AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne
Thema durchsuchen
Ansicht
Themen-Optionen

Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne

Ein Thema von ZOD · begonnen am 13. Okt 2017 · letzter Beitrag vom 13. Okt 2017
Antwort Antwort
ZOD

Registriert seit: 6. Mai 2009
97 Beiträge
 
#1

Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne

  Alt 13. Okt 2017, 15:31
Betriebssystem: Win 10
Vorbemerkung:
meine Frage ist sicher an anderer Stelle (wahrscheinlich auffindbar per Google) behandelt.
Ich habe mich hier auch schon versucht schlau zu machen. Aber am Ende bin ich wohl
aufgrund fehlenden oder falschen Verständnis bisher im Kreis gelaufen und ohne Lösung.

Hier also die Situation:
Windows Domäne mit DC, in der eine virtuell Maschine (Hypervisor VMWare ESXi 5.5, OS der VM Win2012R2) als Dateiserver funktioniert. Für ein Unterverzeichnis (nennen wir es "A") auf einem Laufwerk dieser Maschine ist eine Freigabe eingerichtet (nennen wir sie "Freigabe1"). In diesem Verzeichnis "A" sind weitere Unterverzeichnisse (nennen wir sie "A1", "A2" bis "An") angelegt.

Also ungefähr so:

Code:
Laufwerk D: der VM
|
+--A  <- freigegeben mit "Freigabe1"
   |
   +-A1 
   |
   +-A2 
   |
   .
   .
   +-An
Die Rechte der einzelnen Domänenbenutzer und Domänenbenutzergruppen ist über die "Sicherheitseinstellung" für jedes Verzeichnis eingestellt. Beispielhaft hat Benutzergruppe "Test1" Schreib/Lese Zugriff auf Verzeichnis "A2" und Benutzergruppe "Test2" Schreib/Lesezugriff auf die Verzeichnisse "A1" und "A3".
Das funktioniert auch alles wunderbar.

Das Problem:
wenn ein Benutzer sich die "Freigabe1" als Netzwerklaufwerk anlegt, soll er z.B. im Windows Explorer nur die
Verzeichnisse sehen, für die er auch Lese bzw. Schreib/Leserechte durch die "Sicherheitseinstellungen" hat (z.B. durch die Zugehörigkeit zu Domänen-Benutzergruppen).
Im Beispiel soll Benutzergruppe "Test1" also nur das Verzeichnis "A2" und Benutzergruppe "Test2" die Verzeichnisse "A1" und "A3" angezeigt bekommen.

Ich denke, das lässt sich mit den Sicherheitseinstellungen und den "Erweiterten Berechtigungen" machen .. aber wie?
Derzeit habe ich folgende Erweiterte Berechtigungen gewährt:

Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen

Wenn ich "Ordner auflisten / Daten lesen" nicht gewähre, bekommt der Benutzer einen Fehler beim Zugriff auf das Netzwerklaufwerk.

Danke für Tips und Entknotung meines Gehirns zu diesem Problem.
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#2

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne

  Alt 13. Okt 2017, 16:08
Ein Verzeichnislisting ist binär: entweder ein Nutzer kann alle Unterverzeichnisse sehen oder er kann keine Unterverzeichnisse sehen (weil er gar keine Leserechte auf das Verzeichnis hat). Ich kenne auch kein OS, was sowas könnte. Oder anders ausgedrückt: das, was du vorhast, geht so nicht. Jeder Nutzer mit mindestens Lesezugriff auf "Freigabe1" kann alle Unterverzeichnisse "A1", "A2" usw. dort sehen.

Ein Einsehen der Unterverzeichnisse in "Freigabe1" heißt aber noch lange nicht, dass ein Nutzer für selbige auch Rechte hat, d.h. passe die Zugriffsrechte für die Unterverzeichnisse "A1" & Co entsprechend an, und du hast mehr oder weniger, was du erreichen willst. Alternativ kannst du mehrere Freigaben erstellen (ggf. unter Verwendung separater Verzeichnisse und Junctions), die unterschiedliche Berechtigungen haben. Und beachte den Unterschied und das Zusammenspiel von Freigabebrechtigungen und (NTFS-)Zugriffsrechten.

Grüße
Dalai

Geändert von Dalai (13. Okt 2017 um 16:46 Uhr) Grund: kleine Ergänzung und Typo
  Mit Zitat antworten Zitat
ZOD

Registriert seit: 6. Mai 2009
97 Beiträge
 
#3

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne

  Alt 13. Okt 2017, 16:26
Hallo Dalai,

danke für deine Antwort.

Nur zur Info:
sämtliche Novell Rechteverwaltungen (aktuell ist die NDS NovellDirectoryService) konnten das problemlos. Nur Verzeichnisse, für der Benutzer explizit (via Benutzerrechte) oder implizit (via Gruppenrechte von Gruppen, bei denen ein Benutzer Mitglied ist) sind für den Benutzer sichtbar. Verzeichnisse, für die der Benutzer keine Rechte hat, werden nicht angezeigt.

Ich meine, dass ist in Unix und Linuxsystemen auch so - bin hier aber zu lange aus dem Thema raus, um sicher zu sein.

Irgendiwe hatte ich die Hoffnung, dass das Windows auch kann. Schade.

Gruß
Markus
  Mit Zitat antworten Zitat
ZOD

Registriert seit: 6. Mai 2009
97 Beiträge
 
#4

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne

  Alt 13. Okt 2017, 16:27
Nachsatz:

und ja, die Benutzer sehen zwar jetzt die Verzeichnisse - können aber aufgrund der Rechte (Sicherheit) keine Inhalte dort sehen.
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#5

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne

  Alt 13. Okt 2017, 16:58
Ich meine, dass ist in Unix und Linuxsystemen auch so - bin hier aber zu lange aus dem Thema raus, um sicher zu sein.
Ich kann mangels Kenntnis von Unix keine Aussagen dazu treffen, aber für Linxu kann ich sagen: Nope, auch dort gibt's das nicht. Samba kann es nicht, weil es logischerweise zu Windows kompatibel sein soll/muss.

Auch auf der Shell geht sowas nicht. Dort gibt es dasselbe Verhalten: sobald man die Rechte Lesen+Ausführen auf ein Verzeichnis hat, kann man alles sehen, was in diesem Verzeichnis an Unterverzeichnissen und Dateien ist. Die Berechtigungen für die jeweiligen Unterverzeichnisse und Dateien entscheiden dann darüber, wer die Inhalte selbiger lesen und schreiben kann.

Vermutlich trifft obige Aussage auch auf andere Software zu, weil ja alles unter Linux irgendwie mit den simplen RWX-Berechtigungen (und/oder den erweiterten ACLs) arbeiten muss. Vielleicht bieten neuere Dateisysteme sowas, aber da ich immer mit ext3/4 arbeite , kenne ich mich in dem Gebiet nicht aus.

Aber wie ich schon sagte: Vielleicht sind mehrere Freigaben verschiedener Verzeichnisse (ggf. mit Junctions oder Symlinks verlinkt) ein möglicher Weg.

Grüße
Dalai
  Mit Zitat antworten Zitat
Aviator

Registriert seit: 3. Jun 2010
1.611 Beiträge
 
Delphi 10.3 Rio
 
#6

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne

  Alt 13. Okt 2017, 17:28
Du kannst das schon machen. Es ist zwar etwas mehr Aufwand, aber es funktioniert.

Hierzu musst du die zugriffsbasierte Aufzählung (Access Bases Enumeration [ABE]) der entsprechenden Freigabe aktivieren.

Die Berechtigungen müssen dann so gesetzt sein, dass die Benutzer/Gruppen keine Berechtigungen auf den Unterordner haben den sie nicht sehen dürfen. Das bedeutet, dass du die Vererbung der Ordner deaktivieren und die Gruppen, die Zugriff haben sollen dort hinzufügst. Dann musst du noch das Flag "Anwenden auf" des Sicherheitsprinzipals der Zugriff haben soll entsprechend setzen. (Also "Nur dieser Ordner; dieser Ordner und Unterordner; usw.)


Anbei mal eine kleine Anleitung (auf Englisch) in der das eigentlich recht gut und ausführlich beschrieben ist: https://community.spiceworks.com/how...ion-server2012


PS: Auch Windows Server 2003 konnte das schon. Damals noch mit einem kleinen Zusatz SnapIn, das per MMC eingebunden werden konnte.
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#7

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne

  Alt 13. Okt 2017, 20:32
Oh, wieder was gelernt . Sogar bei Samba kann man das mittels
Code:
hide unreadable = yes
hide unwriteable files = yes
für jede Freigabe einstellen. Allerdings vermute ich, dass die Warnung in der Manpage zu diesen Parametern analog für Windows gilt, nämlich, dass die Auflistung großer Verzeichnisse lange dauern kann, weil alle ACLs aller Objekte geprüft werden müssen.

Grüße
Dalai
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:14 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz