Permissions auf SMB Shares

[loldemort 10]

Hallo zusammen,

 

ich habe da ein Problem, bei dem ich nicht wirklich verstehe, wo mein Fehler liegt. 

Über eine GPO werden gruppenbasiert Netzlaufwerke zugewiesen. Diese sollten verschiedene Zugriffsstufen haben - in meinem Fall "lesend" und "schreibend". Die Bereitstellung der Laufwerke klappt auch wunderbar, allerdings werden die Berechtigungen, die auf den Dateien liegen, total durcheinander gebracht, sobald ein User dann Daten von A nach B kopiert. 

Dabei wird die Berechtigung "Jeder" grundsätzlich mit vergeben, was dafür sorgt, dass ein User, der eigentlich nur "lesen" können sollte, auf einmal auch schreiben darf. 

 

Gibt es eine Möglichkeit, die "Jeder"-Berechtigung zu verbieten? Im Einsatz sind Windows Server 2012R2 und Windows 8.1

 

Vielen Dank schon mal!

[lefg 276]

Hallo und Willkommen am Board :),

 

ob das etwas mit Berechtigung auf die Freigabe(n) oder mit Berechtigung auf Ordner(Sicherheit, NTFS) etwas zu tun hat?

bearbeitet 18. Juni 2014 von lefg

[daabm 1.375]

...da wäre schon interessant, welche Ordnerberechtigungen in A und B gesetzt sind...

[loldemort 10]

Ich habe da ein paar Screenshots gemacht. 

Zuerst ein Ordner innerhalb der Freigabe. 

Das ist die Gruppe, die nur lesend zugreifen soll.

Für die Gruppe, die auch schreiben darf, sieht das folgerichtig so aus:

Wenn ich jetzt den Ordner, dessen Berechtigungen ich gerade habe anzeigen lassen, stumpf kopiere,

lande ich bei:

 

Ist das verständlich?

[lefg 276]

Moin,

 

ich denke mal, das Stichwort ist Vererbung.

 

Wenn eine Datei in einen anderen Ordner kopiert wird, dann erbt sie die Berechtigungen dieses Ordners so die Vererbung nicht unterbrochen ist.. Die Berechtigungen auf eine Datei sind keine Eigenschaft der Datei selbst, sondern Eigenschaften des Ordners, gespeichert in der Access Control List des Ordners,

 

Was könnte man vielleicht tun? In den Eigenschaften, Sicherheit des Ordners die Vererbung auf die untergeordneten Objekte unterbrechen und für die einzelnen Objekte die Berechtigungen von Hand kontrollieren.

bearbeitet 18. Juni 2014 von lefg

[loldemort 10]

Ok, dann teste ich das mal. Gibt es irgendwie eine Möglichkeit, das auch für die ganzen Ordner in der Freigabe zu machen?

Ist icacls dazu eventuell in der Lage?

 

/edit: Ja, ist es. 

bearbeitet 18. Juni 2014 von loldemort

[Daniel -MSFT- 129]

Mal als Anmerkung: Wenn Du die Berechtigungen der Dateien behalten willst, helfen Berechtigungen auf den Ablageort nicht weiter. Spätestens wenn die Dokumente per USB-Stick oder E-Mail ausgetauscht werden, greifen keine ACLs von den Ursprungsordnern. Hier brauchst Du entsprechende Schulungen für die Mitarbeiter, damit die Art und Weise, wo und wie die Dokumente geschützt sind, klarer sind. Um Dokumente basierende auf dem Inhalt überall zu schützen, solltest Du Dir Rights Management anschauen.

[loldemort 10]

Hallo Daniel,

 

das ist den Usern bewusst und die wurden auch darauf getrimmt, die Dateien genau dort zu bearbeiten, wo sie liegen. Das Rights Management kann ich mir beizeiten mal anschauen. 

Im Moment probiere ich, icacls davon zu überzeugen, sich mit dem UNC Pfad zu befassen. 

[daabm 1.375]

Im Moment probiere ich, icacls davon zu überzeugen, sich mit dem UNC Pfad zu befassen. 

 

Wo ist da das Problem? (Wenn Du nicht auf Share-Ebene keinen Vollzugriff hast, natürlich :cool: )

[loldemort 10]

Hm. Nachdem ich jetzt mit icacls einmal icacls * /remove Jeder /t und icacls * /inheritance:e /t auf die Dateien im Share los gelassen habe, tritt nach dem Kopieren wieder Jeder in den Sicherheitseinstellungen auf. So war das irgendwie nicht gedacht, oder?

[lefg 276]

Hallo,

 

ich denke mal, die Datei erbt die Berechtigung vom Ordner.

bearbeitet 2. Juli 2014 von lefg

[loldemort 10]

Hi,

 

abgesehen davon, dass es /inheritance:d und nicht :e heißen muss, habe ich das jetzt noch einmal getestet - und ebenfalls auf dem Share noch mal die Security-Settings angeschaut und dort ebenfalls die Vererbung deaktiviert. Leider ist die Berechtigung "Jeder" weiterhin vorhanden...um das noch mal kurz zusammen zu fassen:

 

- Auf dem Share an sich: Vererbung deaktiviert, nur die AD-Gruppen hinterlegt

- Auf den Dateien: Vererbung deaktiviert (via icacls), nach dem Kopieren trotzdem die zusätzliche Berechtigung

[lefg 276]

Also,

 

ich habe mit dem Explorer bei einer Textdatei den Haken entfernt bei "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" und dann alle Berechtigungseinträge entfernt.

 

Wenn ich nun eine neue Datei erzeuge, dann erbt bekommt diese die Einstellungen des Ordners (vererbt).

 

Kopiere ich eine Datei aus einen anderen Ordner, dann werden die alten Berechtigungen entfernt, ersetzt, die Datei erhält die Berechtigungen von ihrem übergeordnneten Objekt, ihrem neuen Speicherort, dem Ordner.

 

Von einer Arbeitsstation aus entferne ich bei einer Datei den Haken, entferne die Berechtigungen. Als Benutzer übernehme ich den Besitz der Datei, danach weise ich mir die Berechtigung darauf zu. Es werden keine Berechtigungen des Ordners übernommen, da der Haken nicht gesetzt ist bei  "Vererbbare Berchtigungen des übergeordneten Objektes einschließen".

bearbeitet 3. Juli 2014 von lefg

[daabm 1.375]

...und Share-Berechtigungen sind für die NTFS-Rechte (mit denen Du nicht klarkommst) ohne BElang. Zeig doch mal einen icacls von einem Ordner, in dem eine Datei "Jeder" bekommt.

 

PS: Es wird nicht "geerbt", sondern "vererbt". Und zwar nur beim Erstellen eines Objekts, das bekommt die Rechte von Oben geerbt (immer!). Und danach ändert sich daran nie wieder was, wenn man nicht von oben wieder durchvererbt. "Geerbte" ALCs hängen genauso direkt am Objekt wie nicht geerbte, die haben nur zusätzlich ein Bitflag "inherited" gesetzt.

[extraherb 0]

Hallo,

 

vielleicht werden die Dateien ja auch "verschoben". Innerhalb einer Partition beleiben dann die Berechtigungen, im Gegensatz zu kopieren, dann erhalten.

 

Gruß

herb