Hallo !

Ich plag mich eigentlich seit NTFS mit der Frage rum, was diese zwei Tabs miteinander zu tun haben.

Konkrekt:

Ich habe per VMware mehrere Testumgebungen. Eine Davon Fileserver/ADS, der entsprechende Shares anbietet. Zugreifent tut ein User abc ( Sicherheits-Gruppename "Freigabenbenutzer") per ADS auf nem XP Client.

Ich installiere jetzt eine neue freigabe. sagen wir C:\Freigabe auf dem ADS-Server.

Unter dem Menü Freigabe gibt es den Bereich "Berechtigungen".

Ich frage mich, was da eingetragen soll,

DA

es für diesen ordner c:\Freigabe auch die Registerkarte "Sicherheit" gibt, wo ich auch wieder User und Gruppen eintragen kann.

Die Frage, die mir seit ewigkeiten auf der Zunge brennt ist, wie die zwei zusammenhängen.

Wie setze ich am effektivsten die Berechtigung, damit nur die Gruppe Freigabenbenutzer zugriff auf diesen Ordner hat?

Die Frage an sich ist recht einfach, doch selbst nach zig Seiten ADS Informationen, Policies und so weiter komm ich der S ache nicht auf die SPrünge.

klingt doch eigentlich recht einfach

freigabe -> domaene\freigabegruppe - vollzugriff ändern lesen, was du halt haben willst, bei sicherheit müssen diese rechte jedoch gegeben sein sonst hats keinen sinn..

sicherheit -> ... + domaene\freigabegruppe (aufpassen dass nicht verweigert ist)

=> wenn du eine freigabe machst, muss der user auch die berechtigungen haben (sicherheit), damit er überhaupt darauf zugreifen kann.

Ist doch eigentlich selbsterklärend...
Freigabeberechtigungen beziehen sich auf die Freigabe und deren Zugriff aus dem Netz.
Dateisystemsberechtigungen beziehen sich auf Ordner und die Dateien.

[Achtung! Meine Meinug]
Bei den Freigabeberechtigungen immer Full Control für Everyone.
Bei den Dateisystemsberechtigungen (aka "Sicherheits-Tab") dann die eigentlichen Rechte vergeben.
[/Meine Meinung]

Der Grund dafür ist einfach:
bessere Übersicht und Wartbarkeit.
So kann es z.B. nicht passieren, dass lokal angemeldete Nutzer andere Berechtigungen haben als jene, die übers Netzwerk zugreifen.

Außerdem kann man die Datei-ACLs kopieren/sichern, das geht zwar prinzipiell auch mit den Freigabe-ACLs ist aber schwieriger und ums kopieren der Datei-ACLs kommt man eh nicht drumrum.

Gruß

"Sicherheit" ist für das Dateisystems und "Freigabe" ist nur für die Freigabe. Bei Freigabe müssen aber auch die Einstellungen unter Sicherheit stimmen, sonst gibt es keinen Zugriff

[Achtung! Meine Meinug]
Bei den Freigabeberechtigungen immer Full Control für Everyone.
Bei den Dateisystemsberechtigungen (aka "Sicherheits-Tab") dann die eigentlichen Rechte vergeben.
[/Meine Meinung]*hüstel* das ist aber nicht gut :) sonst sehen ja alle benutzer in einer domäne welche freigaben es gibt. es sollten nur die angezeigt werden, auf die er auch zugriff hat. den standard user verwirrt das doch blos. oder irre ich mich hier?

wenn ich schnell was freigebe dann mach ich auch für jeden, damits dann auch funzt lol ;)

*hüstel* das ist aber nicht gut :) sonst sehen ja alle benutzer in einer domäne welche freigaben es gibt. es sollten nur die angezeigt werden, auf die er auch zugriff hat. den standard user verwirrt das doch blos. oder irre ich mich hier?
nein du irrst nicht...wobei diese von dir angesprochene funktion glaub erst mit 2003 gekommen ist

*hüstel* das ist aber nicht gut :) sonst sehen ja alle benutzer in einer domäne welche freigaben es gibt. es sollten nur die angezeigt werden, auf die er auch zugriff hat. den standard user verwirrt das doch blos. oder irre ich mich hier?

Hast du Husten? :wink:

Ja, du irrst dich...
1. Sehen auch "Unberechtigte" die Freigaben, können sie dann aber nicht aufrufen.
2. Ist das mit dem Verstecken aus Sicherheitsgründen "security by obscurity" und ganz und gar nicht sicher.
3. Versteckte Freigaben kann man machen, indem man ein $ ans Ende des Freigabenamens macht. Das bietet sich z.B. für Homelaufwerke oder Profile an und erhöht wie du schon sagtest die Übersichtlichkeit.

Und auch bei Win2k3 sieht man alle nicht-versteckten Freigaben.
Verstecken tuts auch nur Windows, mit Linux kann man sich auch die versteckten Freigaben angucken.


wenn ich schnell was freigebe dann mach ich auch für jeden, damits dann auch funzt lol ;)
Das ist immer eine Frage der Umgebung.
Wenn man die Leute kennt, kann man das kurz mal machen aber ansonsten sollte man sich von vornherein eine spezielle (gast-) Freigabe für solche Sachen basteln und da dann die Daten reinschieben.

Gruß

doch ihr gäste irrt euch beide.:biggrin: die sichtbarkeit der freigaben im netzwerk haben nichts mit der berechtigung der freigabe zu tun. Die unsichtbarkeit beim browsen wird durch den Freigabenamen+$ erzeugt. Die sind dann selbst für Admins nicht zu sehen. ist der Name jedoch bekannt, können sie auch von benutzern verwenmdet werden, soweit sie die berechtigung haben. Es gibt natürlich tools womit man sich auch unsichtbare freigaben anzeigen lassen kann.

Der Hintergrund zu der von Littlejam erläuterten Praxis vollzugriff auf freigaben zu verwenden und die eigentlich Sicherheit über NTFS ACLs zu regeln liegt in drei punkten begründet.

1. freigabeberechtigungen lassen sich nicht (einfach) kopieren. Will man mit daten und deren freigabe auf einen anderen Rechner umziehen, muss man dort zunächst die freigabe erstellen und peinlichst genau die berechtigung einstellen. es gibt aber tools, die das können (Fileservermigration toll von MS oder Hyena usw.). NTFS lassen sich relativ leicht mit Robocopy aus dem Resource Kit kopieren, und das handling ist einfacher.

2. Da windows Xp/2003 bei einer Freigabe erstmal Jeder - Lesen einstellt, muss man eh den Administrator in die Berechtigung hinzufügen, ansonsten hat diese erstmal auch keine anderen rechte. Deshalb liegt es nahe auf den bestehenden JEDER einfach vollzugriff zu setzen. Die NTFS Berechtigung wird dadurch aber NICHT übergangen, sie hat letztendlich das sagen.

3. man hat zwei stellen, an denen man berechtungen einstellen muss und das ist in der Praxis lästig. Und da NTFS die letztendliche Berechtigung definiert, gibt man der Freigabe die größtmögliche Berechtigung.

Das Feature Dateien auszublenden, auf die der User eigentlich kein Lesen recht besitzt, ist erst mit Windows 2003 SP1 hinzugekommen. Dies nennt sich Access_Based_Enumeration und muss nachinstalliert werden. Dies wirkt sich aber über NTFS und nicht über die Freigabeberechtigung aus. Siehe meine erste Bemerkung zu Freigabenamen+$

@jorge
wieso irr ich?! wenn auf die freigabe jeder vollzugriff hat...wird aj erstmal alles aufgelistet, sofern kein abe und wenn man dann drauf geht...greifen die ntfs acl`s

gut dass "Access_Based_Enumeration" auf ntfs zurückgreift wusst ich nicht...



das little jams einwand durchaus seine berechtigung hat (für die verwaltbarkeit) steht ausser frage

Es wird nur der Freigabename aufgelistet sonst nichts.

omgomgomg...
ich irr doch...quatsch was ich schrieb...vor abe sieht man ja eh alle freigaben...egal ob berechtigung oder net...(auser natürlich $)

ich hab nichts gesagt

Ist doch eigentlich selbsterklärend...
Freigabeberechtigungen beziehen sich auf die Freigabe und deren Zugriff aus dem Netz.
Dateisystemsberechtigungen beziehen sich auf Ordner und die Dateien.


Gruß

Bedeutet doch, dass ic hfür eine Freigabe dann 2 Berechtigungen setzen muss? NTFS und Freigabeberechtigungen?

Nehmen wir an, ich mache die Freigabeberechtigung für die Gruppe Freigabenbenutzer, ohne NTFS Rechte . Was können die dann? Sehen doch nur den Ordner, oder?

Wenn die Zugreifen wollen, brauchen sie die NTFS Rechte? Am besten dann die Gruppe Freigabebenutzer?


Wie sieht es den anderen Weg aus: Ich geb Lesen auf jeder, und NTFS bekommt vollzugriff die Gruppe Freigabebenutzer. Kann die Gruppe dann alles? Oder verhindert das Freigaberecht, dass trotz NTFS Vollzugriff geschrieben werden kann?

Wie ich sagte. Ich steh da halt aufm Schlauch und frag mich das seit längerem.

Macht es auch nen Unterschied, ob die User oder Gruppen lokal oder in der Domäne sind? Sollte doch nicht, oder?

Bedeutet doch, dass ic hfür eine Freigabe dann 2 Berechtigungen setzen muss? NTFS und Freigabeberechtigungen?
ja, aber da man nicht dauernd auch die Freigabeberechtigung ändern will, lässt man diese IMMER auf vollzugriff für JEDER

Nehmen wir an, ich mache die Freigabeberechtigung für die Gruppe Freigabenbenutzer, ohne NTFS Rechte . Was können die dann? Sehen doch nur den Ordner, oder?

Wenn die Zugreifen wollen, brauchen sie die NTFS Rechte? Am besten dann die Gruppe Freigabebenutzer?
Keine bedeutet auch _kein_ Lesen recht! dann sehen sie zwar die Freigabe, klicken rein und bekommen eine fehlermeldung. Den Inhalt des Ordners sehen sie nicht. Den Freigabenamen schon.


Wie sieht es den anderen Weg aus: Ich geb Lesen auf jeder, und NTFS bekommt vollzugriff die Gruppe Freigabebenutzer. Kann die Gruppe dann alles? Oder verhindert das Freigaberecht, dass trotz NTFS Vollzugriff geschrieben werden kann?
ja, es gilt immer die niedrigste Berechtigungs-Kombination.
Lesen + Schreiben = Lesen
Schreiben + Lesen = Lesen
Schreiben + Schreibe = Schreiben

Die Freigabe berechtigung gilt aber nur für den Netzwerkzugriff, NICHT für den lokalen Zugriff.

Macht es auch nen Unterschied, ob die User oder Gruppen lokal oder in der Domäne sind? Sollte doch nicht, oder?
für das Rechtekonzept macht es keinen Unterschied ob lokal oder nicht, aber Siehe meinen vorigen Satz. Bei lokaler Anmeldung (also direkt am rechner) gilt NUR die NTFS berechtigung.

Was du auf der Freigabeebene verbietest kannst du nicht mehr auf der NTFS-Ebene erlauben. Wenn du z.B. einen Downloadordner erstellst, in den du schreiben willst, aber jeder andere soll nur lesen können, dann kannst du nicht per Freigabe nur Leserechte verteilen, und dann wieder per NTFS-Berechtigung dir selbst Schreibrechte einräumen. Deswegen, wie schon weiter oben steht, der Freigabe immer Vollzugriff erlauben, und diesen dann per NTFS-Berechtigungen wieder einschränken. Damit kann man auch für die Unterordner wieder andere Berechtigungen erstellen, wie z.B. den usern das lesen von Download\Filme verbieten.

Stell es dir einfach wie einen Trichter vor. Was oben (Freigaberechte) nicht reingeht, das kann auch weiter unten (NTFS) nicht durch.

Wenn die Zugreifen wollen, brauchen sie die NTFS Rechte?
Du brauchst immer ausreichende Berechtigungen auf Dateisystemebene.


Wie sieht es den anderen Weg aus: Ich geb Lesen auf jeder, und NTFS bekommt vollzugriff die Gruppe Freigabebenutzer. Kann die Gruppe dann alles? Oder verhindert das Freigaberecht, dass trotz NTFS Vollzugriff geschrieben werden kann?

Stell dir die Sache wie 2 Siebe vor.
Zuerst greifen die Freigabeberechtigungen, dann die NTFS-Berechtigungen.
Wenn du Schreibzugriff auf die Freigabe verbietest, kommen die Schreibanfragen garnicht erst auf die NTFS-Ebene.

Macht es auch nen Unterschied, ob die User oder Gruppen lokal oder in der Domäne sind? Sollte doch nicht, oder?
Natürlich ist das ein Unterschied.
Die lokale Gruppe A ist doch eine andere als Domaingruppe B :|

Die Frage versteh ich irgendwie nicht, du solltest dich eher fragen, ob der Nutzer X ein "Dürfer" ist oder nicht und zu diesem dann die Gruppenzugehörigkeiten und Zusammenhänge herleiten.

Ob du Berechtigungen nun für Domaingruppen oder lokale Gruppen verteilst ist eine Designfrage und nicht einfach zu beantworten.

*edit
Wow, Absorber hat 3,5 Jahre gebraucht um seinen ersten Post zu verfassen ;D

Gruß

Nein ich habe nicht 3,5 Jahre gebraucht. Nur: Wenn schon alles erklärt wurde, oder ich keine Ahnung habe, dann halte ich meine Klappe. Und ich hatte in der letzten Zeit nicht viel Freizeit.

Ok. Das bringt mich schonmal sehr viel weiter. Ich werd also in Zukunft nur noch NTFS Berechtigungen verteilen, das ist Problemloser.