Warum nicht eine Nummer schlichter: dem Nutzer in diesem speziellen Ordner nur Rechte zum Erstellen neuer Dateien geben, aber nicht zum Löschen oder Verändern und ggfls auch nicht zum Ansehen.
Wäre eine Vorgehensweise, die schon seit Jahrzehnten so angewandt wird - schon vor 25 Jahren auf Novell-Servern, und auch heute haben Macs so einen Ordner pro User, damit sich Nutzer gegenseitig Dateien zustellen können.

Wieso schlicht? Genau richtig! Falls die Anforderung korrekt formuliert ist.

Gruß
K-H

Schon mal ein sehr interessanter Ansatz mit den "nur Schreibrechten" Ich müsste die Dateien in einem temp Ordner erzeugen und danach in das geschützte Archiv verschieben. Das würde funktionieren.

Ich habe in der gleichen Anwendung auch eine zweite Anforderung die mich doch dazu zwingt die Berechtigung an die Anwendung oder die Berechtigung auf den Speicherort zu übergeben. Der Hintergrund, es gibt Mitarbeiter die Bilder über Ihre Kamera erzeugen und diese zu einem Vorgang speichern. Diese Bilder dürfen Sie von der Anwendung aus anschauen und ausdrucken aber nicht löschen oder verändern. Die Anwendung muss also die Bilder zu einem Vorgang anzeigen können. Über den Explorer darf jedoch der Anwender nicht in diesen Ordner eingreifen können auch nicht lesend. Über die Anwendung wird nämlich protokolliert wann ein Bild eingestellt wurde, wann es von welchem User angesehen, gedruckt, exportiert u.s.w wurde. Die ganzen Aktionen werden über Berechnungen von der Anwendung aus gesteuert. Es gibt user die dürfen Ihre eigene Bilder nicht einsehen. Dann gibt es welche die dürfen irgend welche Bilder exportieren und sogar löschen. Wie gesagt, alles geregelt von der Anwendung heraus. Die Dokumente in die DB abzulegen währe die einfachste Methode. Dagegen spricht leider die riesige Anzahl der Dokumente und dessen Größe.

Gruß Kostas

Statt mit lokalen oder Domainen Userrechten rumzufrickeln hätte ich auch sowas wie DB server vorgeschlagen. Hier hat man tatsächlich dann viel Overhead.
Aber es gibt ja auch andere Server mit separater Authentifizierung und Autorisierung:
Webserver (die sehr gut Bilder hosten können).

Ggf kann sowas auch gleich mit "fertigen" Komponenten wie nextcloud o.ä. gelöst werden.

Die (versteckten) Windows Freigaben setzen wohl einen separaten Server voraus, da Mehrfachanmeldung (2. User mit anderen Rechten) am gleichen nicht geht.
Die "Unsichtbarkeit" einer Freigabe finde ich jetzt nicht so sicher.

Wenn man die Daten per Webserver anzeigen lässt, kann man sie auch per Webserver schreiben lassen, das ist jetzt auch nicht soviel Unterschied (Download und Upload sind ja jetzt auch nicht so überaus exotische Vorgänge )

Versteckte Freigaben sind nicht wirklich die sicherste Alternative, unbestritten. Aber dass unterschiedliche Nutzer mit unterschiedlichen Rechten benötigt werden, ist hier ja nicht gegeben. Es gibt wohl eine Anwendung, die zwar von n Leuten genutzt wird, aber nur die Anwendung muss mit einem einzigen Benutzer (ggfls. von n Arbeitsplätzen) auf die Freigabe zugreifen können.

Und der Rechtekonflikt zwischen mehreren Nutzen mit unterschiedlichen Rechten auf eine Freigabe besteht nur dann, wenn man diese von "einem" Windowsrechner aus einrichten will, dann gibts Probleme. Aber eine Freigabe kann durchaus von unterschiedliche Nutzer mit unterschiedlichen Rechten genutzt werden. Nur eben nicht zeitgleich von "einem" Rechner aus.

Prinipiell kann man aber eine Freigabe einrichten und allen Nutzern, die diese benötigen, eigene Rechte geben, also denen die nur schreiben dürfen ausschließlich Schreibrechte und denen, die auch Bilder anzeigen lassen dürfen, Lese- und Schreibrechte. Und diese Rechte kann mann ggfls. auch auf Dateiebene vergeben.

Man könnte also durchaus durch das Programm selbst den Nutzern, die Bilder speichern dürfen, ausschließlich für diese Bilder das Leserecht einräumen. Sie müssen nicht zwangsläufig dann auch ein Leserecht auf alle Dateien erhalten.

Die Frage die sich stellt: Wieviel Aufwand ist man bereit zu treiben, um eine anforderungskonforme Rechteverwaltung aufzusetzen.

Das wesentliche Problem ist hier erstmal: Was will man genau?
Wenn das klar ist, kann man das mit Sicherheit umsetzen. Fraglich ist halt nur, mit welchem Aufwand und ist man bereit den zu betreiben.

Natürlich, ich hoffe ich habe nichts anderes gesagt.

Also ich bin einfach davon ausgegangen, dass es eine bestehende Domäne mit einem Fileserver gibt, auf den die User bereits zugreifen. Das dürfte relativ klassisch sein, wenn man eine Windows Domäne betreibt.
In diesem Szenario ist es dann m.E. nicht möglich.

Rechteverwaltung über ein Programm stinkt doch etwas finde ich.
Der Aufwand den man treiben will, dürfte sich mit dem Einsatz bestehender Technologien (http(s) Fileserver, samba, ..) in Grenzen halten, man muss nur die Anbindung machen.

Wenn man natürlich möglichst viel proprietär aus der eigenen Anwendung heraus machen will/muss, ist es etwas anderes.

Prinzipiell hast Du mit allem Recht, es wird hier nach einer Lösung gesucht, deren Problem (für meine Begriffe) noch nicht ausreichend spezifiziert ist, um es sinnvoll und kontextgerecht lösen zu können.

Server X und Freigabe Mitarbeiterverzeichnis_B für Nutzer B
Server X und Freigabe Programmdateiablage für Nutzer B
Server X und Freigabe Programme für alle Nutzer

mit jeweils unterschiedlichen Rechten sollte gehen.

Server X und Freigabe Mitarbeiterverzeichnis_B für Nutzer B
Server X und Freigabe Programmdateiablage für Programm
Server X und Freigabe Programme für alle Nutzer

mit jeweils unterschiedlichen Rechten sollte gehen.

Server X und Freigabe Mitarbeiterverzeichnis_B für Nutzer B
Server X und Freigabe Programmdateiablage für Nutzer B
Server X und Freigabe Programmdateiablage für Programm
Server X und Freigabe Programme für alle Nutzer

wird scheitern.

Server X und Freigabe Rootverzeichnis für Alle
Server X und Freigabe Rootverzeichnis\Programmdateiablage für Programm mit anderen Rechten

wird scheitern.

Eine allgemeine Freigabe auf "alles auf dem Server" und eine spezielle Freigabe mit anderen Rechten auf ein Verzeichnis unterhalb von "alles auf dem Server" wird eher nicht funktionieren.

Eine allgemeine Freigabe eines Verzeichnisses auf einem Server schließt eine eingeschränkte Freigabe eines anderen Verzeichnisses auf dem gleichen Server nicht aus.

Was nicht geht ist: Einen Server allgemein freigeben und dann unterhalb dieser allgemeinen Freigabe eine programmspezifische, eingeschränkte Freigabe einrichten.

Ausgehend vom Eingangspost gibt es aber wohl Verzeichnisse, auf die Nutzer zugreifen können und Verzeichnisse, auf die sie nicht zugreifen können. Es gibt also keine allgemeine Freigabe auf den gesamten Server.
Hiermit sollte es möglich sein, dass das Programm sich mit einem nur ihm bekannten Nutzer einen Zugang zu diesem explizit angegebene Verzeichnis verschafft.

Und auch bei 'ner Datenbank muss man sich um die Rechte kümmern. Darf ein Nutzer nur Inserts machen oder darf er auch per select Daten lesen und wenn ja welche.

Desgleichen gilt auch für 'nen Webserver: Wer darf Daten per Upload "hinschicken" und wer darf (egal ob per Webinterface oder Download) Daten einsehen.

Man muss sich in allen Fällen 'nen Kopp darüber machen, was man will und dafür sorgen, dass dann nur die, die was dürfen, das dürfen, was sie dürfen sollen

Das grundlegende Rechteproblem bleibt also bei allen Lösungsvorschlägen erhalten, nur die Art, wie es gelöst werden kann, wird sich unterscheiden.

Bei solchen Anforderungen bietet sich eine DB an, weil dort auch die Zugriffsrechte dementsprechend gestaltet werden können. Sollte die Datenmenge zu groß sein, wofür eigentlich zu groß, klingt das für mich sehr nach "wasch mich aber mach mich nicht naß".

Gruß
K-H

P.S.
Schade daß solche Selbstverständlichkeiten immer wieder erwähnt werden müssen

Auf der Kommandozeile vergibt man solche Rechte per "Net Use" mit Delphi gehts per Komponenten: https://www.delphipraxis.net/86444-n...er-delphi.html
https://www.delphipraxis.net/159778-...ndows-7-a.html
https://stackoverflow.com/questions/...ctions/2700580

Und ja, es ist sinnvoll für eine Rechtevergabe zu sorgen, die den Nutzen alles das erlaubt, was sie dürfen. Nicht mehr und nicht weniger.

Wenn man per Programm Rechte für das Programm vergibt, die über das benötigte hinausgehen, kann man (soweit ich weiß) auch am Programm vorbei diese Rechte nutzen.

Dann gibt es unter Windows noch die versteckten Freigaben.

Normalerweise gibt man für 'ne Freigabe einfach "irgendeinentext" ein, wenn man jedoch "irgendeinentext$" als Freigabenamen vergibt, so werden sie nicht im Explorer ... angezeigt. In diesem Fall muss man die exakte Pfadangabe wissen, um die dort abgelegten Dateien einsehen zu können. Weiß man die, geht's auch vom Explorer aus.

https://www.pcwelt.de/ratgeber/Verst...tz-505954.html
https://www.com-magazin.de/tipps-tri...en-944317.html
https://www.it-administrator.de/them...ent/57847.html