ComputerBase Menü
Aktuelles

spezielle NTFS Berechtigungen

M

maxl98

Banned
Registriert
Jan. 2021
Beiträge
47
Hallo zusammen,

ich habe einen Ordner erstellt und möchte das die Gruppe x in diesen Ordner nur Dateien ablegen kann - aber keine Ordner erstellen, keine Dateien öffnen und lesen, nichts ändern und löschen kann.

Also die Gruppe soll rein Dateien speichern und alle Unterordner in diesem Ordner angezeigt bekommen können.

Ich finde dazu aber nicht die richtigen Rechte ... bei den speziellen Berechtigungen würde "Dateien erstellen/Daten schreiben" gut passen. Aber es soll ja wie gesagt auch der Ordnerinhalt angezeigt werden, aber die Berechtigung "Ordner auflisten/Daten lesen" würde die Gruppe dann ja auch berechtigen Daten zu lesen, was ich ja nicht möchte.

Wie mach ich denn das?

LG
 
Unter Windows geht das gar nicht. Die Rechte bauen aufeinander auf.
Ordnerinhalt anzeigen -> Dateien öffnen -> Dateien schreiben -> Vollzugriff -> Vollzugriff mit delegierten Rechten

Ein blinder Schreibzugriff ist außerdem gefährlich, da die Nutzer nicht wissen, ob sie Dokumente überschreiben.

Warum brauchst du diese Art von Dateiablage?
 
  • Gefällt mir
Reaktionen: derlorenz und BeBur
das geht nicht auf Dateisystemebene. Wer schreiben können soll, muss somit auch ändern und lesen können.
 
Simanova schrieb:
Unter Windows geht das gar nicht. Die Rechte bauen aufeinander auf.
Ordnerinhalt anzeigen -> Dateien öffnen -> Dateien schreiben -> Vollzugriff -> Vollzugriff mit delegierten Rechten

Ein blinder Schreibzugriff ist außerdem gefährlich, da die Nutzer nicht wissen, ob sie Dokumente überschreiben.

Warum brauchst du diese Art von Dateiablage?
Zum Vergrößern anklicken....

Natürlich geht das. Ging schon mit NT 4.0
Man kann die vererbung abschalten.
Das was der TE suchst befindet sich unter Sicherheit/Erweitert
man kann da so sachen einstellen wie Ordner auflisten, schreiben zulassen und lesen verweigern

mit
1617797813619.png

kann man sich austoben
 
  • Gefällt mir
Reaktionen: BeBur
wern001 schrieb:
Natürlich geht das. Ging schon mit NT 4.0
Zum Vergrößern anklicken....
Und wie setzt du dann folgendes um?
maxl98 schrieb:
Aber es soll ja wie gesagt auch der Ordnerinhalt angezeigt werden, aber die Berechtigung "Ordner auflisten/Daten lesen" würde die Gruppe dann ja auch berechtigen Daten zu lesen, was ich ja nicht möchte.
Zum Vergrößern anklicken....
 
Dafür gibt es dann den punkt lesen verweigern.
Es wird dann nur der Ordner aufgelistet und sobald man was öffnen will zugriff verweigert.
 
Alles klar, danke!

Noch eine Frage zu den Berechtigungen - wenn ich eine Netzwerkfreigabe für einen Ordner erstelle, wähle ich immer Vollzugriff aus und schränke alles weitere mit NTFS ein. Aber wähle ich dann immer "Jeder" mit Vollzugriff aus oder schränke ich bei der Freigabeberechtigung auch schon die Gruppen ein?

Macht ja eigentlich keinen Sinn, oder? Weil ja die Gruppen eh auch mit NTFS eingeschränkt werden, oder ist es besser die Gruppen auch bei der Freigabeberechtigung schon festzulegen?

LG
 
Nein, so ist es schon sinnvoll. Samba/Cifs Permission für Jeder bzw. in Firmennetzen für Authenticated Users und Einschränkungen, Zugriffssteuerung, etc ausschließlich über die NTFS Permissions.
 
Hä? Natürlich geht das! Was sind denn das wieder für halbgare Antworten?

Natürlich muß man sich mit NTFS und dem Berechtigungsmodell von Windows auseinandersetzen. Das ist recht komplex. Aber so ein "Briefkasten", wie er modellmäßig hier benötigt wird, ist eins der klassischen Beispiele für ein Berechtigungsmodell.. insbesondere auch für NTFS!

=> Mal nach NTFS file permissions in Verbindung mit postbox, letterbox oder sonstigen Entsprechungen googlen.

Leider reicht der Platz hier für eine Einführung ins NTFS Permission Model hier nicht aus. Deswegen nur GANZ GROB umrissen was für Letterboxen relevant ist:

A wie schon erwähnt muß Vererbung aus. Das ist in praktisch allen Fällen so, wo man ein besonderes Modell benötigt.

B Windows trennt permissions auf in Ordner einerseits und Dateien andererseits. Dabei werden (entgegen Intuition) einzelne Rechte wiederverwendet, da muß man aufpassen.

C ganz GANZ wichtig: Verinnerlichen was der Unterschied ist zwischen Rechten (rights) und Berechtigungen (permissions). Ich empfehle da immer, sich an die englische Nomenklatur zu halten: "rights vs permissions" ist besser merkbar als "Recht vs Berechtigung".

D Ein ACL Eintrag in NTFS wird immer spezifiziert mit "This Folder Only; This Folder And its Children (one level); bzw This Folder and all its children (subtree)". Entsprechend muß man in Modellen wie für Letterbox überlegen, ob man mehrere ACLs benötigt mit unterschiedlichem Scope.

E ergänzend zu D und im Hinblick auf Punkt B oben kann -- muß! -- ich in NTFS sagen, wenn ich Datei- und Ordnerberechtigungen gegeneinander abwägen muß. Kurzes Beispiel: das Right WRITE. Da hab ich folgende Konstellationen (O = Ordner, F = File; X = erlaubt; N = nicht erlaubt). Dabei wird angenommen, daß der Scope nicht auf den Ordner selbst beschränkt ist, sondern zumindest die Dateien betrifft (anderenfalls wirds komplexer).

O = N; F = N => es können keine neuen Dateien angelegt werden. Existierende Dateien können nicht geändert werden.
O = X; F = N => es können neue Dateien (und Ordner) im Ordner angelegt werden. Wenn der Eintrag da ist, ist er aber fix wegen F = N.
O = N; F = X => genau andersherum. Es können keine Dateien erstellt, wohl aber existierende geändert werden.
O = X; F = X => im Hinblick auf Schreibversuche unbeschränkt.

Dabei ist zusätzlich aber noch zu beachten, daß es ein Zusammenspiel der einzelnen Rights gibt. Diese sind eigentlich so gewählt, daß sie unabhängig voneinander sind... aber ganz so einfach ist es in der Praxis nicht. Es kann mir also passieren, daß ich eine Datei hab, die ich nicht ÄNDERN darf, aber die ich LÖSCHEN und NEU SCHREIBEN darf; das ist im Sinne von ACL nicht dasselbe, aber im Hinblick auf das praktische Ergebnis macht es für den Anwender keinen Unterschied, nur daß es etwas aufwendiger wird. Dann darf er zwar die Datei nicht um ein zwei Zeilen ergänzen, aber er darf sie komplett neu schreiben.


Näheres verrät Microsoft in seiner Technet/MSDN und natürlich Tante Gockel.
 
  • Gefällt mir
Reaktionen: Penicillin, maxl98, snaxilian und eine weitere Person
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Rechtvergabe unter Benutzern Win10 ändern
Antworten
3
Aufrufe
434
Daniel Albert
D
M
Mac Book Ordner „Auf meinem Mac“
Antworten
9
Aufrufe
1.647
Evil E-Lex
Evil E-Lex
Christian1297
Robocopy Skript für viele Verzeichnisse anpassen
Antworten
3
Aufrufe
637
xexex
X
X
Computer zerstört alle USB Sticks
Antworten
14
Aufrufe
1.495
chrigu
chrigu
knoxxi
Linux Mint 21.2 Cinnamon "Victoria", Plex Media Server findet keine Daten
Antworten
9
Aufrufe
889
knoxxi
knoxxi
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz