Einrichten einer Ordnerfreigabe mit unterschiedlichen Benutzerberechtigungen auf einem Windows 2003 Server mit NTFS - Dateiberechtigungen
Immer wieder taucht hier im Forum die Frage auf, wie man Zugriffsberechtigungen auf eine Ordnerfreigabe am sinnvollsten einrichtet. Im Folgenden möchte ich zeigen, wie man für einen kleinen Betrieb die Berechtigungen für unterschiedliche Abteilungen und Gruppen einrichtet. Dazu gehe ich davon aus, dass auf einem Windows 2003 Server eine Domäne existiert und auf einem NTFS - formatierten Laufwerk ein Stamm - Verzeichnis als Freigabe existiert. Dies sind nicht notwendige Annahmen, das Verfahren kann in leicht abgewandelter Weise auch auf "gewöhnliche“ Freigaben unter Windows XP angewendet werden, Voraussetzung ist lediglich das NTFS-Dateiformat
Man unterscheidet unter Windows zwei verschiedene Userberechtigungen, die auf Freigabeebene und die auf Dateisystemebene. Beide sind "UND“-verknüpft, das heißt, wenn man die Grundeinstellung der Userberechtigungen der Freigabe "Lesen“ beibehält und dem Domänenadmin "Vollzugriff" über das Dateisystem gibt, hat er trotzdem nur Leseberechtigung auf die Freigabe. Ich gehe im Tutorial ausschließlich auf die Userberechtigungen aus Dateisystemebene ein, die auf Freigabeebene setze ich für "Jeder“ auf "Vollzugriff“, besser wäre aber "Domänenbenutzer" auf Vollzugriff und "Jeder" löschen.
Ich verwende die Management-Konsole unter Windows XP zur Darstellung von SnapShots. Für dieses Beispiel wird eine Organisationseinheit "Testfirma“ verwendet, in der alle Benutzer und Gruppen angelegt werden. Ich gehe davon aus, dass folgende Benutzer existieren:
Bild 1
Folgende Bedingungen sollen erfüllt werden:
1. Jede Abteilung erhält ein eigenes Stammverzeichnis (Geschäftsführung, Buchhaltung, Entwicklung) und die Abteilung "Entwicklung“ erhält für die Gruppen "Anwendungen“ und "Spiele“ jeweils ein Unterverzeichnis.
2. Die Geschäftsführung soll auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und für alle anderen Verzeichnisse Leseberechtigung erhalten.
3. Die Buchhaltung erhält nur auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung.
4. Die Gruppen der Entwicklung erhalten auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und auf das der fremden Gruppe Leseberechtigungen.
5. Ein "Public“-Verzeichnis zum abteilungsweiten Datenaustausch soll angelegt werden, auf das alle Mitglieder Lese- Schreibrechte haben.
6. Der Domänenadministrator bekommt Vollzugriff auf alle Verzeichnisse. Sollte dies aus Geheimhaltungsgründen nicht möglich sein, kann keine Gewähr für eine vollständige Reparatur im Schadenfall übernommen werden.
Es werden folgende Sicherheitsgruppen angelegt und mit den zugehörigen Mitarbeitern / Gruppen gefüllt:
1. globale Gruppe "Geschäftsleitung“ – Mitglieder "Gerda Sekretariat“, "Franz Geschäftsleiter1“, "Fritz Geschäftsleiter2“
2. globale Gruppe "Buchhaltung“ – Mitglieder "Helga Buchhalter1“ und "Hilde Buchhalter2“
3. globale Gruppe "Anwendungsentwickler“ – Mitglieder "Igor Anwendungsentwickler1“ und "Ingo Anwendungsentwickler2“
4. globale Gruppe "Spieleentwickler“ – Mitglieder "Jens Spieleentwickler1“ und "Jörg Spieleentwickler2“
5. globale Gruppe "Entwicklung“ – mit den Gruppen "Anwendungsentwickler“ und "Spieleentwicklung“
6. globale Gruppe "Personal“ - mit den Gruppen "Geschäftsleitung“, "Entwicklung“ und "Buchhaltung“
Diese werden angelegt über einen Rechtsklick auf "Testfirma“ und
Bild 2
Bild 3
Bild 3a
Bild 3b
Die anderen Gruppen werden analog angelegt und entsprechend obiger Aufstellung mit Benutzern oder Gruppen gefüllt.
Als nächstes wird die Freigabe (im Beispiel "Testfirma“) erstellt
Bild 4
und bei "Berechtigungen“ ist "Jeder“ auf Vollzugriff zu setzen (besser wäre es, "Jeder" zu löschen und der Gruppe "Domänen-Benutzer" Vollzugriff zu geben!), der Rest wird dann über's Dateisystem geregelt:
Bild 5
Nun wird es spannend, auf der Lasche "Sicherheit“ wird der Freigabe die Gruppe "Personal“ zugeordnet. Die Gruppe "Jeder“ wird entfernt indem man auf den Button "Erweitert“ klickt
Bild 6
den Haken bei „Berechtigungen übergeordneter Objekte …“ entfernen und durch "Kopieren“
Bild 7
und anschließendes "Entfernen“ löschen:
Bild 8
und die Berechtigungen auf
Bild 9
setzen. Nun wird noch der Domänenadmin mit Vollzugriff
Bild 10
Und die Geschäftsleitung mit:
Bild 11
Leseberechtigung hinzugefügt.
Nun wird es Zeit, sich um die untergeordneten Ordner zu kümmern, diese werden einfach in der Freigabe angelegt
Bild 12
Diesen Ordnern werden nun die Gruppen nach folgendem Schema zugeordnet und die durch Vererbung erhaltene Gruppe "Personal" wird gelöscht (analog Bild 6, 7und 8):
Bild 13
Dabei bedeuten:
LA – Lesen, Ausführen
OA – Ordnerinhalt auflisten
L – Lesen
Ä – Ändern
V – Vollzugriff
Damit sind alle Vorgaben erfüllt und man hat ein korrekt funktionierendes freigegebenes Verzeichnis.
Atti
[edit] am 20.07.2008 nach Hinweisen von QuentinT und geTuemII überarbeitet,
vielen Dank,
Atti
Man unterscheidet unter Windows zwei verschiedene Userberechtigungen, die auf Freigabeebene und die auf Dateisystemebene. Beide sind "UND“-verknüpft, das heißt, wenn man die Grundeinstellung der Userberechtigungen der Freigabe "Lesen“ beibehält und dem Domänenadmin "Vollzugriff" über das Dateisystem gibt, hat er trotzdem nur Leseberechtigung auf die Freigabe. Ich gehe im Tutorial ausschließlich auf die Userberechtigungen aus Dateisystemebene ein, die auf Freigabeebene setze ich für "Jeder“ auf "Vollzugriff“, besser wäre aber "Domänenbenutzer" auf Vollzugriff und "Jeder" löschen.
Ich verwende die Management-Konsole unter Windows XP zur Darstellung von SnapShots. Für dieses Beispiel wird eine Organisationseinheit "Testfirma“ verwendet, in der alle Benutzer und Gruppen angelegt werden. Ich gehe davon aus, dass folgende Benutzer existieren:
Bild 1
Folgende Bedingungen sollen erfüllt werden:
1. Jede Abteilung erhält ein eigenes Stammverzeichnis (Geschäftsführung, Buchhaltung, Entwicklung) und die Abteilung "Entwicklung“ erhält für die Gruppen "Anwendungen“ und "Spiele“ jeweils ein Unterverzeichnis.
2. Die Geschäftsführung soll auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und für alle anderen Verzeichnisse Leseberechtigung erhalten.
3. Die Buchhaltung erhält nur auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung.
4. Die Gruppen der Entwicklung erhalten auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und auf das der fremden Gruppe Leseberechtigungen.
5. Ein "Public“-Verzeichnis zum abteilungsweiten Datenaustausch soll angelegt werden, auf das alle Mitglieder Lese- Schreibrechte haben.
6. Der Domänenadministrator bekommt Vollzugriff auf alle Verzeichnisse. Sollte dies aus Geheimhaltungsgründen nicht möglich sein, kann keine Gewähr für eine vollständige Reparatur im Schadenfall übernommen werden.
Es werden folgende Sicherheitsgruppen angelegt und mit den zugehörigen Mitarbeitern / Gruppen gefüllt:
1. globale Gruppe "Geschäftsleitung“ – Mitglieder "Gerda Sekretariat“, "Franz Geschäftsleiter1“, "Fritz Geschäftsleiter2“
2. globale Gruppe "Buchhaltung“ – Mitglieder "Helga Buchhalter1“ und "Hilde Buchhalter2“
3. globale Gruppe "Anwendungsentwickler“ – Mitglieder "Igor Anwendungsentwickler1“ und "Ingo Anwendungsentwickler2“
4. globale Gruppe "Spieleentwickler“ – Mitglieder "Jens Spieleentwickler1“ und "Jörg Spieleentwickler2“
5. globale Gruppe "Entwicklung“ – mit den Gruppen "Anwendungsentwickler“ und "Spieleentwicklung“
6. globale Gruppe "Personal“ - mit den Gruppen "Geschäftsleitung“, "Entwicklung“ und "Buchhaltung“
Diese werden angelegt über einen Rechtsklick auf "Testfirma“ und
Bild 2
Bild 3
Bild 3a
Bild 3b
Die anderen Gruppen werden analog angelegt und entsprechend obiger Aufstellung mit Benutzern oder Gruppen gefüllt.
Als nächstes wird die Freigabe (im Beispiel "Testfirma“) erstellt
Bild 4
und bei "Berechtigungen“ ist "Jeder“ auf Vollzugriff zu setzen (besser wäre es, "Jeder" zu löschen und der Gruppe "Domänen-Benutzer" Vollzugriff zu geben!), der Rest wird dann über's Dateisystem geregelt:
Bild 5
Nun wird es spannend, auf der Lasche "Sicherheit“ wird der Freigabe die Gruppe "Personal“ zugeordnet. Die Gruppe "Jeder“ wird entfernt indem man auf den Button "Erweitert“ klickt
Bild 6
den Haken bei „Berechtigungen übergeordneter Objekte …“ entfernen und durch "Kopieren“
Bild 7
und anschließendes "Entfernen“ löschen:
Bild 8
und die Berechtigungen auf
Bild 9
setzen. Nun wird noch der Domänenadmin mit Vollzugriff
Bild 10
Und die Geschäftsleitung mit:
Bild 11
Leseberechtigung hinzugefügt.
Nun wird es Zeit, sich um die untergeordneten Ordner zu kümmern, diese werden einfach in der Freigabe angelegt
Bild 12
Diesen Ordnern werden nun die Gruppen nach folgendem Schema zugeordnet und die durch Vererbung erhaltene Gruppe "Personal" wird gelöscht (analog Bild 6, 7und 8):
Bild 13
Dabei bedeuten:
LA – Lesen, Ausführen
OA – Ordnerinhalt auflisten
L – Lesen
Ä – Ändern
V – Vollzugriff
Damit sind alle Vorgaben erfüllt und man hat ein korrekt funktionierendes freigegebenes Verzeichnis.
Atti
[edit] am 20.07.2008 nach Hinweisen von QuentinT und geTuemII überarbeitet,
vielen Dank,
Atti
Please also mark the comments that contributed to the solution of the article
Content-ID: 58586
Url: https://administrator.de/contentid/58586
Printed on: December 5, 2024 at 15:12 o'clock
8 Comments
Latest comment
Hi Atti58,
sehr schön gemacht. Gefällt mir recht gut...Ich hab noch ein kl. Nachtrag für größere Firmen: Wir haben die gleiche Variante wie Atti im Einsatz. Somit ist es per Script möglich Rechte zusetzen. Freigaben können so nur grundsätzlich mit "Vollzugriff" erstellt werden. Die NTFS-Rechte lassen sich mit dem Windows - Befehl "xcals" konfiguriert werden.
Gruß
Dani
sehr schön gemacht. Gefällt mir recht gut...Ich hab noch ein kl. Nachtrag für größere Firmen: Wir haben die gleiche Variante wie Atti im Einsatz. Somit ist es per Script möglich Rechte zusetzen. Freigaben können so nur grundsätzlich mit "Vollzugriff" erstellt werden. Die NTFS-Rechte lassen sich mit dem Windows - Befehl "xcals" konfiguriert werden.
Gruß
Dani
Hallo!!
was ich noch anmerken oder besser hervorheben möchte, ist, dass man wie Atti es (natürlich ) gemacht hat, bei der Verganbe von Bereichigungen niemals Benutzer verrechtet, sondern immer Gruppen. Das macht einem das administrative Leben danach erheblich leicht, da man den User nur noch die entsprechenden Gruppen zuweisen muß.
5* von mir
Ralf
was ich noch anmerken oder besser hervorheben möchte, ist, dass man wie Atti es (natürlich ) gemacht hat, bei der Verganbe von Bereichigungen niemals Benutzer verrechtet, sondern immer Gruppen. Das macht einem das administrative Leben danach erheblich leicht, da man den User nur noch die entsprechenden Gruppen zuweisen muß.
5* von mir
Ralf
Hallo,
dafür gibt es unter Windows 2003 Access Based Enumeration.
Muß allerdings als Kit heruntergeladen werden, weiss nicht genau ob es bei SP2 mit drin ist.
mehr dazu auch in diesem Thread
Access Based Enumeration und GUI
Gruß
Egbert
dafür gibt es unter Windows 2003 Access Based Enumeration.
Muß allerdings als Kit heruntergeladen werden, weiss nicht genau ob es bei SP2 mit drin ist.
mehr dazu auch in diesem Thread
Access Based Enumeration und GUI
Gruß
Egbert
Nicht schlecht. Für Umgebungen mit mehreren Domänen sollte man aber mit den Gruppen in 2 bzw. 3 Ebenen arbeiten.
wir machen das so:
Beispiel:
ein User aus DOM1 ist Member in GG-DOM1-Buchhalter
ein User aus DOM2 ist Member in GG-DOM2-Buchhalter
Die Gruppe GG-DOM1-Buchhalter ist Member in LG-DOM1-Buchhaltung
Die Gruppe GG-DOM1-Buchhalter ist Member in UG-Buchhalter
Die Gruppe GG-DOM2-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Die Gruppe GG-DOM2-Buchhaltung ist Member in UG-Buchhalter
Die Gruppe UG-Buchhaltung ist Member in LG-DOM1-Buchhaltung
Die Gruppe UG-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Auf jedem Server sind auf dem ordner Buchhaltung NTFS-Berechtigungen für die Gruppe LG-DOMÄNE-Buchhaltung gesetzt. Wenn man das genauer braucht, kann man 2 LG für 1 Share anlegen, und unterschiedliche Rechte zuweisen.
Das hat Vorteile, man sollte es aber auch nicht zu weit treiben was die Gruppen angeht. Für kleinere Installationen ist das unbrauchbar. Was man auch noch sagen sollte, die Gruppen-benennung/Verwendung sollte eindeutig Dokumentiert werden. Nicht nur die Shares selbst, sondern auch wie Gruppen nach welchem Schema anzulegen sind.
Für größere Umgebungen, mit mehreren Replikaten auf mehreren Servern in verschiedenen Domänen geht es nur so (sinnvoll).
Man sollte natürlich noch beachten das die Funktionsebene mindestens 2000Pur und das Caching für Universelle Gruppen aktiv ist.
Grüße.
wir machen das so:
- Ressourcengruppe erstellen (Domäne1) zb. LG-DOM1-Buchhaltung
- Ressourcengruppe erstellen (Domäne2) zb. LG-DOM2-Buchhaltung
- Benutzergruppen in Domäne1 erstellen zb. GG-DOM1-Buchhalter
- Benutzergruppe in Domäne2 erstellen zb. GG-DOM2-Buchhalter
- Sammelgruppe erstellen zb. UG-Buchhalter
Beispiel:
ein User aus DOM1 ist Member in GG-DOM1-Buchhalter
ein User aus DOM2 ist Member in GG-DOM2-Buchhalter
Die Gruppe GG-DOM1-Buchhalter ist Member in LG-DOM1-Buchhaltung
Die Gruppe GG-DOM1-Buchhalter ist Member in UG-Buchhalter
Die Gruppe GG-DOM2-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Die Gruppe GG-DOM2-Buchhaltung ist Member in UG-Buchhalter
Die Gruppe UG-Buchhaltung ist Member in LG-DOM1-Buchhaltung
Die Gruppe UG-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Auf jedem Server sind auf dem ordner Buchhaltung NTFS-Berechtigungen für die Gruppe LG-DOMÄNE-Buchhaltung gesetzt. Wenn man das genauer braucht, kann man 2 LG für 1 Share anlegen, und unterschiedliche Rechte zuweisen.
Das hat Vorteile, man sollte es aber auch nicht zu weit treiben was die Gruppen angeht. Für kleinere Installationen ist das unbrauchbar. Was man auch noch sagen sollte, die Gruppen-benennung/Verwendung sollte eindeutig Dokumentiert werden. Nicht nur die Shares selbst, sondern auch wie Gruppen nach welchem Schema anzulegen sind.
Für größere Umgebungen, mit mehreren Replikaten auf mehreren Servern in verschiedenen Domänen geht es nur so (sinnvoll).
Man sollte natürlich noch beachten das die Funktionsebene mindestens 2000Pur und das Caching für Universelle Gruppen aktiv ist.
Grüße.
Hallo zusammen,
mit viel Interesse habe ich diese Vorgehensweise von Atti gelesen. Ich bin ziemlicher Laie und habe den Ablauf mal Schritt für Schritt auf unserer Testumgebung durchgespielt.
Ich habe dem obersten Ordner die "Personal"-Berechtigung LA, OA und L gegeben.
Wenn ich nun einen Unterordner "Vertrieb" anlege und in diesem Ordner soll nur die Vertriebsgruppe LA, OA und ändern dürfen, wird bei mir durch die Vererbung der "Personal"-Berechtigung im Grunde allen Benutzern LA, OA und L gegeben.
So soll es nicht sein. Ein User, der nicht zur Vertriebsgruppe gehört, soll nicht das Verzeichnis Vertrieb öffnen können.
Vielleicht kann mit jemand die "Augen öffnen"?
Danke für Eure Hilfe im voraus
mit viel Interesse habe ich diese Vorgehensweise von Atti gelesen. Ich bin ziemlicher Laie und habe den Ablauf mal Schritt für Schritt auf unserer Testumgebung durchgespielt.
Ich habe dem obersten Ordner die "Personal"-Berechtigung LA, OA und L gegeben.
Wenn ich nun einen Unterordner "Vertrieb" anlege und in diesem Ordner soll nur die Vertriebsgruppe LA, OA und ändern dürfen, wird bei mir durch die Vererbung der "Personal"-Berechtigung im Grunde allen Benutzern LA, OA und L gegeben.
So soll es nicht sein. Ein User, der nicht zur Vertriebsgruppe gehört, soll nicht das Verzeichnis Vertrieb öffnen können.
Vielleicht kann mit jemand die "Augen öffnen"?
Danke für Eure Hilfe im voraus
Hallo an Alle,
sehr interessantes Beispiel, aber ich frag mich, wieso man eigentlich in die Organisationseinheiten sowohl Laufwerke wie auch Drucker ziehen kann, wenn man dann diese wiederum mit einem Batch oder VB-Skript nur mappen kann.
Gibt es keine Möglichkeit, im AD zu sagen: Wenn OU des Benutzer = OU des Druckers Dann Mappe diesen Drucker, bzw. = OU des Laufwerks dann Mappe das Laufwerk mit Buchstabe X für alle User der OU?
Oder hab ich da etwas überlesen?
Grüße
Forseti
sehr interessantes Beispiel, aber ich frag mich, wieso man eigentlich in die Organisationseinheiten sowohl Laufwerke wie auch Drucker ziehen kann, wenn man dann diese wiederum mit einem Batch oder VB-Skript nur mappen kann.
Gibt es keine Möglichkeit, im AD zu sagen: Wenn OU des Benutzer = OU des Druckers Dann Mappe diesen Drucker, bzw. = OU des Laufwerks dann Mappe das Laufwerk mit Buchstabe X für alle User der OU?
Oder hab ich da etwas überlesen?
Grüße
Forseti