Also vorweg mal was grundsätzliches, Freigabeberechtigung setzt man normalerweise auf Vollzugriff für Jeder und regelt dann über die NTFS Rechte (oder umgekehrt)
Oder setzt auf verschachtelte Gruppen -> wo die Gruppen, die die NTFS Rechte regeln auch gleichzeitig die Freigaberechte steuern. Mit "JEDER" würde ich da ehrlich gesagt nicht arbeiten, da es potentiell zu ungewollten Zugriffen kommen kann. Denn "JEDER" meint auch wirklich Jeder. Bestenfalls Authenticated Users könnte man nutzen, das schließt die Tür schonmal für alle NICHT angemeldeten User am Server... Und das sind eigentlich ALLE, die keinen Account auf dem Server oder im lokalen AD, sofern vorhanden, haben...
@sasparillaX
- Weiterhin, man sollte bei derartigen Rechten zu erst einmal sinnvollerweise nicht diesen unsinnigen Freigabe Assistenten nutzen. Der macht viel, aber eben auch teils zu viel.
- Ebenso sollte man die Rechte sauber setzen. Gruppen selbst erstellen und die Accounts zuweisen (lokal oder AD, wurscht, macht keinen Unterschied)
- Eine saubere Gruppenstruktur gibt (je nach Anforderung) normal Rechte für Read, Modify und Admin vor. NUR! der Admin (also die Admin Gruppe) sollte Full Access auf die Folder bekommen -> sonst läufst du Gefahr, dass sich A) Nutzer selbst Rechte/Besitzerrechte geben und dich B) damit möglicherweise sogar aussperren. Read Gruppen bekommen logischerweise nur Read/Execute und Gruppen mit Schreibberechtigungen bekommen ausschließlich Modify -> was keine Rechteverwaltung beinhaltet.
Mach es einfach folgendermaßen:
-> erstelle folgende Gruppen: "ACC-DIR-xxx-RW", "ACC-DIR-xxx-RO", "ACC-DIR-xxx-Admin" und "ACC-SHR-xxx" (ACC steht für access, DIR für Ordner/Verzeichnis, xxx für den Namen des Ordners/der Freigabe und SHR für ein Share/eine Freigabe) Damit findest du auf einen Blick auch bei vielen Gruppen exakt die, um welche es dir gerade geht...
-> alle "DIR" Gruppen sind Mitglied der "SHR" Gruppe.
-> alle Accounts, die nur lesen/ausführen dürfen, sind Mitglied der "RO" Gruppe
-> alle Accounts, die lesen/schreiben/ausführen dürfen, sind Mitglied der "RW" Gruppe
-> alle Accounts, die lesen/schreiben/ausführen und Rechte setzen dürfen, sind Mitglied der "Admin" Gruppe
Dann gehst du auf deinen Folder und machst die erweiterte Freigabe auf. Unter Berechtigungen löscht du "Jeder" raus und trägst die "SHR" Gruppe mit Full Access ein.
Weiter im Fenster gehst du auf die Sicherheit Karteikarte und hebst unter erweitert die Vererbung auf! (bei der Frage auf Copy drücken, nicht mit löschen -> sonst sperrst du dich ggf. aus!)
-> dann bestätigst du mit OK
-> danach (wieder im Rechte Fenster) löschst du alle Einträge außer dem "SYSTEM"
-> und fügst danach ausschließlich die drei "DIR" Gruppen von eben ein -> Der "RO" gibst du ausschließlich das Read/Execute Recht, der "RW" Gruppe gibst du Modify und der "Admin" Gruppe eben Full Access.
-> bestätigen und los gehts.
Da Gruppenzugehörigkeiten bei Windows idR bei einer Anmeldung geprüft werden, solltest du nun dich Ab- und wieder Anmelden. (das gilt auch für die Clients, die auf die Freigabe zugreifen sollen!)
-> dann Freigabe testen und Zugriffe probieren. Ein Account in der "RO" Gruppe kann nix machen außer Lesen/Ausführen. Ein Account in der "RW" kann zusätzlich noch schreiben, aber keine Rechte setzen! -> das sollte ausgegraut sein. Ein Account in der Admin Gruppe kann noch dazu die Rechte setzen.
-> Fertig... Eigentlich easy.
geht es bei dir um mehrere verschiedene Freigaben, dann erstellst du für jede Freigabe die Gruppen neu -> die Syntax ist identisch. Willst du nicht für jede der Gruppen die Accounts immer händisch zuweisen -> bei vielen Accounts ist das nervig -> erstell zusätzlichen irgendwelche Sammelgruppen, welche die Nutzeraccounts nach Klassen oder whatever gruppieren und verschachtel die Gruppen...
Kommt ein AD ins Spiel und du willst dir dort Flexibilität wahren -> dann nutze local and global Groups. Scheint zwar Aufwand in der Erstellung, aber es macht hintenraus flexibler. -> lokale Gruppen liegen auf den Ressourcen (Shares, Folders usw.), in globalen Gruppen stecken die Useraccounts/Computeraccounts usw. -> globale Gruppen sind dann Mitglied lokaler Gruppen. Die Notwendigkeit kommt genau dann zum Tragen, wenn du über Vertrauensstellungen und mehrere Domains hinweg Rechte vergibst. Dann kannst du deinen lokalen Gruppen (die die Rechte auf den Ressourcen -> Folder/Freigaben usw. steuern) auch globale Gruppen anderer Domains zuweisen -> Flexibel ohne Aufwand
EDIT:
übrigens, es gibt auch die Möglichkeit, bei verschiedenen Ordnern mit verschiedenen Rechten die Ordner vor den Usern zu verstecken. Sprich hat der User gar keine Recht auf die Ordner, dann sieht er diese auch nicht. Ohne diese Option sieht er zwar die Ordner, bekommt mit nem Klick darauf aber die Meldung, dass er nicht darf... Keine Ahnung ob du das brauchst...
Wenn du ein physisches Volume im Server hast, dort mehrere verschiedene Ordner freigeben würdest, könntest du stattdessen auch einfach nur einen Oberordner erstellen und diesen zentral freigeben -> dann die Rechte mit den Gruppen auf den Unterordnern steuern. Ordner, wo ein Account nix darf, würden dann ausgeblendet werden... Einzustellen im Sharing Snap-In.
Lokal angemeldet greift die NTFS-Berechtigung, beim Zugriff per Netzwerk auf die Freigaben greift die Freigabeberechtigung.
Das stimmt nicht!
Bei Fragaben greift zuerst die Freigabeberechtigung -> nämlich, ob du dich überhaupt auf die Freigabe verbinden darfst und wenn ja, wie (RO oder RW). Wenn die Freigabeberechtigung vorliegt, steuert weiterhin ausschließlich das NTFS Recht, wie mit den Files und Ordnern umgegangen wird. Und das exakt analog wie es wäre, wenn man lokal die Folder browsen würde.
