AlbertMinrich 12 Geschrieben 17. Mai 2015 Melden Teilen Geschrieben 17. Mai 2015 Hallo, in diversen NTFS-BestPractises liest man immer wieder, dass man die Vererbung möglichst nicht unterbrechen soll. Solange man in tieferliegenden Ordnern nur zusätzliche Berechtigungen vergibt, kein Problem, aber wie soll man Berechtigungen wegnehmen, ohne die Vererbung zu deaktivieren? Beispiel: Es gibt die Freigabe \\Server1\Einkauf Freigabeberechtigung: Jeder:Modify NTFS-Berechtigung: Gruppe Einkauf:Modify Unterhalb gibt es u.a. den Unterordner: \Leitung Die Gruppe EinkaufLeitung soll auf den Ordner Leitung Modify-Berechtigung haben, die Gruppe Einkauf keine Berechtigung. Wie soll das gehen, ohne die Vererbung zu deaktivieren? Mir fällt dazu nur folgendes ein: - ich erstelle einen Pseudo-Ordner \\Server01\Einkauf\Pseudo, auf diesen verweigere ich der Gruppe Einkauf den Zugriff - in diesen Pseudo-Ordner kommt der Ordner Leitung, also \\Server01\Einkauf\Pseudo\Leitung - auf den Ordner \\Server01\Einkauf\Pseudo\Leitung bekommt die Gruppe EinkaufLeitung Modify-Berechtigung Ich hab´s jetzt zwar nicht ausprobiert, aber da ein explizites Allow Vorrang hat vor einem geerbten Deny, sollte es funktionieren. Aber schön finde ich das nicht. Hat jemand eine andere Idee? Danke und Gruß Martin Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 17. Mai 2015 Melden Teilen Geschrieben 17. Mai 2015 Man vergibt auf dem oberen Ordner immer nur "Nur dieser Ordner"-Rechte. Das wird dann zwar ggf. etwas aufwändiger in Abhängigkeit deiner Struktur, aber man unterbricht nirgends die Vererbung. Zitieren Link zu diesem Kommentar
AlbertMinrich 12 Geschrieben 17. Mai 2015 Autor Melden Teilen Geschrieben 17. Mai 2015 (bearbeitet) Man vergibt auf dem oberen Ordner immer nur "Nur dieser Ordner"-Rechte. Das wird dann zwar ggf. etwas aufwändiger in Abhängigkeit deiner Struktur, aber man unterbricht nirgends die Vererbung. Na ja, das bedeutet, ich (der Admin) muss die Berechtigungen für jeden Ordner unterhalb von \\Server01\Einkauf pflegen. Eigentlich stelle ich ja der Gruppe Einkauf den Ordner Einkauf zur Verfügung, damit sie sich darunter ihre eigene Ordnerstruktur einrichten kann. Wenn ich dann für jeden Ordner, der direkt unterhalb von Einkauf liegt, erst die Berechtigungen anpassen muss, ist das ja auch nicht Sinn der Sache. Ausserdem bleibt das Problem letztendlich das gleiche. Mal angenommen, ich mach es so wie du sagst, also auf \\Server01\Einkauf\Leitung hat nur die Gruppe EinkaufLeitung Zugriff. Jetzt kommt nächste Woche die Anforderung, dass auf den Ordner \\Server01\Einkauf\Leitung\ObersteLeitung die Gruppe EinkaufObersteLeitung Modify-Berechtigung haben soll, die Gruppe EinkaufLeitung keinen Zugriff. Damit stehe ich wieder vor dem gleichen Problem. Zugegeben, ein recht konstruiertes Problem, aber kann man es lösen, rein technisch gesehen? Danke Martin bearbeitet 17. Mai 2015 von AlbertMinrich Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 17. Mai 2015 Melden Teilen Geschrieben 17. Mai 2015 (bearbeitet) Wenn unterhalb von Einkauf "Berechtigungen" nicht von dir verwaltet werden, was ist dann dein Problem? ;) Wer dort Berechtigungen anpassen will/muss, sollte von dir eine Einweisung erhalten, oder du stellst deine Ordnerstruktur so um, dass nur du Berechtigungen vergeben kannst, oder so dass es nicht notwendig ist, Berechtigungen anzupassen. Bye Norbert PS: Reden wir hier von einer tatsächlichen Aufgabe, oder sind wir in Theorie und Schulungsaufgaben? bearbeitet 17. Mai 2015 von NorbertFe Zitieren Link zu diesem Kommentar
AlbertMinrich 12 Geschrieben 17. Mai 2015 Autor Melden Teilen Geschrieben 17. Mai 2015 Wenn unterhalb von Einkauf "Berechtigungen" nicht von dir verwaltet werden, was ist dann dein Problem? ;) Wer dort Berechtigungen anpassen will/muss, sollte von dir eine Einweisung erhalten, oder du stellst deine Ordnerstruktur so um, dass nur du Berechtigungen vergeben kannst, oder so dass es nicht notwendig ist, Berechtigungen anzupassen. Bye Norbert PS: Reden wir hier von einer tatsächlichen Aufgabe, oder sind wir in Theorie und Schulungsaufgaben? Die Berechtigungen werden auf jeden Fall von der IT-Abteilung gepflegt. Wenn man das die User machen lässt, das gibt nur Chaos. Und ich geb dir ja recht, man sollte die Struktur von vornherein so aufbauen, dass danach keine Änderungen mehr notwendig sind. Bloss in der Praxis wird das nicht immer möglich sein. Auf mein Beispiel bezogen, könnte ich natürlich auch den Ordner ObersteLeitung eine Ebene nach oben holen, dann gäbe es \\Server01\Einkauf\Leitung und \\Server01\Einkauf\ObersteLeitung Ist vielleicht die beste Lösung, aber vielleicht hat ja trotzdem noch jemand eine "schöne" technische Lösung, bei der der Ordner dort bleiben kann, wo er ist. Es handelt sich übrigens nicht um eine Schulaufgabe, sondern um ein Problem aus der Praxis, vor dem wir immer wieder mal stehen. Bisher haben wir in diesen Fällen an dieser Stelle die Vererbung deaktiviert, aber das soll man ja nicht machen. Gruß Martin Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 17. Mai 2015 Melden Teilen Geschrieben 17. Mai 2015 Ist doch aber einfach. Du gibst unterhalb die Rechte für die entsprechenden Ordner und auf dem Obersten Ordner setzt du "nur dieser Ordner". Dann ist der eine Ordner nach Entfernen der vererbbaren Berechtigungen nicht mehr berechtigt und kann dediziert berechtigt werden. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 17. Mai 2015 Melden Teilen Geschrieben 17. Mai 2015 Du nimmst einfach Leitung aus Einkauf raus und stellst den Ordner auf die gleiche Hierarchieebene wie Einkauf. Dann kannst Du auf beide Ordner unterschiedliche Rechte vergeben. Oder Du nutzt Einkauf als Container mit zwei Unterordnern Leitung und Team mit unterschiedlichen Berechtigungen. Oberste Leitung kann dann als dritter Ordner auch danebengestellt werden. Zitieren Link zu diesem Kommentar
AlbertMinrich 12 Geschrieben 17. Mai 2015 Autor Melden Teilen Geschrieben 17. Mai 2015 (bearbeitet) ...nach Entfernen der vererbbaren Berechtigungen... So haben wir es ja bisher gemacht. Aber, wie man immer wieder liest, soll man das ja nicht. Versteh ich ja auch. Man ändert oben die Berechtigungen und geht davon aus, dass das für alles darunter durchvererbt wird. Das irgendwo unten in der Ordnerstruktur die Vererbung ausgeschaltet wurde, sieht man ja auf den ersten Blick nicht. Außer man hat eine gute Doku oder entsprechende Tools. Du nimmst einfach Leitung aus Einkauf raus und stellst den Ordner auf die gleiche Hierarchieebene wie Einkauf. ... Oberste Leitung kann dann als dritter Ordner auch danebengestellt werden. Ja, hab ich ja auch in meiner zweiten Antwort schon so geschrieben, dass das eine mögliche (und vielleicht auch die beste) Lösung ist. Zwei andere mögliche Lösungen hab ich auch schon geschrieben, - Vererbung deaktivieren - "meine" Pseudo-Ordner Lösung die aber nicht empfohlen bzw. nicht "schön" sind. Deshalb nochmal die Frage: Gibt´s eine schöne technische Lösung, bei der der Ordner bleiben kann, wo er ist? Gruß Martin bearbeitet 17. Mai 2015 von AlbertMinrich Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 17. Mai 2015 Melden Teilen Geschrieben 17. Mai 2015 Wieso soll man nicht? Entweder du entfernst die vererbbaren Berechtigungen oder du unterbrichst die Vererbung. Das sind zwei Möglichkeiten. Und die dritte hat dir Daniel genannt. Zitieren Link zu diesem Kommentar
AlbertMinrich 12 Geschrieben 17. Mai 2015 Autor Melden Teilen Geschrieben 17. Mai 2015 Wieso soll man nicht? Entweder du entfernst die vererbbaren Berechtigungen oder du unterbrichst die Vererbung. Das sind zwei Möglichkeiten. Und die dritte hat dir Daniel genannt. Um die vererbbaren Berechtigungen entfernen zu können, muss ich die Vererbung unterbrechen, das ist also das gleiche. Und wieso man das nicht soll, hab ich schon geschrieben: "Man ändert oben die Berechtigungen und geht davon aus, dass das für alles darunter durchvererbt wird. Das irgendwo unten in der Ordnerstruktur die Vererbung ausgeschaltet wurde, sieht man ja auf den ersten Blick nicht." Und man liest es immer wieder. Z.B. hier http://www.fileserver-tools.com/2012/08/windows-berechtigungen-optimal-setzen-2/ unter Punkt 6: " Die Vererbung zu unterbrechen ist ganz schlechter Stil, weswegen man das nur in ganz seltenen Ausnahmefällen machen sollte" Aber es gibt wohl auch andere Meinungen. Ich möchte hier gar keine Grundsatzdiskussion entfachen. Vielen Dank für alle Antworten Gruß Martin Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 17. Mai 2015 Melden Teilen Geschrieben 17. Mai 2015 Nein das ist nicht das gleiche. Und solange du den Unterschied nicht findest, wird's schwierig. ;) Zitieren Link zu diesem Kommentar
AlbertMinrich 12 Geschrieben 18. Mai 2015 Autor Melden Teilen Geschrieben 18. Mai 2015 Nein das ist nicht das gleiche. Und solange du den Unterschied nicht findest, wird's schwierig. ;) Ich glaub, wir meinen schon das gleiche. Die geerbten Berechtigungen kann man nur entfernen, wenn man die Vererbung deaktiviert. Ich denke, da sind wir uns einig. Beim Deaktivieren der Vererbung kann man die bisher geerbten Berechtigungen übernehmen. Die effektiven Berechtigungen auf den Ordner sind dann erstmal genauso, wie vor der Deaktivierung. Nur, dass sie nicht mehr geerbt, sondern explizit gesetzt sind. Falls du was anderes meinst, klär mich doch bitte auf. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 18. Mai 2015 Melden Teilen Geschrieben 18. Mai 2015 Nein wir meinen nicht das gleiche. Zitieren Link zu diesem Kommentar
AlbertMinrich 12 Geschrieben 18. Mai 2015 Autor Melden Teilen Geschrieben 18. Mai 2015 (bearbeitet) Nein wir meinen nicht das gleiche. OK, danke für die Aufklärung. Vielleicht fällt ja noch jemanden was ein, der etwas mitteilungsfreudiger ist. ;) bearbeitet 18. Mai 2015 von AlbertMinrich Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. Mai 2015 Melden Teilen Geschrieben 18. Mai 2015 (bearbeitet) Moin, ob man nicht doch Abweichler sein kann? Abweichen von (Nicht)Empfehlungen? Natürlich muss man da den Überblick behalten, es wohl dokumentieren. Und das Dokument darf nicht abgeheftet in Vergessenheit geraten. bearbeitet 18. Mai 2015 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.