Windows Server 2008 R2 Zugriffsbeschränkung auf Ordnerstrukturen

[commandcraxx]

Hallo liebe CB'ler,

da ich hauptsächlich Linux Server und Systeme administriere habe ich mal wieder ein Problem, an dem ich nicht wirklich weiterkomme. Auch das wälzen von MS - Technet und div. Google Suchen bringt mich nicht wirklich weiter, wenn man nicht zu 100% sicher ist wonach man suchen soll.

Ich versuche im Moment einen kleinen Small Busniess Server eines 10 Mann Unternehmens so zu konfigurieren, dass nicht jeder Nutzer einfach so die Berechtigungen von Ordnern auf einem Netzlaufwerk ändern kann. Heißt ich habe Standardbenutzer im AD die einfach so die Berechigungen auf Ordner im Share ändern können von denen Sie nicht mal der Besitzer sind. Die übergeordneten Einträge kann der Benutzer allerdings nicht ändern. Warum auch immer das so ist. Ich möchte die Vergabe der Berechtigungen speziell zwei administrativen Konten zuweisen und für alle anderen sperren. So dass der Sicherheitstab ohne die entsprechenden Berechtigungen nicht veränderbar ist.

Kann man das unter Windows Server 2008 R2 irgendwie realisieren. Wenn ja, wonach muss ich suchen, dass ich eine ansprechende Dokumentation zu dem Thema finde?

Vielen Dank im voraus.

 

[LieberNetterFlo]

na, die Berechtigung hängt ja am Dateisystem, also NTFS. Wenn ein Benutzer Vollzugriff hat kann er die Berechtigung ändern, hat er nur "Ändern" Zugriff kann er nur Dateien/Ordner erstellen, nicht aber die Berechtigungen ändern.

Vielleicht sind deine Benutzer ja in einer Gruppe welche Vollzugriff hat? Dann erben Sie ja die Berechtigung.

Unter Sicherheit -> Erweitert gibt es einen Reiter "Effektive Berechtigung", damit kannst du prüfen was der Benutzer konkret kann.

 

[Yuuri]

Kann man das unter Windows Server 2008 R2 irgendwie realisieren. Wenn ja, wonach muss ich suchen, dass ich eine ansprechende Dokumentation zu dem Thema finde?

Du gehst einfach in den Reiter Sicherheit vom Ordner und stellst dort alles ein.

Als Besitzer wählst du die Administratoren-Gruppe (such direkt nach Administratoren und klick aufs Knöpfchen Suchen rechts daneben, dann sollte es unterstrichen werden), teilst ihnen Vollzugriff zu und für den Rest kannst du einfach die "Authentifizierte Benutzer"-Gruppe (sind User mit gültigen Login-Daten) bzw. alternativ eben nur jene User oder dessen Gruppe hinzufügen und denen Lese- und Schreibrechte geben (aber nicht Vollzugriff). Daraus machst du dann erbbare Berechtigungen und es sollte stimmen, wenn ich deinen Plan jetzt so verstanden haben sollte.

 

[fatal_error]

Lege dir eigene Berechtigungs-Gruppen an. Arbeite nicht mit den Standard-Gruppen, das bringt nichts. Sollte die Umgebung einmal wachsen bist du froh wenn du eigene Gruppen auf Freigaben hast.

 

[nittels]

Ich gehe mal davon aus, dass die User nicht direkt am Server arbeiten, sondern über Freigaben. Dann hast du 2 Berechtigungsstufen; einmal auf Freigabeebene und einmal auf Ordnerebene. Außerdem wäre bei 10+ Mann eine Domäne schon recht hilfreich.

Normalerweise macht man es so:

1) Freigabe erstellen und Freigabeberechtigung mit Everyone Fullcontrol (Security fackelt man auf Ordnerebene ab)
2) Im ADS 2 Gruppen erstellen, einmal "Gruppenname_read" und einmal "Gruppenname_change", wobei im Gruppennamen Bezug auf das Share genommen werden soll (Vielleicht auch auf den Fileserver, aber das ist Geschmacksache)
3) Auf Ordner Securityebene der Change Gruppe das "Change" Recht geben, der Read Gruppe "Read/Execute".
4) Die ADS User Accounts in die Entsprechenden ADS Gruppen reinpflanzen

Das machst du für jedes Share. Damit hast du eine saubere Berechtigungsstruktur und den Ordnerzugriff steuerst du dann nur noch über Gruppenzugehörigkeiten im ADS und brauchst den Server bzw. die Shares nimma angreifen.

Alles andere (lokale Accounts, Einzelberechtigungen von Useraccounts statt Gruppen, User die die Berechtigungen mit Full Controll selbst ändern können,...) wäre Pfusch.

 

[fatal_error]

Domäne hab ich jetzt vorausgesetzt, aber besser als es "nittels" erklärt hat gehts eigentlich nicht.

 

[commandcraxx]

na, die Berechtigung hängt ja am Dateisystem, also NTFS. Wenn ein Benutzer Vollzugriff hat kann er die Berechtigung ändern, hat er nur "Ändern" Zugriff kann er nur Dateien/Ordner erstellen, nicht aber die Berechtigungen ändern.

Vielleicht sind deine Benutzer ja in einer Gruppe welche Vollzugriff hat? Dann erben Sie ja die Berechtigung.

Unter Sicherheit -> Erweitert gibt es einen Reiter "Effektive Berechtigung", damit kannst du prüfen was der Benutzer konkret kann.

Danke für den Tipp.

Ich hab nicht in die erweiterten Berechtigungen geschaut.
Ich hab bereits einen guten Aufbau was die Steuerung der Zugriffe über Gruppen betrifft und ich habe auch den Vollzugriff vermieden , aber gibt es noch mehr Literatur zu diesem Thema? Also etwas was Best Practices behandelt?