NTFS- Berechtigungen greifen lokal nicht ?!

sasparillaX

Neuling
Thread Starter
Mitglied seit
25.12.2014
Beiträge
189
Hätte da mal gerne mal ein Problem:

Habe mir einen 2012R2 Fileserver aufgesetzt und bin so ein bisschen am rumprobieren mit Freigaben, Berechtigungen etc.

Auf der Büchse habe ich einen Administrator und einen normalen Benutzer.
Außerdem habe ich eine Freigabe für Administratoren und Benutzer erstellt.

Die NTFS-Berechtigungen der Freigabe sind so eingestellt, dass Administratoren Lesen, Schreiben können, normale Benutzer dagegen nur Lesen.

Verbinde ich nun die Freigabe von einem anderen PC im Netzwerk aus mit dem Administratorenkonto, so habe ich Zugriff und kann Ordner erstellen, etc.
Analog dazu kann ich die Freigabe auch als der normale Benutzer verbinden, kann dort natürlich nur Lesen, also keine Ordner erstellen.

So weit so gut. Nun das, was ich nicht verstehe:

Melde ich mich lokal an dem Fileserver an, kann ich sowohl als Administrator, als auch als Normalbenutzer Dateien verändern. Aber das dürfte doch aufgrund der von mir eingestellten NTFS-Berechtigungen garnicht gehen?!?!

Kann mir jemand von euch sagen, was ich hier übersehe? Wahrscheinlich verstehe ich hier was grundsätzlich nicht.

Danke!!
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Es gibt 2 Berechtigungen:
NTFS-Berechtigung und Freigabeberechtigung.
Lokal angemeldet greift die NTFS-Berechtigung, beim Zugriff per Netzwerk auf die Freigaben greift die Freigabeberechtigung.
 
Es gibt 2 Berechtigungen:
NTFS-Berechtigung und Freigabeberechtigung.
Lokal angemeldet greift die NTFS-Berechtigung, beim Zugriff per Netzwerk auf die Freigaben greift die Freigabeberechtigung.

genau so hab ichs auch verstanden, wie gesagt die Freigabeberechtigungen greifen ja auch, allerdings halt die NTFS Berechtigungen nicht. Ich stelle gleich mal Screenshots rein...

- - - Updated - - -

so hier die freigabeberechtigung:



hier die NTFS-Berechtigung:



das hier sind auch NTFS-Berechtigungen, oder? :




Was ist eigentlich der Unterschied zwischen folgenden Einträgen?



Danke euch!!
 
ne, der ist nur Standardbenutzer (dem habe ich alle Admin-Rechte entzogen).
Admin ist jetzt einzig und allein der "Administrator"

Grüße
 
Also vorweg mal was grundsätzliches, Freigabeberechtigung setzt man normalerweise auf Vollzugriff für Jeder und regelt dann über die NTFS Rechte (oder umgekehrt)
-> Deine aktuelle Freigabeberechtigung gilt nicht für Administratoren sondern für den Benutzer Administrator

Zu deinem "Benutzer kann Datei ändern" Problem ist der Hintergrund vermutlich das "Ersteller/Besitzer" Recht
-> schau mal bei den Dateien wie die rechte dort aussehen (NTFS Rechte)
 
Also vorweg mal was grundsätzliches, Freigabeberechtigung setzt man normalerweise auf Vollzugriff für Jeder und regelt dann über die NTFS Rechte (oder umgekehrt)

Oder setzt auf verschachtelte Gruppen -> wo die Gruppen, die die NTFS Rechte regeln auch gleichzeitig die Freigaberechte steuern. Mit "JEDER" würde ich da ehrlich gesagt nicht arbeiten, da es potentiell zu ungewollten Zugriffen kommen kann. Denn "JEDER" meint auch wirklich Jeder. Bestenfalls Authenticated Users könnte man nutzen, das schließt die Tür schonmal für alle NICHT angemeldeten User am Server... Und das sind eigentlich ALLE, die keinen Account auf dem Server oder im lokalen AD, sofern vorhanden, haben...

@sasparillaX
- Weiterhin, man sollte bei derartigen Rechten zu erst einmal sinnvollerweise nicht diesen unsinnigen Freigabe Assistenten nutzen. Der macht viel, aber eben auch teils zu viel.
- Ebenso sollte man die Rechte sauber setzen. Gruppen selbst erstellen und die Accounts zuweisen (lokal oder AD, wurscht, macht keinen Unterschied)
- Eine saubere Gruppenstruktur gibt (je nach Anforderung) normal Rechte für Read, Modify und Admin vor. NUR! der Admin (also die Admin Gruppe) sollte Full Access auf die Folder bekommen -> sonst läufst du Gefahr, dass sich A) Nutzer selbst Rechte/Besitzerrechte geben und dich B) damit möglicherweise sogar aussperren. Read Gruppen bekommen logischerweise nur Read/Execute und Gruppen mit Schreibberechtigungen bekommen ausschließlich Modify -> was keine Rechteverwaltung beinhaltet.

Mach es einfach folgendermaßen:
-> erstelle folgende Gruppen: "ACC-DIR-xxx-RW", "ACC-DIR-xxx-RO", "ACC-DIR-xxx-Admin" und "ACC-SHR-xxx" (ACC steht für access, DIR für Ordner/Verzeichnis, xxx für den Namen des Ordners/der Freigabe und SHR für ein Share/eine Freigabe) Damit findest du auf einen Blick auch bei vielen Gruppen exakt die, um welche es dir gerade geht...

-> alle "DIR" Gruppen sind Mitglied der "SHR" Gruppe.
-> alle Accounts, die nur lesen/ausführen dürfen, sind Mitglied der "RO" Gruppe
-> alle Accounts, die lesen/schreiben/ausführen dürfen, sind Mitglied der "RW" Gruppe
-> alle Accounts, die lesen/schreiben/ausführen und Rechte setzen dürfen, sind Mitglied der "Admin" Gruppe

Dann gehst du auf deinen Folder und machst die erweiterte Freigabe auf. Unter Berechtigungen löscht du "Jeder" raus und trägst die "SHR" Gruppe mit Full Access ein.
Weiter im Fenster gehst du auf die Sicherheit Karteikarte und hebst unter erweitert die Vererbung auf! (bei der Frage auf Copy drücken, nicht mit löschen -> sonst sperrst du dich ggf. aus!)
-> dann bestätigst du mit OK
-> danach (wieder im Rechte Fenster) löschst du alle Einträge außer dem "SYSTEM"
-> und fügst danach ausschließlich die drei "DIR" Gruppen von eben ein -> Der "RO" gibst du ausschließlich das Read/Execute Recht, der "RW" Gruppe gibst du Modify und der "Admin" Gruppe eben Full Access.
-> bestätigen und los gehts.

Da Gruppenzugehörigkeiten bei Windows idR bei einer Anmeldung geprüft werden, solltest du nun dich Ab- und wieder Anmelden. (das gilt auch für die Clients, die auf die Freigabe zugreifen sollen!)
-> dann Freigabe testen und Zugriffe probieren. Ein Account in der "RO" Gruppe kann nix machen außer Lesen/Ausführen. Ein Account in der "RW" kann zusätzlich noch schreiben, aber keine Rechte setzen! -> das sollte ausgegraut sein. Ein Account in der Admin Gruppe kann noch dazu die Rechte setzen.

-> Fertig... Eigentlich easy. ;)
geht es bei dir um mehrere verschiedene Freigaben, dann erstellst du für jede Freigabe die Gruppen neu -> die Syntax ist identisch. Willst du nicht für jede der Gruppen die Accounts immer händisch zuweisen -> bei vielen Accounts ist das nervig -> erstell zusätzlichen irgendwelche Sammelgruppen, welche die Nutzeraccounts nach Klassen oder whatever gruppieren und verschachtel die Gruppen...
Kommt ein AD ins Spiel und du willst dir dort Flexibilität wahren -> dann nutze local and global Groups. Scheint zwar Aufwand in der Erstellung, aber es macht hintenraus flexibler. -> lokale Gruppen liegen auf den Ressourcen (Shares, Folders usw.), in globalen Gruppen stecken die Useraccounts/Computeraccounts usw. -> globale Gruppen sind dann Mitglied lokaler Gruppen. Die Notwendigkeit kommt genau dann zum Tragen, wenn du über Vertrauensstellungen und mehrere Domains hinweg Rechte vergibst. Dann kannst du deinen lokalen Gruppen (die die Rechte auf den Ressourcen -> Folder/Freigaben usw. steuern) auch globale Gruppen anderer Domains zuweisen -> Flexibel ohne Aufwand ;)


EDIT:
übrigens, es gibt auch die Möglichkeit, bei verschiedenen Ordnern mit verschiedenen Rechten die Ordner vor den Usern zu verstecken. Sprich hat der User gar keine Recht auf die Ordner, dann sieht er diese auch nicht. Ohne diese Option sieht er zwar die Ordner, bekommt mit nem Klick darauf aber die Meldung, dass er nicht darf... Keine Ahnung ob du das brauchst...
Wenn du ein physisches Volume im Server hast, dort mehrere verschiedene Ordner freigeben würdest, könntest du stattdessen auch einfach nur einen Oberordner erstellen und diesen zentral freigeben -> dann die Rechte mit den Gruppen auf den Unterordnern steuern. Ordner, wo ein Account nix darf, würden dann ausgeblendet werden... Einzustellen im Sharing Snap-In.



Lokal angemeldet greift die NTFS-Berechtigung, beim Zugriff per Netzwerk auf die Freigaben greift die Freigabeberechtigung.

Das stimmt nicht!
Bei Fragaben greift zuerst die Freigabeberechtigung -> nämlich, ob du dich überhaupt auf die Freigabe verbinden darfst und wenn ja, wie (RO oder RW). Wenn die Freigabeberechtigung vorliegt, steuert weiterhin ausschließlich das NTFS Recht, wie mit den Files und Ordnern umgegangen wird. Und das exakt analog wie es wäre, wenn man lokal die Folder browsen würde.
 
Zuletzt bearbeitet:
Oder setzt auf verschachtelte Gruppen -> wo die Gruppen, die die NTFS Rechte regeln auch gleichzeitig die Freigaberechte steuern. Mit "JEDER" würde ich da ehrlich gesagt nicht arbeiten, da es potentiell zu ungewollten Zugriffen kommen kann. Denn "JEDER" meint auch wirklich Jeder. Bestenfalls Authenticated Users könnte man nutzen, das schließt die Tür schonmal für alle NICHT angemeldeten User am Server... Und das sind eigentlich ALLE, die keinen Account auf dem Server oder im lokalen AD, sofern vorhanden, haben...
um dieser Gefahr ausgesetzt zu sein muss man erst mal überhaupt nicht authentifizierte zugriffe erlauben was im standard deaktiviert ist aber man hat eben auch die freiheit wenn es gewollt ist genau das zu machen
Wenn nun die gruppe falsche Mitglieder hat ist es auch egal ob man ntfs oder ntfs und freigaberechte daran knüpft (auch dort könnte theoretisch "gast" drin sein)

Insofern sehe ich da nur mehr Komplexität aber kein gewinn
 
Je nachdem, wie man es einrichtet... Wenn man es einfach richtig machen kann, warum nicht richtig machen?
Der Mehraufwand da ne Share Gruppe zu nutzen (muss ja nichtmal sein, man könnte auch die anderen Gruppen da rein tüten) hält sich definitiv in Grenzen... Das ist Sicherheit klar davon abhängt, was der Jenige da in den Gruppen eintütet, sollte auch klar sein ;)

Ggf. könnte man aber, wenn man schon mit nem Server OS anfängt, gleich auf ein AD setzen... Die Basics sind ja nicht soo kompliziert. Windows übernimmt dank Wizards ja die Einrichtung effektiv komplett... Dann hätte man ne zentrale Nutzersteuerung und spart sich das Pflegen der User an möglicherweise mehreren Stellen. Für die Freigaben ändert sich ja dann auch nix, nur das keine lokalen sondern AD Accounts genutzt werden.
 

Ähnliche Themen

Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh