ComputerBase Menü
Aktuelles

NTSF Berechtigungen / Vererbung unterbrechen

C

c-mate

Rear Admiral
Registriert
Aug. 2010
Beiträge
5.643
Hi, eine kurze Frage zu Zugriffsberechtigungen auf dem Fileserver.
Es wird ja immer gesagt, man soll die Vererbung von den übergeordneten Ordnern nicht unterbrechen.
Ok aber wenn ich zb in einem Ordner 20 Unterordner habe und bei 13 dieser Ordner sind die Zugriffsberechtigungen anders als die des übergeordneten Ordners.
Dann bleibt doch nichts anderes übrig als die Vererbung dieser 13 Ordner zu deaktivieren und in diesen 13 Ordnern die Zugriffsberechtigungen individuell zu vergeben.
Oder?
 
c-mate schrieb:
bei 13 dieser Ordner sind die Zugriffsberechtigungen anders als die des übergeordneten Ordners.
Zum Vergrößern anklicken....
Sind sie bereits anders oder sollen sie anders sein?
Wenn sie anders sind, wurde entweder die Vererbung schon deaktiviert oder es handelt sich nur um zusätzliche Berechtigungen, welche für die entsprechenden Unterverzeichnisse gesetzt wurden.
 
c-mate schrieb:
Es wird ja immer gesagt, man soll die Vererbung von den übergeordneten Ordnern nicht unterbrechen.
Zum Vergrößern anklicken....
Wer sagt das? In welchem Kontext sagen sie es?

Wenn es pauschal immer falsch wäre, die Vererbung zu deaktivieren, würde das Dateisystem die Möglichkeit gar nicht vorsehen.

Für mich immer ein klares: Es kommt drauf an.

Und AFAIK kann man auch "Negativ-Rechte" geben, die stärker wiegen als die positiven. Evtl kannst du so die Vererbung beibehalten, wenn du sonst nicht schlafen kannst.
 
  • Gefällt mir
Reaktionen: RalphS und PHuV
tollertyp schrieb:
Wer sagt das? In welchem Kontext sagen sie es?
Zum Vergrößern anklicken....
Klar ist etwas pauschal aber das ist halt eine der Empfehlungen bei Best Practice NTFS Berechtigungen.
Ergänzung ()

kartoffelpü schrieb:
Sind sie bereits anders oder sollen sie anders sein?
Wenn sie anders sind, wurde entweder die Vererbung schon deaktiviert oder es handelt sich nur um zusätzliche Berechtigungen, welche für die entsprechenden Unterverzeichnisse gesetzt wurden.
Zum Vergrößern anklicken....
Das war jetzt nur ein Beispiel wie es der Fall sein könnte und dass das ja aber nicht möglich ist ohne die Vererbung zu unterbrechen, richtig?
 
If you know the rules, break them.

Wichtig ist halt zu wissen, warum du die Vererbung deaktivierst. Wenn du deine Gründe hast: Warum nicht?
Wenn es anders umständlicher oder gar nicht vernünftig geht: Warum nicht?

Also willst du jetzt eine Grundsatzdiskussion oder hast du eine konkrete Frage? Ist mir langsam nicht mehr klar.

Und das "Wer sagt es" hast du halt immer noch nicht beantwortet. Gute Diskussionsgrundlage dann.

Hier wird z.B. das gesagt:
https://www.netwrix.com/ntfs_permissions_management.html schrieb:
Avoid breaking permissions inheritance as much as possible. There will be a few folders where this may be necessary, but generally avoid it
Zum Vergrößern anklicken....
Ja, dem würde ich zustimmen. Vermeiden heißt aber nicht, dass es nie passieren darf. Mit derr Aussage bin ich auch 100% einverstanden, es wird sogar von "notwendig" gesprochen.
 
  • Gefällt mir
Reaktionen: kartoffelpü
Wieso Grundsatzdiskussion, ich hab doch gar nicht angefangen zu diskutieren? Außerdem habe ich doch auch ein konkretes Beispiel gebracht. Und wenn ihr sagt um die 13 Ordner anders zu berechtigen, bleibt einem nichts übrig als die Vererbung zu unterbrechen, dann ist das ja beantwortet.
 
c-mate schrieb:
Das war jetzt nur ein Beispiel wie es der Fall sein könnte
Zum Vergrößern anklicken....
Von dem Beispiel sehen wir aber so wenig, dass es sich halt eher wie eine Grundsatzdiskusson anfühlt.

Weil wir nicht wissen, welche Rechte vererbt werden und wie die eingeschränkten Rechte dann konkret sein sollen.

Was übrig bleibt kann keiner sagen außer dir, da du die Informatonshoheit hast.

Evtl helfen dir ja auch Negativ-Rechte:
1648571208982.png
 
? Natürlich kann man das sagen, wenn man das Berechtigungsmodell nicht entwerfen könnte, wie sollte man es dann umsetzen? Frei Schnauze und gucken was passiert? :confused_alt:

  • Best Practice ist "Vererbung aktiv" nur insoweit, daß man ohne Vererbung alles händisch machen müßte. Da passieren Fehler. Also Vererbung dann aus (nur dann) wenn das benötigt wird.
  • Mit Windows' Berechtigungsmodell läßt sich sehr sehr viel machen. Das meiste funktioniert aber nur mit abgeschalteter Vererbung. Also nicht festfressen auf "soll man nicht, Einself" sondern machen wenn nötig und lassen wenn nicht.


Grundsätzlich:
Wenn ich einen Ordner habe und der Ordner hat "etwas mit seiner Struktur zu tun": Vererbung AN.
Wenn nicht, Vererbung AUS.

Beispiel:
1. Ich habe Profilordner auf einem Fileserver. Die gehören jeweils dem zugehörigen Benutzer(konto). Vererbung aus, sollte sich hoffentlich von selber verstehen. Egal wo sich die Profilordner befinden, sie haben mit dem Berechtigungsmodell darüber nichts zu tun.
Wenn mein Profilordner sich unter /Profile/Berlin/Benutzer befindet, dann kann ich jetzt meine IT auf /Profile und /Profile/Berlin zugreifen lassen... ohne daß sie gleich sämtliche Benutzer angucken können müssen und ohne daß eine Änderung für die IT-Berechtigungen sofort alle Mitarbeiter betreffen muß.


2. Ich habe eine Dateiablage für die Mitarbeiter. Da gibts /Ablage/IT und /Ablage/Vertrieb und /Ablage/Geschäftsleitung und so weiter.
Vererbung für die Unterordner ist dann (wahrscheinlich) an, jedenfalls dann, wenn man erstmal alle Mitarbeiter als "Mitarbeiter" versteht und dann nur noch das "Berechtigungs-Delta" zu /Ablage auf den Unterordnern definiert.
Jetzt kann ich die Gruppe der Auditoren auf /Ablage konfigurieren und die kriegen dann automatisch überall Zugriff.

(Und auch hier kann die Vererbung konkret für /Ablage ausgeschaltet werden.)
 
  • Gefällt mir
Reaktionen: tollertyp
Zum Thema Vererbung muss man für sich erst einmal definieren, wo der Einstieg hierbei liegt.
Will ich zum Beispiel Access Based Enumeration aktivieren oder den Einstieg direkt zum entsprechenden Ordner freigeben.
 
Und was haben Freigaben / ABE mit Vererbung zu tun? :confused_alt:

Ich hoffe einfach mal, daß da nicht einem grundsätzlichen Missverständnis aufgesessen worden ist.

Natürlich ist es Definitionssache. Das ganze Modell ist Definitionssache.
Es kommt halt leider schon seit Jahrzehnten nicht an, daß das, was Microsoft an "Sicherheitsmodell" mitliefert, nicht viel mehr als ein Sample ist.... damit die ganze Chose überhaupt erstmal funktioniert und weil "jeder darf alles" als Auslieferungszustand natürlich unzureichend wäre.

Aber man müßte sich halt hinsetzen und sich ein Zugriffsmodell überlegen. Das wäre ja aufwendig. Da lieber Jeder: Vollzugriff auf dem Stammverzeichnis und dann überallhin vererben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

aemonblackfyre
Windows Fileserver Berechtigungen trotz unterbrochener Vererbung auf alles anwenden
Antworten
10
Aufrufe
3.838
Evil E-Lex
Evil E-Lex
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz