17
Windows Freigabe und Sicherheit?
Servus zusammen,
bin grad etwas verwirrt und frage lieber nochmal nach.
Also ich hab hier mehrere ordner auf einem Server die im netz freigegeben sind.
jetzt zu meiner frage : ist es ok wenn alle einzel und gruppenberechtigungen unter freigabe/Berechtigungen eingetragen sind und unter Sicherheit immer jeder (vollzugriff) drin steht? hebelt das nicht immer alles auf?
grüße
Geforce
bin grad etwas verwirrt und frage lieber nochmal nach.
Also ich hab hier mehrere ordner auf einem Server die im netz freigegeben sind.
jetzt zu meiner frage : ist es ok wenn alle einzel und gruppenberechtigungen unter freigabe/Berechtigungen eingetragen sind und unter Sicherheit immer jeder (vollzugriff) drin steht? hebelt das nicht immer alles auf?
grüße
Geforce
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 263209
Url: https://administrator.de/contentid/263209
Printed on: April 19, 2024 at 11:04 o'clock
17 Comments
Latest comment
Hallo.
Umgekehrt sollte es sein. Die Freigabe kannst du auf Jeder oder Authentifizierte Benutzer und Vollzugriff setzen. Die Berechtigungen slebst setzt du dann über die NTFS Rechte.
LG Günther
Umgekehrt sollte es sein. Die Freigabe kannst du auf Jeder oder Authentifizierte Benutzer und Vollzugriff setzen. Die Berechtigungen slebst setzt du dann über die NTFS Rechte.
LG Günther
Hallo,
nein, es hebelt es nicht aus. Es sei denn, es meldet sich jemand am Server an. Ich würde bei den Freigaben nur über Gruppen gehen, das erleichtert die Administration.
Freigabeberechtigungen -> gelten beim anmelden übers Netz
Sicherheit -> Berechtigung lokal (sollte hier ein Benutzer nicht drinstehen, der aber in der Freigabe steht, wird der Zugriff trotzdem verweigert).
Gruß Sven
nein, es hebelt es nicht aus. Es sei denn, es meldet sich jemand am Server an. Ich würde bei den Freigaben nur über Gruppen gehen, das erleichtert die Administration.
Freigabeberechtigungen -> gelten beim anmelden übers Netz
Sicherheit -> Berechtigung lokal (sollte hier ein Benutzer nicht drinstehen, der aber in der Freigabe steht, wird der Zugriff trotzdem verweigert).
Gruß Sven
ok danke...dann is hier alles falsch eingerichtet....wird wohl länger gehen 
noch was merkwürdiges
hab paar ordner wo ich nicht drauf komm...
der hauptordner ist für jeden freigegeben...Laufwerk usw sowieso für den admin...aber ich komm in 10 von 20 unterordner nicht rein oder kann den zugriff unter Sicherheit einstellen...alles ausgegraut
ne Idee dazu?
noch was merkwürdiges
hab paar ordner wo ich nicht drauf komm...
der hauptordner ist für jeden freigegeben...Laufwerk usw sowieso für den admin...aber ich komm in 10 von 20 unterordner nicht rein oder kann den zugriff unter Sicherheit einstellen...alles ausgegraut
ne Idee dazu?
der hauptordner ist für jeden freigegeben...Laufwerk usw sowieso für den admin...aber ich komm in 10 von 20 unterordner
nicht rein oder kann den zugriff unter Sicherheit einstellen...alles ausgegraut
ne Idee dazu?
nicht rein oder kann den zugriff unter Sicherheit einstellen...alles ausgegraut
ne Idee dazu?
Übernimm den Besitz unter "Sicherheit" -> "Erweitert"
VG
Übernimm mal in den Sicherheitseinstellungen den "Besitz" der Ordner und Unterordner mit einem admin Konto.
Well alles falsch eingerichtet ist, würde ich, bevor ich anfange, einen Plan machen, wer was wo darf und dann die Berechtigungen entsprechend sauber einrichten.
Wie gesagt, ich würde Gruppen definieren, damit du nicht bei jedem neuen Mitarbeiter die ganzen Berdchtigungen setzten mußt. Du packst ihn in die entsprechende Gruppe und gut. Bei der Ersteinrichtung ist es erst etwas aufwendiger, nachher dafür einfacher und es passieren weniger Fehler.
Gruß Sven
Well alles falsch eingerichtet ist, würde ich, bevor ich anfange, einen Plan machen, wer was wo darf und dann die Berechtigungen entsprechend sauber einrichten.
Wie gesagt, ich würde Gruppen definieren, damit du nicht bei jedem neuen Mitarbeiter die ganzen Berdchtigungen setzten mußt. Du packst ihn in die entsprechende Gruppe und gut. Bei der Ersteinrichtung ist es erst etwas aufwendiger, nachher dafür einfacher und es passieren weniger Fehler.
Gruß Sven
ok das hat schon mal geklappt..teste mal weiter...
also nochmal grundlegend....ich hab nen ordner der auf nem fileserver liegt freigegeben werden....lokal sollte hier nur die domänenadmins drauf kommen (gruppe vorhanden)...alle anderen user (zu 99% in gruppen geordnet) greifen nur übers netz zu
wo muss die domänenadmin gruppe drin stehn und wo die "normalen" user? bei freigabe oder Sicherheit?
wo muss die domänenadmin gruppe drin stehn und wo die "normalen" user? bei freigabe oder Sicherheit?
so nach meiner durchsicht schaut es folgender maßen aus:
Laufwerk wurde freigegeben und unter Sicherheit hat jeder vollzugriff
in den darin enthaltenen Ordnern stehen die meisten user/grußen unter freigabe drin unter Sicherheit fast immer JEDER mit vollzugriff
was nun?
Laufwerk wurde freigegeben und unter Sicherheit hat jeder vollzugriff
in den darin enthaltenen Ordnern stehen die meisten user/grußen unter freigabe drin unter Sicherheit fast immer JEDER mit vollzugriff
was nun?
Hi
Ab Server 2008 gibt es die Rolle "Dateidienste" mit der "Freigabe- und Speicherverwaltung". Darüber lassen sich alle Freigaben sehr schön verwalten.
Dann gehe bitte so vor, wie GüntherH es dir im ersten Post geschrieben hatte:
Das macht man u.a. darum, weil die NTFS-Rechte viel feiner strukturiert werden können, als die Freigabeberechtigungen.
Zitat von @Geforce:
Laufwerk wurde freigegeben und unter Sicherheit hat jeder vollzugriff
in den darin enthaltenen Ordnern stehen die meisten user/grußen unter freigabe drin unter Sicherheit fast immer JEDER mit
vollzugriff
was nun?
Was ist das für ein Server (2003/2008R2/2012)?Laufwerk wurde freigegeben und unter Sicherheit hat jeder vollzugriff
in den darin enthaltenen Ordnern stehen die meisten user/grußen unter freigabe drin unter Sicherheit fast immer JEDER mit
vollzugriff
was nun?
Ab Server 2008 gibt es die Rolle "Dateidienste" mit der "Freigabe- und Speicherverwaltung". Darüber lassen sich alle Freigaben sehr schön verwalten.
Dann gehe bitte so vor, wie GüntherH es dir im ersten Post geschrieben hatte:
Umgekehrt sollte es sein. Die Freigabe kannst du auf Jeder oder Authentifizierte Benutzer und Vollzugriff setzen. Die Berechtigungen slebst setzt du dann über die NTFS Rechte.
Das macht man u.a. darum, weil die NTFS-Rechte viel feiner strukturiert werden können, als die Freigabeberechtigungen.
Hi,
rein technisch kannst Du das machen, wie Du willst. Wenn das Ergebnis stimmt ...
Der "offizielle" Weg, also der von Mutti empfohlene, sieht vor, die Freigabeberechtigungen auf das maximal erforderliche Recht einzustellen und in den NTFS- Berechtigungen fenigranular einzuschränken.
Unter den Aspekten "Verwaltungsaufwand" und "potentiellen Fehlerquellen" ist dann weiterhin empfohlen, in den Freigabeberechtigungen möglichst wenige Einträge zu haben.
In 99% aller Fälle handhaben wir das bei uns so, dass in der Freigabe "Jeder - Vollzugriff" bekommt und in den NTFS-Berechtigungen über Gruppen berechtigt wird.
Wir haben aber auch Szenarien, wo wir Millionen von Dateien unterhalb von Freigaben haben, für welche alle identische Berechtigungen gelten. Um hier für den (zwar nur selten auftrendenden) Fall, dass diese Berechtigungen angepasst werden müssen, zu vermeiden, dass bei Anpassung über dei NTFS-Berechtigungen die Übernahme derer dann stundenlang dauert, gehen wir dort den Weg, im NTFS "Jeder - Vollzugriff" und in Freigabe die betreffenden Gruppen einzutragen.
Wenn man den Weg über NTFS "Jeder - Vollzugriff" geht, dann muss man unbedingt verhindern, dass sich ein Nicht-Administrator lokal an diesem Server anmelden kann. Bei "echten" Windows Servern ist dies standardmäßig möglich! (Ausnahme Domain Controller) Wenn nicht, dann besteht die potentielle Gefahr, dass sich jemand unberechtigter Weise Zugriff zum Server verschafft, sich dort lokal anmeldet und dann mit vollen Rechten auf alle Daten zugreifen kann.
E.
rein technisch kannst Du das machen, wie Du willst. Wenn das Ergebnis stimmt ...
Der "offizielle" Weg, also der von Mutti empfohlene, sieht vor, die Freigabeberechtigungen auf das maximal erforderliche Recht einzustellen und in den NTFS- Berechtigungen fenigranular einzuschränken.
Unter den Aspekten "Verwaltungsaufwand" und "potentiellen Fehlerquellen" ist dann weiterhin empfohlen, in den Freigabeberechtigungen möglichst wenige Einträge zu haben.
In 99% aller Fälle handhaben wir das bei uns so, dass in der Freigabe "Jeder - Vollzugriff" bekommt und in den NTFS-Berechtigungen über Gruppen berechtigt wird.
Wir haben aber auch Szenarien, wo wir Millionen von Dateien unterhalb von Freigaben haben, für welche alle identische Berechtigungen gelten. Um hier für den (zwar nur selten auftrendenden) Fall, dass diese Berechtigungen angepasst werden müssen, zu vermeiden, dass bei Anpassung über dei NTFS-Berechtigungen die Übernahme derer dann stundenlang dauert, gehen wir dort den Weg, im NTFS "Jeder - Vollzugriff" und in Freigabe die betreffenden Gruppen einzutragen.
Wenn man den Weg über NTFS "Jeder - Vollzugriff" geht, dann muss man unbedingt verhindern, dass sich ein Nicht-Administrator lokal an diesem Server anmelden kann. Bei "echten" Windows Servern ist dies standardmäßig möglich! (Ausnahme Domain Controller) Wenn nicht, dann besteht die potentielle Gefahr, dass sich jemand unberechtigter Weise Zugriff zum Server verschafft, sich dort lokal anmeldet und dann mit vollen Rechten auf alle Daten zugreifen kann.
E.
Wie fast immer bei dieser Frage wird leider ein Aspekt übersehen:
Gibt man der Gruppe jeder bei den Freigaberechten Vollzugriff, dann kann der Administrator über die NTFS-Rechte nicht mehr verhindern, dass ein Nutzer auf einen von ihm selbst erstellten Ordner andere Rechte setzt, als wir es gern hätten. Es ist wirklich so, probiert es aus, wenn Ihr es nicht glaubt, selbst mit Verweigerungen kann man es nicht verhindern. Das liegt daran, dass der Grundsatz: "das restriktiver Gesetzte entscheidet" eben diese Ausnahme für den Creator/Owner hat.
Deswegen: auf gar keinen Fall nimmt man bei den Freigaberechten "jeder: Vollzugriff". Man nimmt "jeder:ändern" und dann benutzt man die NTFS Rechte.
Ich schreib das hier seit Jahr und Tag, aber Gehör findet es bislang wenig.
Gibt man der Gruppe jeder bei den Freigaberechten Vollzugriff, dann kann der Administrator über die NTFS-Rechte nicht mehr verhindern, dass ein Nutzer auf einen von ihm selbst erstellten Ordner andere Rechte setzt, als wir es gern hätten. Es ist wirklich so, probiert es aus, wenn Ihr es nicht glaubt, selbst mit Verweigerungen kann man es nicht verhindern. Das liegt daran, dass der Grundsatz: "das restriktiver Gesetzte entscheidet" eben diese Ausnahme für den Creator/Owner hat.
Deswegen: auf gar keinen Fall nimmt man bei den Freigaberechten "jeder: Vollzugriff". Man nimmt "jeder:ändern" und dann benutzt man die NTFS Rechte.
Ich schreib das hier seit Jahr und Tag, aber Gehör findet es bislang wenig.
1
Zitat von @DerWoWusste:
Wie fast immer bei dieser Frage wird leider ein Aspekt übersehen:
Gibt man der Gruppe jeder bei den Freigaberechten Vollzugriff, dann kann der Administrator über die NTFS-Rechte nicht mehr
verhindern, dass ein Nutzer auf einen von ihm selbst erstellten Ordner andere Rechte setzt, als wir es gern hätten. Es ist
wirklich so, probiert es aus, wenn Ihr es nicht glaubt, selbst mit Verweigerungen kann man es nicht verhindern. Das liegt daran,
dass der Grundsatz: "das restriktiver Gesetzte entscheidet" eben diese Ausnahme für den Creator/Owner hat.
Deswegen: auf gar keinen Fall nimmt man bei den Freigaberechten "jeder: Vollzugriff". Man nimmt
"jeder:ändern" und dann benutzt man die NTFS Rechte.
Ich schreib das hier seit Jahr und Tag, aber Gehör findet es bislang wenig.
Wie fast immer bei dieser Frage wird leider ein Aspekt übersehen:
Gibt man der Gruppe jeder bei den Freigaberechten Vollzugriff, dann kann der Administrator über die NTFS-Rechte nicht mehr
verhindern, dass ein Nutzer auf einen von ihm selbst erstellten Ordner andere Rechte setzt, als wir es gern hätten. Es ist
wirklich so, probiert es aus, wenn Ihr es nicht glaubt, selbst mit Verweigerungen kann man es nicht verhindern. Das liegt daran,
dass der Grundsatz: "das restriktiver Gesetzte entscheidet" eben diese Ausnahme für den Creator/Owner hat.
Deswegen: auf gar keinen Fall nimmt man bei den Freigaberechten "jeder: Vollzugriff". Man nimmt
"jeder:ändern" und dann benutzt man die NTFS Rechte.
Ich schreib das hier seit Jahr und Tag, aber Gehör findet es bislang wenig.
Guten Morgen DWW,
Du sprichst mir aus der Seele. Ich spendiere Dir einen (virtuellen) Kaffee. Ich spreche dies auch immer bei den Projekten an. Geändert wird nix. Zitat: Haben wir immer schon so gemacht. Das funktioniert, usw.
Ich kann mich noch dran erinnern, daß damals bei uns im Rechenzentrum die Assistentin der Geschäftsführung an den Berechtigungen rumgespielt hatte und dann nichts mehr funktionierte.
Schönen Gruss Penny.
danke zusammen...werde nen neuen 2008 fileserver jetzt so aufsetzen....
virtueller Kaffee für alle
virtueller Kaffee für alle
Servus,
mal sehen, was unser Systemhaus hier als Vorschlag für die demnächst geplante Servermigration vorsieht
Auf meiner To-Do-Liste stand es jedenfalls so, wie oben vorgeschlagen.
Gruß,
VGem-e
mal sehen, was unser Systemhaus hier als Vorschlag für die demnächst geplante Servermigration vorsieht
Auf meiner To-Do-Liste stand es jedenfalls so, wie oben vorgeschlagen.
Gruß,
VGem-e
moinmoin,
so ich bin dabei nen komplett neuen fileserver einzurichten. Windows 2008 r2
ich werde nun nach euerm vorschlag jeden ordner so freigeben unter freigabe jeder:ändern und Domänen-admins vollzugriff...alles weitere dann über ntfs und gruppen
ich will nun eine freigabe für alle Mitarbeiter zum ablegen von Dateien
freigabe is wieder jeder :ändern und domänen-admins voll
unter Sicherheit/ntfs ist aber schon standardmässig 4 user drin, können die da bleiben oder soll ich sie entfernen und wenn ja wie?
danke im vorraus
Geforce
http://www.directupload.net/file/d/3942/kyjcs59z_jpg.htm
so ich bin dabei nen komplett neuen fileserver einzurichten. Windows 2008 r2
ich werde nun nach euerm vorschlag jeden ordner so freigeben unter freigabe jeder:ändern und Domänen-admins vollzugriff...alles weitere dann über ntfs und gruppen
ich will nun eine freigabe für alle Mitarbeiter zum ablegen von Dateien
freigabe is wieder jeder :ändern und domänen-admins voll
unter Sicherheit/ntfs ist aber schon standardmässig 4 user drin, können die da bleiben oder soll ich sie entfernen und wenn ja wie?
danke im vorraus
Geforce
http://www.directupload.net/file/d/3942/kyjcs59z_jpg.htm
Hi geforce,
lade die Bilder bitte in deinen Beitrag und schick uns nicht auf irgend welche Seiten.
lade die Bilder bitte in deinen Beitrag und schick uns nicht auf irgend welche Seiten.
Hi.
unter freigabe jeder:ändern und Domänen-admins vollzugriff
jeder:ändern reicht. Admins braucht man nicht explizit zu berechtigen.unter Sicherheit/ntfs ist aber schon standardmässig 4 user drin, können die da bleiben oder soll ich sie entfernen und wenn ja wie?
Da kommt meine Gegenfrage: willst Du, dass diese 4 User/Gruppen das können, was ihnen durch Vererbung zugeteilt wurde? Nein? Dann nimm sie raus. Dazu musst Du die Vererbung unter "erweitert" auflösen.
