Net File und Icalcs im Zusammenspiel verstehen

[okniloso 0]

Liebe Community,
ich habe ein Problem beim Verstehen im Zusammenhang von Net File und icalcs.

Mittels folgenden Skripts (Bild1) habe ich Ordner erstellt und  Freigaben auf dem Windows Server 2016 gesetzt:

 

Leider ist es so, dass jeder Benutzer der Gruppen alle Ordner sieht (das diese  existieren = nicht gewollt),

aber nur auf den definierten Ordnern Zugriff haben = gewollt.

Freigaben in Bild2

 

 

Ein Beispiel:

Der Benutzer „Anton Lopez“ ist der Gruppe Gruppe „GG-H-Buchhalter-L“ zugeordnet.

Entsprechend kann er auf den Ordner Lohn schrieben (Bild3):

 

Anton Lopez kann aber auch die anderen Ordner sehen (Bild4 und Bild5, kein Schreibzugriff = gewollt)

 

Wie ist es möglich, dass dem Benutzer nur die Freigaben angezeigt werden, auf die er auch einen Zugriff hat.

Es geht mir nicht darum eine Lösung hier komplett zu bekommen, aber könntet ihr mir ein zwei Beispiele nennen, an denen ich mich an eine Lösung herantasten kann?

Dienst als Übung. Keine Sorge, ich setzte es nicht produktiv ein (möchte es aber mehr verstehen)

Danke !



 

[zahni 558]

Freigaben könne in der Sichtbarkeit nicht eingeschränkt werden, es sei denn, man häng ein "$" an den Namen. Dann sind sie aber für alle unsichtbar.

 

Normalerweise  braucht  man pro phys. Laufwerk nur noch eine Freigabe. Der Rest kann man man mit NTFS und ABE regeln. Benutzer bekommen auf den Freigaben "Ändern" und  fertig.

Laufwerke (net  use)  kann man auch auf ein Unterverzeichnis innerhalb eine Freigabe verbinden.

[okniloso 0]

Danke Zahni für deine schnelle Antwort.

Ich habe jetzt eine Freigabe auf den Ordner D:\Daten = GG-H-Alle (Ändern + Lesen) gesetzt (Bild1).

 

Auf den Ordner habe ich das Recht GG-H-Geschäftsleiter gesetzt (Ändern, Lesen, Ausführen….) (Bild2).

 

Melde ich den Mitarbeiter der Geschäftleitung an und gehe auf die Freigabe, hat dieser (korrekter Weise) Schreibzugriff auf den Ordner Geschäftsleitung, kann aber auch alle anderen Ordner (Buchhaltung, Einkauf etc.) sehen. Einen Zugriff auf diese hat er nicht (wie gewollt)  (Bild3).

Mein Ziel ist es, dass die Geschäftsleitung nur ihren eigene Ordner sieht und nicht die Ordner der anderen Abteilungen.

Habt ihr da noch einen Tipp (am besten kleines Beispiel) für mich?

Viele Grüße

[Dukel 457]

ABE! Das ist dafür da um die Ordner, auf die man keine Rechte hat, nicht zu sehen.

[zahni 558]

https://www.der-windows-papst.de/2016/09/11/server-2012-r2-zugriffsbasierte-aufzaehlung-aktivieren/

[okniloso 0]

Perfekt. Ihr habt mir sehr geholfen. Danke 1000 mal.

Anbei mein Skript welches ich geschrieben habe:

#Anlage der Ordnerstruktur für Hamburg
cd x:\
md Buchhaltung
cd x:\Buchhaltung
md Debitoren
md Kreditoren
md Lohn
cd x:\
md Einkauf
md HH-GL
md Geschaeftsleitung
md Lager
md Verkauf
cd x:\Einkauf
md international
md national
#Entfernung der Vererbung
icacls x:\Buchhaltung /inheritance:d
icacls x:\Buchhaltung\Debitoren /inheritance:d
icacls x:\Buchhaltung\Kreditoren /inheritance:d
icacls x:\Buchhaltung\Lohn /inheritance:d
icacls x:\Einkauf /inheritance:d
icacls x:\Einkauf\international /inheritance:d
icacls x:\Einkauf\national /inheritance:d
icacls x:\HH-GL /inheritance:d
icacls x:\Geschaeftsleitung /inheritance:d
icacls x:\Lager /inheritance:d
icacls x:\Verkauf /inheritance:d
#Vergabe der Berechtigungen
icacls x:\Buchhaltung /remove:g Benutzer
icacls x:\Buchhaltung /grant GG-H-Buchhalter:M GG-H-Buchhalter-L:M GG-H-Buchhalter-D:M GG-H-Buchhalter-K:M GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX
icacls x:\Buchhaltung\Debitoren /remove:g Benutzer
icacls x:\Buchhaltung\Debitoren /grant GG-H-Buchhalter:M GG-H-Buchhalter-D:M GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX
icacls x:\Buchhaltung\Kreditoren /remove:g Benutzer
icacls x:\Buchhaltung\Kreditoren /grant GG-H-Buchhalter:M GG-H-Buchhalter-K:M GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX
icacls x:\Buchhaltung\Lohn /remove:g Benutzer
icacls x:\Buchhaltung\Lohn /grant GG-H-Buchhalter:M GG-H-Buchhalter-L:M GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX
icacls x:\Einkauf /remove:g Benutzer
icacls x:\Einkauf /grant GG-H-Einkäufer:M GG-H-Einkäufer-nat:M GG-H-Einkäufer-int:M GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX
icacls x:\Einkauf\international /remove:g Benutzer
icacls x:\Einkauf\international /grant GG-H-Einkäufer:M GG-H-Einkäufer-nat:RX GG-H-Einkäufer-int:M GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX
icacls x:\Einkauf\national /remove:g Benutzer
icacls x:\Einkauf\national /grant GG-H-Einkäufer:M GG-H-Einkäufer-nat:M GG-H-Einkäufer-int:RX GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX
icacls x:\Geschaeftsleitung /remove:g Benutzer
icacls x:\Geschaeftsleitung /grant GG-H-Geschäftsleiter:M GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX
icacls x:\HH-GL /remove:g Benutzer
icacls x:\HH-GL /grant GG-H-KönigL-WieseM:M
icacls x:\Lager /remove:g Benutzer
icacls x:\Lager /grant GG-H-Lager:M GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX
icacls x:\Verkauf /remove:g Benutzer
icacls x:\Verkauf /grant GG-H-Verkauf:M GG-H-Abteilungsleiter-Standortleiter-Sekretärin-lesen:RX

Eine kleine Frage habe ich aber noch:

Sagt mal, was muss ich eingeben, wenn ich den Haken für die "Zugriffsbasierte Aufzählung aktivieren!" mittels Skript aktivieren möchte?

Der Freigabepfad lautet wie folgt:

\\Win2016-2.bonn.deutschland.ag\Daten

 

Viele Grüße
 

[zahni 558]

Du hast meinen Link gründlich gelesen und alle Bilder  angeklickt?

[okniloso 0]

Ich hatte den Befehl abecmd /enable + Name der Freigabe ausgeführt, aber Befehl wird nicht erkannt.

 

Folgenden Befehl habe ich eingegeben:

 

net share Daten=x:\ "/grant:benutzer,change"

 

Dieses funktioniert.

Dann habe ich die Freigabe rausgenommen und den Befehl erweitert.

net share Daten=x:\ "/grant:benutzer,change" abecmd /enable \\Win2016-2.bonn.deutschland.ag\Daten

Dieses funktioniert leider nicht.

[zahni 558]

Geht wohl auch mit Powershell:

 

https://theitbros.com/config-access-based-enumeration-windows-server-2016/

[Dukel 457]

Es sind auch zwei Befehle und können nicht in einer Zeile geschrieben werden.