Jump to content

Sicherheitseinstellungen/ Erweiterte Sicherheitseinstellungen


Direkt zur Lösung Gelöst von Kevin Flynn,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin! Ich möchte einen Ordner in der Domäne freigeben. Nur bestimmte Sicherheitsgruppen, die ich zuvor im AD erstellt habe, sollen Zugriff auf diesen Ordner haben.

 

Gibt es eine Art Empfehlung/ Anleitung wie die Sicherheitseinstellungen und die erweiterten Sicherheitseinstellungen gesetzt sein sollten, um den Zugriff vor unberechtigen Personen zu schützen? Kann ich die Gruppe SYSTEM und ERSTELLER-BESITZER bedenkenlos löschen und dann einfach nur die Sicherheitsgruppen eintragen, die Zugriff erhalten sollen, oder gibt es hier etwas zu beachten? Die sind immer standardmäßig eingetragen deswegen.

 

Danke!

Link zu diesem Kommentar

Was spricht gegen einen Test?

Bis auf das ich bisher nicht herausbekommen konnte, wozu diese Gruppen gut sein sollen, eigentlich nichts! :)

Und warum willst Du die Voreinstellungen löschen?

 

Du sollst die Frage nicht mir beantworten sondern dir selbst!

 

Und falls man die Voreinstellung löscht und es einem später nicht mehr gefällt, dann fügt man sie wieder hinzu.

Ich hab mir die Frage ja schon beantwortet, "Weil ich ne saubere Berechtigungsstruktur haben will ohne Gruppen, die ich im AD gar nicht anwende" (und auch nicht finde...), halt nur stell ich mir dann auch die Frage, ob diese Gruppen evtl. andere wichtige Funktionen haben o.ä., so dass ich sie drin lassen sollte vielleicht.

 

Ja so kann man das natürlich mal machen dann...

Link zu diesem Kommentar

Servus ajuranah,

 

 

Bis auf das ich bisher nicht herausbekommen konnte, wozu diese Gruppen gut sein sollen, eigentlich nichts! :)

Kommt wohl auf die eigenen vorgenommen  Einstellungen an.

 

Grundsätzlich hat der Ersteller, als auch die System- und  Administratorengruppe, Vollzugriff auf neu erstellte Ordner.

Natürlich kann man diese Berechtigungen nach belieben verändern. Der lokale Admin (Superuser) kann sich sogar selbst den Zugriff verweigern, respektive einschränken.

Das macht auch durchaus Sinn.

 

 

Moin! Ich möchte einen Ordner in der Domäne freigeben. Nur bestimmte Sicherheitsgruppen, die ich zuvor im AD erstellt habe, sollen Zugriff auf diesen Ordner haben.

 

Dies realisiert man besten über eine GPO. Dort würde ich einfach ein Laufwerk mappen der den Ordner beinhaltet - und nur für Gruppen mit entsprechenden Rechten einsehbar ist. Auch das DFS zwingt sich hier meiner Meinung nach geradezu auf.

bearbeitet von Kevin Flynn
Link zu diesem Kommentar

 

Dies realisiert man besten über eine GPO. Dort würde ich einfach ein Laufwerk mappen der den Ordner beinhaltet - und nur für Gruppen mit entsprechenden Rechten einsehbar ist. Auch das DFS zwingt sich hier meiner Meinung nach geradezu auf.

 

Hm, diese Aussagen erstaunen mich doch. Warum eine Freigabe über GPO? Wie über GPO? Oder ist damit gemeint Netzlaufwerk per GPO? Und wozu DFS in diewsem Fall?

Link zu diesem Kommentar

Edgar, best practice aus dem täglichen Leben:

 

  • ABE aktivieren, Mapping auf ein Stammverzeichnis -> jeder sieht nur, worauf er auch Rechte hat, und ich muß beim Wechsel von Rollen/Rechten des Users keine Mappings mehr anpassen.
  • DFS-Namespace nehmen, damit verschwindet der Servername aus dem Mapping und aus allen UNC-Pfaden. Bei Serverumzug muß ich dann auch nichts mehr anpassen außer dem Ordnerziel in der DFS-Verwaltung.

So einfach kann das Leben sein :)

Link zu diesem Kommentar

Servus ajuranah,

 

Kommt wohl auf die eigenen vorgenommen  Einstellungen an.

 

Grundsätzlich hat der Ersteller, als auch die System- und  Administratorengruppe, Vollzugriff auf neu erstellte Ordner.

Natürlich kann man diese Berechtigungen nach belieben verändern. Der lokale Admin (Superuser) kann sich sogar selbst den Zugriff verweigern, respektive einschränken.

Das macht auch durchaus Sinn.

 

Servus Kevin Flynn,

 

ich habe mich die letzte Nacht intensiv mit NTFS und Freigaben und Sicherheitsgruppen etc. auseinandergesetzt. An der Stelle noch mal Danke an Sunny für den Link zu faq-o-matic, die Seite ist nen Traum!

 

Kevin, könntest du evtl. paar Beispiele nennen, wie die NTFS Rechte aus deiner Sicht konfiguriert werden sollten. Wie konfigurierst du die NTFS-Rechte denn und warum? Das würde mich interessieren.

 

 

Dies realisiert man besten über eine GPO. Dort würde ich einfach ein Laufwerk mappen der den Ordner beinhaltet - und nur für Gruppen mit entsprechenden Rechten einsehbar ist. Auch das DFS zwingt sich hier meiner Meinung nach geradezu auf.

 

Ich habe einen Windows 2008R2-Server (Enterprise) zum DC gemacht und konnte nur Dateidienste auswählen. Ich kann die Rolle DFS nicht finden. Wo versteckt nen die sich? Oder muss ich einen weiteren Server dazu aufsetzen?

 

Danke!

Link zu diesem Kommentar

Ich habe einen Windows 2008R2-Server (Enterprise) zum DC gemacht und konnte nur Dateidienste auswählen. Ich kann die Rolle DFS nicht finden. Wo versteckt nen die sich? Oder muss ich einen weiteren Server dazu aufsetzen?

 

Du solltest langsam aber sicher anfangen, dich mit Suchmaschinen auseinanderzusetzen:

http://technet.microsoft.com/de-de/library/cc732006.aspx

https://www.video2brain.com/de/videos-65929.htm

Link zu diesem Kommentar

Edgar, best practice aus dem täglichen Leben:

 

  • ABE aktivieren, Mapping auf ein Stammverzeichnis -> jeder sieht nur, worauf er auch Rechte hat, und ich muß beim Wechsel von Rollen/Rechten des Users keine Mappings mehr anpassen.
  • DFS-Namespace nehmen, damit verschwindet der Servername aus dem Mapping und aus allen UNC-Pfaden. Bei Serverumzug muß ich dann auch nichts mehr anpassen außer dem Ordnerziel in der DFS-Verwaltung.

So einfach kann das Leben sein :)

Klingt spitze, Danke für die Infos!

Du solltest langsam aber sicher anfangen, dich mit Suchmaschinen auseinanderzusetzen:

http://technet.microsoft.com/de-de/library/cc732006.aspx

https://www.video2brain.com/de/videos-65929.htm

Haha, da bin ich schon Profi drin! :D

 

Ich diskutier die Themen mit Gleichgesinnten in einem Forum wie diesem hier, wo sich auch erfahrene Admins/ Spezialisten finden...so bekomme ich zu den jeweiligen Themen Feedback von mehreren Seiten und kann mir dadurch auch eine bessere Meinung bilden, als nur das Thema in ne Suchmaschine zu kloppen, zu lesen und fertig.

 

Dazu ist ein Forum da. Wer sich an der Diskussion nicht beteiligen möchte, kann sich ja einfach raus halten find ich! :) P.s.: Danke für die Links!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...