Windows Freigaben - Sprung in den Übergeordneten Ordner verhindern

[htb 0]

Hallo Forum

habe eine Frage bzgl. Freigaben die mir eigentlich recht simpel scheint
aber ich denke das kennt jeder, hin-und wieder auf dem Schlauch zu stehen

folgendes Szenario
habe eine IT-Infrastruktur (Workgroup) übernommen
darunter ein Windows Server der die Rolle des Fileserver trägt.

Auf diesem Fileserver existiert ein Daten-Ordner welcher selbst nicht freigegeben ist.
Jedoch befinden sich darin die Ordner der einzelnen Abteilungen
auf dennen Freigaben und Berechtigungen liegen.
Bsp:
\\Fileserver\Buchhaltung
\\Fileserver\Kundencenter
\\Fileserver\Verkauf
soweit so gut

Allerdings besteht von jeder Freigabe aus
die Möglichkeit per Windows Explorer eine Ebene hinauf zu gelangen
also bsp von \\Fileserver\Buchhaltung nach \\Fileserver\

so dass alle anderen Ordner und Freigaben für jedermann sichtbar sind.
Was mich sehr verwundert, da der obergeordnete Ordner selbst nicht freigegeben ist

Den Benutzern die Lese-Berechtigung für diesen Ordner zu entziehen scheint mir keine gute Idee
da sich da drinnen die Freigaben befinden.
Zugriffsbasierte Aufzählung hat logischerweise auch keinen Effekt wenn es darum geht die fremden Freigaben auszublenden

Da eigentlich immer auf dem System gearbeitet wird kann ich mir keine Experimente erlauben

ich hoffe ihr könnt mir helfen
vielen Dank im voraus!
 

[tesso 375]

Klingt so als du ein DFS vor dir hast.

[htb 0]

vor 20 Minuten schrieb tesso:

Klingt so als du ein DFS vor dir hast.

DFS ist nicht installiert

[tesso 375]

Was stört daran?

Die User sollten doch trotzdem nicht in die Shares wechseln können. 

Ich kann auch einfach im Explorer \\Server aufrufen

[MurdocX 949]

Das klingt für mich normal. Auf der obersten Ebene auf einem Server bspw. \\MeinServer siehst du alle Freigaben, die der Server für den Benutzer zur Verfügung stellt. Angezeigt werden Dir die Freigaben, deren Freigabeberechtigung Dich zum Lesen berechtigen. Falls du auf die Freigabe klickst, wirken Freigabeberechtigung und NTFS des jeweiligen Ordners. Falls du die Freigaben verstecken möchtest, dann passe einfach deren Berechtigungen an.

[Dukel 454]

Du kannst Freigaben mit $ am Ende verstecken.

\\Fileserver\Buchhaltung$
\\Fileserver\Kundencenter$
\\Fileserver\Verkauf$

 

Dann sollte beim Zugriff auf \\Fileserver\ nichts mehr sichtbar sein.

[htb 0]

@Dukel Neue Freigaben habe ich bereits mit $ versteckt
bei den alten wird es ein bisschen schwierig da die Netzlaufwerke lokal per Scriptdatei eingebunden werden
hieße daher manuell an jedem System umschreiben
denn wie gesagt ... habe die Infrastruktur so übergeben bekommen

@tesso common Ordner wie bsp. Buchhaltung stören mich nicht
jedoch befinden sich auch Ordner darunter die idealerweise nicht in der Liste auftauchen sollen
da ich sozusagen der Neue bin, bin ich schon mit einigen Fragen diesbezüglich konfrontiert worden

 

@MurdocX die Freigabe diesbezüglich anzupassen gestaltet sich ein wenig schwierig
wie erwähnt leider kein ADDS und von AGDLP ganz zu schweigen
in den NTFS Berechtigungen befinden sich keine Gruppen sondern teilweise 30 Benutzerkonten auf einem Ordner

die Musterlösung wäre wie bei der zugriffsbasierenden Aufzählung
dass jedem Nutzer nur die entsprechenden Ordner angezeigt werden würden

die oberste Ebene zu sperren macht nicht wirklich Sinn
würde mich aber rein aus Interesse interessieren
Bei Sicherheit die Vererbung deaktivieren und das Prinzipal "Benutzer" entfernen ?

bearbeitet 1. Juni 2021 von htb

[tesso 375]

Wir machen die Freigaben anders.

 

Ein Ordner (Daten) wird freigegeben. Darin liegen die entsprechen Ordner der Abteilungen. 

Auf den Share dann ABE aktivieren und die Rechte der Ordner richtig setzen. 

 

Dann sieht kein User einen Ordner im Share auf den er keine Rechte hat.

Verbinden kannst du trotzdem auf \\Server\Daten\Abteilung1

 

Hoffe das hilft

[MurdocX 949]

vor 22 Minuten schrieb htb:

@MurdocX die Freigabe diesbezüglich anzupassen gestaltet sich ein wenig schwierig
wie erwähnt leider kein ADDS und von AGDLP ganz zu schweigen
in den NTFS Berechtigungen befinden sich keine Gruppen sondern teilweise 30 Benutzerkonten auf einem Ordner

Ja, AGDLP-Prinzip wirst du nicht anwenden können. Ich kann mir auch nicht vorstellen, dass es sinnvoll ist, alle Benutzer immer einzeln zu übernehmen. Du kannst für die Benutzergruppen bspw. Sekretariat oder Chef einfach eine eigene Gruppe im Server anlegen und dort die Benutzer hineinlegen. In der Freigabe berechtigst du dann nur noch die Gruppe mit "Ändern". Damit sehen alle Anderen die Freigaben nicht mehr. Im zweiten Schritt kann das Gruppenkonzept auch auf die NTFS-Ordner angewendet werden. Dann müssten nur noch Gruppen und keine Berechtigungen mehr angepasst werden, auch ohne AD

[htb 0]

@Tesso ich hatte bereits versucht den Daten-Ordner frei zu geben
und ABE zu aktivieren, hatte im nachhinein leider keinen Effekt mehr gehabt

@MurdocX selbstverständlich ist es nicht sinnvoll
aber es ist das was ich von meinem Vorgänger übergeben bekommen habe
und es jetzt gilt Schritt für Schritt zu optimieren

Danke aber schon einmal für eure Antworten !

bearbeitet 1. Juni 2021 von htb

[MurdocX 949]

vor 20 Minuten schrieb htb:

@MurdocX selbstverständlich ist es nicht sinnvoll
aber es ist das was ich von meinem Vorgänger übergeben bekommen habe
und es jetzt gilt Schritt für Schritt zu optimieren

Das sollte kein Vorwurf sein, sondern Dir Optionen mit Gruppen lokal auf dem Server aufzeigen  

[daabm 1.354]

vor 4 Stunden schrieb Dukel:

Du kannst Freigaben mit $ am Ende verstecken.

Die Idee vergessen wir am besten gleich wieder - das interessiert außer den "normalen" Windows-API niemand... Und Security by Obscurity war noch nie eine Lösung.

DFS mit ABE wäre der richtige Weg. Ohne Domäne aber mühsam zu realisieren, das stimmt.

[htb 0]

@MurdocX habe es auch nicht als Vorwurf verstanden
wollte lediglich betonen was für ein riesen Mist das ist
in einer großen Firma, wenn ein neuer Mitarbeiter kommt
einen lokalen Benutzer auf dem Fileserver einzurichten
bzw. dem Mitarbeiter eine Batch-Datei fürs Netzlaufwerk in den Autostart zu schieben
das geht komplett gegen meine bisherige Philosophie

@Daabm mit Domäne wäre alles einfacher, da hast Du leider Recht

aber da scheint bei dem momentanen IST-Zustand wohl nicht viel machen zu sein
ich Danke euch soweit für euer Feedback

[Dukel 454]

Wie es gibt keine Domäne? Wie da lässt sich nichts machen?

[htb 0]

vor 9 Minuten schrieb Dukel:

Wie es gibt keine Domäne? Wie da lässt sich nichts machen?

Nein die gibt es wirklich nicht
Standortübergreifend meldet sich jeder lokal an seinem PC an

Benutzer müssen parallel als lokale Benutzer auf dem Fileserver angelegt werden
und eine Batch-Datei an dem jeweiligem System in den Autostart
natürlich mit Kennwortübertragung im Klartext

mein Plan fast aber ein Konzept für eine Domäne mit Active Directory vor
welches ich bei Zeiten der Geschäftsführung vorstellen werde
(die beim Thema recht sparsam ist)

bin gelernter FiSi mit MCSE2016
alle Misstände werde ich hier nicht nennen
aber meine Berufserfahrung reicht nicht soweit zurück dass ich solche Methoden miterlebt habe

bearbeitet 2. Juni 2021 von htb