ComputerBase Menü
Aktuelles

Selektive Zugriffsvergabe für einzelne Unterordner einer Freigabe

M

McConnor

Cadet 2nd Year
Registriert
Feb. 2014
Beiträge
18
Moin die Spezialisten,

nachdem ich nun ewig daran herumgefrickelt habe und trotz umfangreichen Querlesens durchs Netz nicht zurecht komme frage ich mal euch:

Folgende Situation - Habe eine XP Prof SP3 Rechner als Server. Es gibt da mehrere Freigaben. Einige davon haben Unterordner (z.B. \\Video\Kinderfilme, \\Video\Dokus etc.). Nun möchte ich, dass ich für diese Unterordner selektiv die Zugriffsrechte vergeben kann. Ich möchte also dass meine Kinder auf \\Video\Kinderfilme zugreifen können nicht aber z.B. auf \\Video\Kriegsfilme. Was ich vermeiden möchte ist dass ich dutzendweise Freigaben erstelle.

Zu diesem Zweck habe ich auf dem Server für jedes Familienmitglied einen Benutzer angelegt und mit Passwort versehen. Beim Einloggen auf den Server gebe ich die mir bekannten Logininformationen ein und in Zunkunft müsste ich dann nur noch auf dem Server die Berechtigungen vergeben.

Problem ist: es funktioniert nicht so wie ich es mir vorstelle. Wenn ich im Share bei einem Kind den Lesen Zugriff aktiviere damit dieses zugreifen kann so ist Standardmässig der Zugriff auf alle Unterordner zunächst erlaubt. Wie bekomme ich es hin, dass jemand mit Zugriffsberechtigung auf den Share erstmal dessen Inhalt angezeigt bekommt dann aber nur Ordner öffnen kann die für ihn explizit freigegeben sind. Schön wäre es dass wenn ich dafür nur bei jenen Ordnern eine Sicherheitsregel festlegen müsste bei denen die Regel von jener des Shares abweicht:

z.B. also:

\\Video

Freigabe: Chef - Vollzugriff, Kind - Lesen
Sicherheit: Chef - Vollzugriff, Kind - Ordnerinhalt auflisten

Alles andere sollte nun verboten sein - aber so ist es nicht. Kind kann nun trotzdem jeden Ordern öffenen und Filme anschauen. Ich muss nun für alle Unterorder von \\Video für Kind den Vollzugriff verweigern und danach wieder für den gewünschten Ordner eine Leseberechtigung setzen. Das ist bei mehreren Kindern aufwendig...

Könnt ihr mir helfen? Vielen Dank
 
Richtiger Ansatz, aber mit kleinem Denkfehler =)

Also die Freigabe ist erstmal fast egal. Da kannst du prinzipiell jedem Zugriffe geben, sogar schreibend.

Die NTFS-Rechte machend den Rest. Zunächst setzt du die Rechte erstmal so, dass die Kinder auf alles lesenden Zugriff haben und vererbst diese Einstellung in die unteren Ebenen. Dann setzt du bei den Ordnern auf die Sie keinen Zugriff haben soll "Zugriff verweigen" Rechte.

Verweigern hat immer Vorrang vor Zugriff. Sprich du sperrst die einzelnen Ordner.
 
Danke für die Erläuterungen. Es wäre aber doch einfacher wenn erst mal das “Verbot“ vererbt würde und ich nur noch das erlaubte freizugeben müsste. Wenn ich das aber probiere dann kann Kind schon auf den Hauptordner nicht mehr zugreifen auch wenn darunter etwas freigegeben ist... Oder habe ich jetzt doch was übersehen?
 
In machen Situationen wäre es tatsächlich einfacher das freizugeben was freigegeben sein sollte =)

Es scheitert aber ja bereits daran, dass man dann bis zur untersten Ebene Leserechte benötigt damit man die Unterordner, auf die man Zugriff hätte, auch sehen kann. So käme man aber auch in alle Ordner in die man nicht sehen soll und könnte zumindest deren Inhalt sehen ;)

Ich versuche dir mal etwas grafischer zu erklären an deinem Fall.

Du hast ja einen freigegebenen Ordner.
  • In der Freigabe muss jeder der lesen soll auch die Lese-Rechte der Freigabe besitzen
  • Du kannst dir selbst ja Vollzugriff geben (den Kindern eigentlich auch, da du den Feinschliff per NTFS-Rechte machst).
  • Sollen die Kinder in bestimmte Ordner auch schreiben dürfen, dann benötigen die das Recht in der Freigabe (zählt global für alle Unterordner und Daten der Freigabe

Deine Ordnerstruktur sieht vermutlich so aus
- Hauptordner der Freigegeben ist
- Unterordner 1
- Unterordner 2
- Unterordner 3
- usw.

Dir selbst, kannst du erstmal alle Rechte geben und die durchvererben, du hast ja Zugriff auf alles. Bei den Kindern gibt es nun 2 Ansätze

1. Sie bekommen NUR im Hauptordner Leserechte => somit haben können sie die Ordner sehen, aber nicht darauf zugreifen! Für den Zugriff müsstest du jetzt jeden Ordner einzeln die Rechte zuweisen und die auslassen, die wo kein Zugriff stattfinden soll. Das geht für ein paar Ordner, für viele Ordner eine lästige Fleißarbeit.

2. Sie bekommen erstmal Leserechte für alle Ordner inklusive Unterordner, so wie du selbst auch. Nun gehst du hin und fügst die Verbote zu den Ordnern hinzu, welche nicht gelesen werden sollen und vererbst die Einstellungen nach unten. Aus dieser Vorgehensweise erklärt sich auch wieso Verbote zwingend Vorrang vor Erlaubnis haben.


Die 2. Variante macht wesentlich weniger Arbeit, wenn es sich um viele Ordner handelt, von denen nur wenige für bestimmte Personen "verboten" sind. Hast du aber nur eine handvoll Ordner (<10) auf der Freigabe, dann kann man besser Möglichkeit 1 nehmen und die Benutzerrechte gezielt zuweisen (macht Sinn wenn man z.B. Organisationsgruppen abbilden möchte). Der Hauptordner wäre für alle zumindest einzusehen (Schreiben ist hier nicht zwingend, lesen hingegen schon).


“Verbot“ vererbt würde und ich nur noch das erlaubte freizugeben müsste.
Zum Vergrößern anklicken....

Genau hier ist dein Denkfehler. Du sperrst das Kind auf oberster Ebene der Freigabe aus, es darf nicht mal die Unterordner sehen. Verbote kannst du erst aber der 2. Ebene sinnvoll nutzen.
 
Ok, einiges sehe ich jetzt klarer. Super erklärt! Vielen dank. Ich habe es jetzt mal so gemacht:

Hauptordner
Freigabe und Sicherheit für mich Vollzugriff, für Kind Freigabe Nur lesen, Sicherheit Verzeichnis auflisten

Alle unterordnet für das Kind die Sicherheit auf alles verweigern gesetzt. Für einzelne Ordner habe ich dann die Sicherheit für das Kind auf lesen/öffnen gesetzt.

Nun kann Kind auf die Freigabe zugreifen und sieht alle Unterordner kann aber nur auf die erlaubten zugreifen.

Das ist schon ziemlich genau das was ich möchte.

Um es etwas zu vereinfachen habe ich mal eine Gruppe “Kinder“ angelegt und mein test Kind da rein geschoben. Ich dachte ich könnte so für alle Kinder komfortabel z.B. Die Rechte für den Hauptordner vergeben aber wenn ich das so mache sperre ich Kind aus sobald ich seinen Eintrag bei Freigabe und Sicherheit löschte und nur noch den Eintrag der Gruppe Kinder habe - warum ist mir nicht klar geworden.... Geht das irgendwie oder habe ich die Gruppen falsch verstanden?

Dann wäre noch die Frage wie ich einmal eingegebene anmelde Informationen im Explorer wieder löschen kann - aus Sicherheitsgründen oder um mich mit anderen Rechten anzumelden....
 
Beim Zuweisen einer Gruppe zu einem Benutzer (oder umgekehrt, kommt ja aufs Selbe hinaus) werden fortan beide Einstellungen berücksichtigt. Eine Gruppe überschreibt keine gesetzten Rechte, sie ergänz sie lediglich.

Als Beispiel. Ich mache zwei Gruppen
- Ordner_Schreiben
- Ordner_Lesen

Dem Benutzer gebe ich auf das Verzeichnis keine Rechte, verknüpfe ihn aber mit der Gruppe Ordner_Lesen. Ab sofort kann er dann in diesem Ordner Lesen. Verknüpfe ich ihn sogar noch mit der Gruppe Ordner_Schreiben, kann er auch schreiben.

Im Klartext heißt das, dass für jedes Objekt alle Gruppenzugehörigkeiten für den Benutzer ausgewertet und summiert werden. Sind Rechte doppelt vorhanden (z.B. durch 2 Gruppen erhält man das Lesen Attribut), dann kommt einfach Lesen raus. Die Gruppen "füllen" Quasi die Berechtigungen der Benutzer aus, für jedes Element spezifisch neu ausgewertet.

Gleiches gilt für Verbote. Es werden ALLE Verbote auf ein Element aus den Gruppen aufsummiert.
Im letzten Schritt bleiben dem Nutzer nur noch die Rechte aus den Gruppen die NICHT verboten wurden =)

Diese sollten nach dem Abmelden gelöscht sein, es sei denn sie wurden eingespeichert (mit Setzen des Hakens bei der Abfrage).
 
Ok, so wie ich es nun verstehe könnte ich also nicht dem Hauptordner eine Gruppe Kinder zufügen (und sonst kein einzelnes Kind) welche in der Sicherheit erst mal alles verboten bekommt denn selbst wenn ich danach einem einzelnen Kind Leserechte auf einen Unterordner geben würde wäre dies durch das Verbot der Gruppe welcher er angehört “überstimmt“. Da ich die Leserechte aber für jedes Kind einzeln bestimmen will gewinne ich eigentlich mit einer Gruppe “Kinder“ der ich zunächst einmal alles verbiete ;-) nichts - oder?

Wegen der anmelde Info: kann ich wenn ich die Anmeldung per Haken gespeichert hatte diese wieder löschen so dass ich beim nächsten Zugriff erneut gefragt werde? Ich konnte hierfür wie verhext keine Option finden...
 
Richtig. Da gewinnst du nichts. Die Gruppe Kinder ist aber dennoch sinnvoll. Spart dir viel Geklicke ;) Zudem wenn noch eines dazu kommen sollte oder du die Rechte anpassen möchtest, geht das wesentlich einfacher =)

Uh die Sache mit dem Haken ... Ja ähm setze ein anderes Passwort, dann müsste er eigentlich wieder nachfragen =) Nach einem Neustart versteht sich. Dann den Haken nicht setzten =)

p.s. sry für die etwas späte Antwort.


Oh um das mit den Rechten noch etwas zu verdeutlichen. Stell dir vor du machst eine größere Party zu Hause ...:

Die Netzwerkfreigabe und die Rechtesteuerung ist qauasi deine Haustüre. Nur eingeladenen Gäste, Bekannte, Familenmitglieder dürfen rein. Fremde bleiben draußen.

Die Leute begrüßt du mit den Worten "fühlt euch wie zu Hause". Sprich die dürfen sich frei bewegen und sich dein Haus anschauen. (Leserechte geben)

Wichtige oder "private" Räume schließt du ab und gibst die Schlüssel nur ganz speziellen Leuten. Hier ist dann auch nichts mehr mit "gucken was da drin ist". (Recht verweigern)

Generell sollen die Leute auch nicht dein Haus umbauen umdekorieren. Darum Lese und Schreibrechte =)


Ist hoffentlich etwas grafischer erklärt =)
 
Zuletzt bearbeitet:
Ok, damit werde ich die Sache denke ich aufsetzt bekommen. Vielen dank für die Hilfe...
 
Falls nicht, schreib mir mal deine Rufnummer als PN. In einer Teamviewer Session ist das zügig gegessen =)
 
Hallo,

ich verfolge euren Thread, da ich das gleiche Problem habe. Ich versuche eure Strategie umzusetzen, aber ich komme nicht weiter. Ich benutze auf meinem Home Server Windows Server 2012 R2. Mein Szenario : Mein Hauptordner ist ein Bildordner. Darin liegen wieder viele Ordner. Nun möchte ich, dass ich auf alles Zugriff habe, aber zwei andere Benutzer zwar den Hauptordner sehen, aber nur die Unterordner, für die sie freigegeben sind. Ich bekomme das nicht, egal was ich mache.
Hoffe ihr könnt mir helfen. Danke

Beste Grüße
 
Ich kann das nachvollziehen. Vor ewig vielen Jahren habe ich bei Windows 2000 Server damit angefangen und mir das auch zusammengesucht. Es ist nicht auf den ersten Blick "simpel" aber auf den zweiten und dritten. Damit meine ich aber nicht, dass ich nicht heute noch rumknobel wie ich bestimmte Szenarios oder Wünsche umsetzen soll ^^

Ich versuche das mal an einem praktischen Beispiel zu erklären =)

Bevor ich beginne, setzte ich für gewöhnlich auf oberster Ebene zunächst die Grundrechte für das Laufwerk in unserem Fall d:\ und vererbe diese

Clipboard02.jpg

Den "vererben und ersetzen"-Button findet man unter erweitert. Bitte mit Vorsicht gebrauchen, da dieser ALLE Rechte der unteren Ebenen ersetzt!

p.s. hier kann nachher die Meldung kommen, dass der Papierkorb defekt ist. Einfach auf leeren klicken und gut ist.

Clipboard03.jpg

Unter d:\ habe ich nun den Ordner "Test" angelegt. Diesen gebe ich auch für die Benutzer (lesend, schreiben, je nach dem) frei mit dem Namen "Test". Ohne etwas zu machen, bekommt dieser die Rechte von D:\ vererbt. Ebenso gilt das für alle Ordner die sich unter "Test" befinden (1, 2, 3, 4, 5, 6, ...)

Clipboard04.jpg

Aktuell können also nur Benutzer die der Gruppe Administratoren zugeordnet sind, darauf zugreifen. Ich möchte aber, dass nun die "Testgruppe" darauf Lesenden Zugriff bekommt. Ich wähle nun den "einfachen" Weg und gebe dieser Gruppe für den Ordner "Test" (und somit auch allen Unterordnern) Leserechte.

Clipboard05.jpg

Die Unterordner sehen ebenfalls ALLE so aus:

Clipboard06.jpg

Ich möchte aber nicht, dass die Gruppe auf Ordner 2 Zugriff hat, also setzte ich im Ordner 2 die Verweigerung:

Clipboard07.jpg

Anmerkung: Graue Haken zeigen vererbte Eigenschaften, schwarze Haken zeigen Rechte für oder ab dem aktuellen Ordner an (im nächsten Unterordner wären diese dann grau, ab hier wird ja wieder neu betrachtet).

Zur Testgruppe kann man nun beliebige Nutzer hinzufügen.

Die andere Lösung

Gleicher Start, aber wir setzten das Leserecht unter "Erweitert"
(Anmerkung: im nicht erweiterten Modus werden gesetzte Werte automatisch auf untere Objekte vererbt. Komplizierte Konstrukte somit IMMER über erweitert)

Clipboard08.jpg

In diesem Fenster (nach Hinzufügen) gibt es sehr viele Möglichkeiten. Neben Ordner Auflisten, Ordner Lesen, Attribute lesen muss auch Berechtigungen Lesen, aktiv sein (meine ich). Die Reichweite des Rechtes setzten wir mit "Übernehmen für" auf "Nur diesen Ordner". Es findet also keine Vererbung nach unten statt!

Die Rechte vom Ordner d:\Test sehen so aus:

Clipboard09.jpg
Clipboard10.jpg

Und von d:\Test\01 so:

Clipboard11.jpg

Das heißt, da wir das Recht nicht ererbt haben, ist es nur im Ordner D:\Test aktiv. Alle Unterordner sind "verboten". Soll die Gruppe / der Benutzer auf einen Unterordner Zugriff haben (Die Liste der Ordner kann er ja sehen) muss für jeden dieser Ordner das Recht gesetzt werden; mit oder ohne dessen Unterordner (sprich mit oder ohne Vererbung).

Clipboard13.jpg

Jay :D

Wichtig: Wählt man diese Methode, sollte man niemals die Option "Vererben und Ersetzen" verwenden, dies ersetzt alle gesetzten Rechte in allen folgenden Objekten. Also Finger weg davon, macht alles zu Nichte!

Clipboard03.jpg

Zu Gruppen und Benutzern:

In den Beispielen habe ich nun Gruppen genutzt. Egal wie viele Benutzer ich habe, kann ich diese nun über diese Gruppen die Rechte geben. Ich muss nur 1x die NTFS-Rechte setzen. Bei einem Nutzer ist das erstmal egal. Ab dem 2. verdoppelt sich aber meine Arbeit. Ich muss die NTFS-Rechte für beide Nutzer setzen. Zudem ist es fehleranfällig.

Gedankenspiel:
Ich packe erstmal alle Nutzer in eine Gruppe, sagen wir "NF" und sie bekommen auf den Ordner Zugriff. Die Gruppe Kinder nutze ich nur zum "verbieten" von einzelnen Ordnern.

Eltern = nur Gruppe NF
Kinder = Gruppe NF + Gruppe Kinder

Wäre z.B. auch möglich, wenn die Anzahl der Verbote kleiner ist als die Anzahl der erlaubten Ordner (spart Arbeit).
Ergänzung ()

Darin liegen wieder viele Ordner. Nun möchte ich, dass ich auf alles Zugriff habe, aber zwei andere Benutzer zwar den Hauptordner sehen, aber nur die Unterordner, für die sie freigegeben sind. Ich bekomme das nicht, egal was ich mache.
Zum Vergrößern anklicken....

DAS ist eine Einstellungssache meine ich. Im Standard sieht derjenige ALLE Ordner des Hauptordners, also deren Namen (nicht deren Inhalt). Er sieht das diese vorhanden sind. Man kann aber eine Einstellung setzen, so dass nur noch Ordner mit Zugriffsrechten aufgelistet werden und alle anderen nicht aufgelistet werden.

Das habe ich persönlich noch nie so benutzt. Wäre nur blöd wenn der Name des Ordners schon zu viel verrät :evillol:

Geht wohl nur unter Windows Server ...

Clipboard14.jpg
 
Zuletzt bearbeitet:
Danke für die ausführliche Erklärung. Hat mir sehr viel geholfen.

Ein Problem habe ich noch. Wieso hat mein Benutzername keine Adminrechte, obwohl ich in der Administratorengruppe bin?
 
Meinst du auf dem Windows 2012 R2?

Alle Administratoren außer dem Account Administrator werden im so genannten Administratorgenehmigungsmodus ausgeführt. In erster Linie bist du als Benutzer und wirst nur bei Bedarf zum Administrator hochgestuft (so ein UAC Ding). Ist ein wenig blöd, da z.B. der Explorer dann mit Benutzerrechten gestartet wird und man das im Betrieb auch nicht mehr ändern kann.

Die Ganze Sache kann man deaktivieren, hängt aber mit der UAC zusammen und ob das sinnvoll ist muss jeder selbst entscheiden. Das Vorgehen ist wie folgt:

  1. 1. Systemsteuerung => Benutzerkonten => UAC deaktivieren => Server neustarten
  2. 2. Lokale Sicherheitsrichtlinie => Computerkonfiguration => Windows Einstellungen => Sicherheitseinstellungen =>Lokale Richtlinien => Sicherheitsoptionen => „Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen“ deaktivieren => Server neustarten
  3. 3. Die Gruppe „Domänen-Benutzer“ bei Administratoren-Konten entfernen

Punkte 1 und 2 müssen in dieser folge stattfinden, die UAC würde den Richtlinieneintrag wieder zurücksetzen. Punkt 3 ist ist optional.
 
Super vielen Dank. Bist eine große Hilfe. Aber wenn ich das deaktivieren, dann bleiben trotzdem nur die, die in der Gruppe Administratoren sind auch Administratoren?
 
Das ist der Sinn dessen =)

Aber ganz ehrlich, auf dem Server kannst du auch mit dem Administrator-Konto durch die Gegend zotteln ;)
Oder müssen die anderen explizit über Adminrechte auf dem Server verfügen ;)
 
Ja, da hast du recht. Nur ich bin gerne mit meinem Konto der Admin :-) Will nicht immer wechseln müssen. ;)
 
Nabend die Herren,

komme nach Jahresfrist noch mal auf diesen Thread zurück. Grund ist die Umstellung des Servers auf Windows 10.

In diesem Zuge wird es nötig die Rechte nochmals neu zu vergeben (XP zu Win 10 quasi Neuinstallation)

Nun kann man offensichtlich nicht mehr in einem Rutsch viele Ordner mit Rechten versehen. Vorher hatte ich alle gewünschten (Sammel-) Ordner angewählt und dann die Sicherheitseinstellungen passend geändert. Nun ist das nur noch für einen Einzelordner möglich womit der Editieraufwand bei drei Kindern enorm ansteigt...

Kennt ihr eine Möglichkeit die Sicherheitseinstellungen mehrerer Ordner unter Win 10 Prof. gleichzeitig zu ändern (vorzugsweise eine kostenneutrale Lösung)? Vielen Dank für eure Hilfe.....
 
Hallo,

du scheinst es dir immer noch extra kompliziert zu machen :D Das diese Funktion der mehreren Ordner weg ist, ist mir bislang nicht mal aufgefallen xD

Hier ein paar Tipps:

a) Benutze Benutzergruppen, macht vieles wesentlich einfacher
b) Strukturiere die Ordner so, dass du nur noch wenige Ordner anpassen musst ;)
c) ansonsten per cmd-Batch. Sprich ein Skript was das automatisiert
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Flossen_Gaming
SMB Freigabe auf dem Raspberry
Antworten
10
Aufrufe
536
Flossen_Gaming
Flossen_Gaming
Christian1297
Robocopy Skript für viele Verzeichnisse anpassen
Antworten
3
Aufrufe
618
xexex
X
X
2 Netzwerke per VPN verbunden - Nur eingeschränkter Netzwerkzugriff
Antworten
8
Aufrufe
790
cumulonimbus8
cumulonimbus8
C
Chaos im Heimnetzwerk nach Fritzbox Reset
Antworten
16
Aufrufe
2.211
Raijin
Raijin
Tempo
Raspberry Pi als Download-Cache für openSUSE Updates
Antworten
7
Aufrufe
670
konkretor
konkretor

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz