppen in Domäne1 erstellen zb. GG-DOM1-Buchhalter
  4. Benutzergruppe in Domäne2 erstellen zb. GG-DOM2-Buchhalter
  5. Sammelgruppe erstellen zb. UG-Buchhalter


Beispiel:

ein User aus DOM1 ist Member in GG-DOM1-Buchhalter
ein User aus DOM2 ist Member in GG-DOM2-Buchhalter

Die Gruppe GG-DOM1-Buchhalter ist Member in LG-DOM1-Buchhaltung
Die Gruppe GG-DOM1-Buchhalter ist Member in UG-Buchhalter

Die Gruppe GG-DOM2-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Die Gruppe GG-DOM2-Buchhaltung ist Member in UG-Buchhalter

Die Gruppe UG-Buchhaltung ist Member in LG-DOM1-Buchhaltung
Die Gruppe UG-Buchhaltung ist Member in LG-DOM2-Buchhaltung

Auf jedem Server sind auf dem ordner Buchhaltung NTFS-Berechtigungen für die Gruppe LG-DOMÄNE-Buchhaltung gesetzt. Wenn man das genauer braucht, kann man 2 LG für 1 Share anlegen, und unterschiedliche Rechte zuweisen.

Das hat Vorteile, man sollte es aber auch nicht zu weit treiben was die Gruppen angeht. Für kleinere Installationen ist das unbrauchbar. Was man auch noch sagen sollte, die Gruppen-benennung/Verwendung sollte eindeutig Dokumentiert werden. Nicht nur die Shares selbst, sondern auch wie Gruppen nach welchem Schema anzulegen sind.

Für größere Umgebungen, mit mehreren Replikaten auf mehreren Servern in verschiedenen Domänen geht es nur so (sinnvoll).

Man sollte natürlich noch beachten das die Funktionsebene mindestens 2000Pur und das Caching für Universelle Gruppen aktiv ist.

Grüße.
BPF
BPF Aug 27, 2008 at 14:10:34 (UTC)
Goto Top
Hallo zusammen,
mit viel Interesse habe ich diese Vorgehensweise von Atti gelesen. Ich bin ziemlicher Laie und habe den Ablauf mal Schritt für Schritt auf unserer Testumgebung durchgespielt.
Ich habe dem obersten Ordner die "Personal"-Berechtigung LA, OA und L gegeben.

Wenn ich nun einen Unterordner "Vertrieb" anlege und in diesem Ordner soll nur die Vertriebsgruppe LA, OA und ändern dürfen, wird bei mir durch die Vererbung der "Personal"-Berechtigung im Grunde allen Benutzern LA, OA und L gegeben.

So soll es nicht sein. Ein User, der nicht zur Vertriebsgruppe gehört, soll nicht das Verzeichnis Vertrieb öffnen können.

Vielleicht kann mit jemand die "Augen öffnen"?

Danke für Eure Hilfe im voraus
Forseti2003
Forseti2003 Sep 24, 2008 at 07:49:28 (UTC)
Goto Top
Hallo an Alle,

sehr interessantes Beispiel, aber ich frag mich, wieso man eigentlich in die Organisationseinheiten sowohl Laufwerke wie auch Drucker ziehen kann, wenn man dann diese wiederum mit einem Batch oder VB-Skript nur mappen kann.

Gibt es keine Möglichkeit, im AD zu sagen: Wenn OU des Benutzer = OU des Druckers Dann Mappe diesen Drucker, bzw. = OU des Laufwerks dann Mappe das Laufwerk mit Buchstabe X für alle User der OU?

Oder hab ich da etwas überlesen?

Grüße

Forseti
Atti58
Atti58 Sep 24, 2008 at 15:55:31 (UTC)
Goto Top
Hallo Burkhard,

zuerst - dies ist ein Tutorial und keine Diskussionsplattform. Du solltest Deine Frage im Forum stellen und Dich auf dieses Tutorial beziehen.

Um aber trotzdem Deine Frage zu beantworten, Du musst natürlich in den Unterordnern die Gruppe "Personal" entfernen und durch die entsprechende Gruppe ersetzen und analog Bild 6, 7 und 8 mit den richtigen Berechtigungen versehen.

Gruß

Atti
Atti58
Atti58 Sep 24, 2008 at 15:56:29 (UTC)
Goto Top
Hallo Forseti,

dies ist ein Tutorial und keine Diskussionsplattform. Du solltest Deine Frage im Forum stellen und Dich auf dieses Tutorial beziehen.

Gruß

Atti