edocom 10 Geschrieben 8. Juni 2014 Melden Teilen Geschrieben 8. Juni 2014 Hallo Leute Wir stecken hier ziemlich im Schlamassel! Wir haben einen neuen Fileserver erstellt auf Windows 2012 R2. Neue Ordner angelegt und die Berechtigungen gesetzt. Jetzt ist es so, dass in einem Ordner (nennen wir ihn A) mehrere Unterordner mit verschiedenen Berechtigungen sind. Die Laufwerke werden per GPO gemappt. Nun ist uns aufgefallen, dass wir keine Dateien in das Laufwerk A verschieben/kopieren können. Von A in andere Laufwerke geht, aber in A geht nichts! Erstellen/Löschen/Lesen alles wunderbar, kopieren oder verschieben geht nicht! Wenn ich aber auf dem Client den UNC Pfad aufrufe, dann kann ich da reinkopieren, einfach in das gemappte Laufwerk nicht :( Das Client OS ist Windows 8.1 SP1 Das müsste Morgen laufen :( weiss jemand Rat??? Vielen Dank... Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 8. Juni 2014 Melden Teilen Geschrieben 8. Juni 2014 Moin, naja ... hier wäre es irgendwie hilfreich zu wissen, wie die Berechtigungen aussehen und mit welchen Konto der Zugriff erfolgt - meinst du nicht? Gruß, Nils Zitieren Link zu diesem Kommentar
edocom 10 Geschrieben 8. Juni 2014 Autor Melden Teilen Geschrieben 8. Juni 2014 hi, so habe jetzt herausgefunden an was es liegt, es ist die ZUGRIFFSBERECHTIGTE AUFZÄHLUNG, wenn die aktiv ist, dann kann ich nichts in die freigaben hinenkopieren, wenn ich die deaktivieren, dann kann ich es normal brauchen! sehe dann allerdings alle Ordner! Es ist so: \\server\freigabe -> jeder -> ordner auflisten \\server\freigabe -> admin -> vollzugriff \\server\freigabe\ordnerA -> gruppeA -> vollzugriff \\server\freigabe\ordnerB -> gruppeB -> vollzugriff das Problem ist jetzt, dass auch die gruppeA die Ordner der gruppeB sieht, kann aber nicht drauf zugreiffen! Auf Windows 2008 R2 ging diese Zugriffsaufzählung tadellos, bei 2012 R2 habe ich jetzt Probleme :( Zitieren Link zu diesem Kommentar
Xanathos 10 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Wie hatte ich das gelernt, Gruppe Jeder raus und dafür Benutzer rein. Jeder bedeutet das alle die Ordner sehen können. Daran kann es nicht liegen? :) Zitieren Link zu diesem Kommentar
edocom 10 Geschrieben 9. Juni 2014 Autor Melden Teilen Geschrieben 9. Juni 2014 Das WARS! :) habe jeder durch Domänen User ersetzt und jetzt geht's! Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Moin, äh - nö. "Jeder" enthält auch die Domänen-Benutzer, diese Änderung kann es also nicht gewesen sein. Schauen wir uns deine Zugriffsberechtigungen mal an, dann wird aber klar, woran es liegt. Du hast dir mit den Freigabeberechtigungen selbst ein Bein gestellt. Wenn man sowohl auf Freigabe-Ebene als auch auf NTFS-Ebene Berechtigungen setzt, dann gilt immer die daraus entstehende stärkste Einschränkung. Auf Freigabeebene hat "Jeder" nur Leserechte, also kann kein höherer Zugriff als "Lesen" erfolgen - egal, wieviel auf NTFS-Ebene gewährt ist. Aus diesem Grund rät man dazu, dass auf Freigabe-Ebene immer "Jeder: Vollzugriff" gelten sollte (auch bekannt als "Null-ACL", weil es effektiv keine Einschränkung gibt) und alle Berechtigungen nur auf NTFS-Ebene gesetzt werden. Nur so hat man die Gewähr, dass die NTFS-Berechtigungen 1:1 und in jeder Situation gelten. Gruß, Nils 2 Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Als Zusatz: Nicht-Adminfruppen würde ich auch keinen Vollzugriff geben, sondern nur Ändern. Dann spielen die nicht an den Berechtigungen rum. Zitieren Link zu diesem Kommentar
Xanathos 10 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 @NilsK naja, so hat mir das halt erklärt. Das man Jeder rausschmeissen sollte und durch Benutzer ersetzten soll. Da sonst alle jeder sind und alles sehen können, Daher nur auf Benutzer. (Wie weiter oben Beschrieben, konnte Ordner auch von anderen gesehen werden). Kann ja in der Praxis anders gehandhabt werden :) Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Moin, Als Zusatz: Nicht-Adminfruppen würde ich auch keinen Vollzugriff geben, sondern nur Ändern. Dann spielen die nicht an den Berechtigungen rum. das würde ich nur dann tun, wenn es Bedarf dafür gibt. Wenn man es nicht braucht, fällt es einem sonst auf die Füße. @NilsK naja, so hat mir das halt erklärt. Das man Jeder rausschmeissen sollte und durch Benutzer ersetzten soll. Da sonst alle jeder sind und alles sehen können, Daher nur auf Benutzer. (Wie weiter oben Beschrieben, konnte Ordner auch von anderen gesehen werden). "Jeder" ist seit Windows XP SP2 identisch mit "Authentifizierte Benutzer". Vorher galt die Empfehlung, auf die du dich beziehst (Ausnahme: Freigabeberechtigungen, siehe oben), seither nicht mehr. Und "Benutzer" sind in Wirklichkeit auch "alle" ... wenn man also etwas einschränken will, entfernt man "Jeder", "Authentifizierte Benutzer" und alle anderen Pauschalgruppen und trägt nur noch die (selbst erzeugten) Gruppen ein, die für die gezielte Berechtigung notwendig sind. Und ganz bestimmt: Für die Verhaltensänderung im hier diskutierten Fall kann ein Ersatz von "Jeder" durch "Benutzer" nicht sorgen. Gruß, Nils Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Ich glaube, Du hast mich missverstanden. Dein Satz oben ergibt keinen Sinn Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Moin, hm - jetzt verstehe ich nicht. ;) Nach meinem Verständnis schrobst du, du würdest auf Freigabe-Ebene nicht "Jeder: Vollzugriff setzen, sondern Nicht-Admins nur "Ändern". Darauf bezog ich mich und meinte, dass ich die Regel, auf Freigabe-Ebene "Null-ACLs" zu setzen, nur dann einschränken würde, wenn es konkreten Bedarf dafür gibt. Sonst wundert man sich - ähnlich dem TO hier - später drüber, warum die NTFS-Berechtigungen nicht so greifen, wie sie da stehen. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Ich habe auch die Erfahrung gemacht, dass man normalen Users nur das Recht "ändern" geben sollte. Das reicht und macht auch nie Probleme. Das Gegenteil kann zu seltsamen Fehlern führen. Z.B. wenn die Backup-Software plötzlich einige Dateien und Ordner nicht mehr sichern mag. Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Moin, Das Gegenteil kann zu seltsamen Fehlern führen. Z.B. wenn die Backup-Software plötzlich einige Dateien und Ordner nicht mehr sichern mag. dann hat man dem Dienstkonto der Backup-Software nicht die richtigen Rechte gegeben. Anders als oft angenommen, muss das Konto nicht Adminrechte haben, sondern das Benutzerrecht (Privileg) "Sichern von Dateien und Verzeichnissen". Dann kann es immer sichern, auch wenn ihm die Zugriffsberechtigung verweigert wurde. Gruß, Nils PS. Ja, wird mal wieder Zeit für ein Grundsatz-FAQ. :) 1 Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Das ist der Unterschied, wenn man täglich mit seltsamen Ideen der User zu tun hat oder in einem Systemhaus arbeitet ;) Wirklich, wir hatten das mal so gemacht und nur Stress damit. Der Sicherungs-User hatte Adminrechte und konnte trotzdem nicht sichern. Das war aber nur eines der Probleme. Lustiger ist es, wenn ein User mit Besitzerrechten die NTFS-Rechte für andere User im Gruppenlaufwerk beschränkt. Welche Nachteile hat man den, wenn man es macht ? Ich erkenne keine. Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 9. Juni 2014 Melden Teilen Geschrieben 9. Juni 2014 Moin, welche Nachteile hat man, wenn man was macht? Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.