larazza 10 Geschrieben 17. März 2005 Melden Teilen Geschrieben 17. März 2005 Hallo, folgendes Problem. Ich habe auf einem Windows 2003 Server eine Freigabe in welcher verschiedene HTML-Seiten und Dokumente liegen. Durch diese Freigabe kann ein Mitarbeiter auf den Ordner zugreifen und die HTML-Seite öffnen. Aus dieser HTML-Seite herraus kann er jetzt die einzelnen Dokumente (Word, Excel, PowerPoint, *.Exe etc) aufrufen. Geplant ist, das alle Domänenbenutzer diese Dokumente lesen dürfen, aber nur bestimmte Leute diese bearbeiten. Jetzt stellt sich mir das Problem, das wenn in der Freigabeberechtigung "Jeder - Lesen" bzw. "Domänenbenutzer - Lesen" einstelle, die lokalen Sicherheitseinstellungen übergangen werden. Also ein normaler Benutzer der sich an der Freigabe anmeldet und eine Datei (welche für Ihn unter den Sicherheitseinstellungen als Vollzugriff definiert wurde) bearbeiten mag, kann das nicht weil Windows nicht einzeln die aufgerufene Datei abprüft, sonder nur die Freigabeberechtigung. Wenn ich jedoch dem Benutzer der etwas bearbeiten darf unter der Freigabe Vollzugriff bzw. Ändern gebe hat er wieder auf alles das Recht, was ich nicht wirklich als befriedigend hinnehmen kann. Gibt es keine Möglichkeit die Freigabe für jeden zum Lesen freizugeben und dann noch explizit für einige Dateien bestimmte User zum bearbeiten hinzuzufügen? Vielleicht hat ja jemand ein ähnliches Problem und weiß Rat MfG larazza Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 17. März 2005 Melden Teilen Geschrieben 17. März 2005 Hallo larazza, also in diesem fall würde ich die Freigabe so konfigurieren, dass authentifizierte Benutzer Vollzugriff erhalten. Anschliessend musst du noch die NTFS-Rechte der benötigten Dateien mit den verschieden Berechtigungen versehen......Freigabberechtigungen und NTFS-Berechtigungen sind in Windows kummulativ, das heisst, dass beide Berechtigungen überprüft werden und auch gelten. Du kannst z.B. in der Freigabeberechtigung allen Vollzugriff geben, wenn du auf NTFS Seite keine Rechte vergeben hast, kann trotzdem niemand auf die Daten zugreifen! Ich hoffe meine Erklärung war verständlich Gruss LANIAC Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 17. März 2005 Melden Teilen Geschrieben 17. März 2005 Hallo larazza, ich würde im übrigen niemals den Benutzer jeder verwenden.....vor allem nicht auf WIndows 2000 Servern.....auf diesen Servern gehört auch ein Anonymous-Account zu der Gruppe jeder....konkret heisst dies dass jemand ohne angabe von benutzername oder kennwort auf diese freigabe zugreiffen kann. in windows 2003 server ist dies besser gelöst....dort wurde der user anonymous aus der gruppe jeder ausgeschlossen.....trotzdem würde ich immer "authentifizierter benutzer" angeben an stelle von jeder. somit wird sichergestellt, dass nur ein benutzer mit einem vorhandenen benutzerkonto auf diese freigabe zugreiffen kann..... Gruss LANIAC Zitieren Link zu diesem Kommentar
larazza 10 Geschrieben 18. März 2005 Autor Melden Teilen Geschrieben 18. März 2005 Hallo, danke für deine Antwort. Also nach deiner Anleitung funktioniert die Sache wirklich. Problem ist bei mir jetzt, das ich nicht jedem authent. Benutzer Vollzugriff geben möchte und dann sperren, da das einen erheblichen Mehraufwand bedeuten würde. Ich habe versucht das Ganze umgedreht zu realisieren. Also auf der Freigabe nur Lesezugriff zu geben und die einzelnen Dateien dann mit Schreibzugriff den Domänenbenutzern zu geben. Nur irgentwie funktioniert diese Logik nicht. Er nimmt dann nur den Lesezugriff und egal wie ich die Rechte vergebe ich kann nicht schreiben. Ist das normal? :eek: MfG larazza Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 18. März 2005 Melden Teilen Geschrieben 18. März 2005 Hallo larazza, ja diese Verhalten ist Normal, da Windows die Rechte nicht nur Kummulativ anwendet sondern weil auch gleichzeitig immer das Restriktivste Recht angewendet wird....du kannst dir das ganze so vorstellen als sei deine Freigabe die Haupteingangstür zu einem Gebäude....wenn du nun schon am Haupteingang nicht reinkommst (nur Leserechte) dann kannst du auch bei den Türen, die sich im Gebäude befinden nichts ausrichten. schlussendlich gelten immer die restriktivsten Berechtigungen!!! Was ich jedoch nicht verstehe ist dein Satz: Problem ist bei mir jetzt, das ich nicht jedem authent. Benutzer Vollzugriff geben möchte und dann sperren, da das einen erheblichen Mehraufwand bedeuten würde. wie meinst du das genau? Gruss LANIAC Zitieren Link zu diesem Kommentar
Perin 10 Geschrieben 18. März 2005 Melden Teilen Geschrieben 18. März 2005 Hi, die Lösung ist, die NTFS-Berechtigungen auf den die Dateien enthaltenen Ordner zu legen. Office ändert die Dateien beim Speichern nicht, sondern legt sie neue an. Immer, wenn jemand die Datei geändert hat, erbt sie also wieder die Berechtigungen des sie enthaltenden Ordners. Innerhalb von NTFS-Berechtigungen und Innerhalb von Freigabeberechtigungen addieren sich die Rechte (sind also kumulativ), ein Benutzer, der über die Freigabe auf Ressourcen zugreift, hat aber nur die Berechtigunge , die ihm sowohl in den NTFS- als auch in den Freigabeberechtigungen gewährt werden. cu, Perin Zitieren Link zu diesem Kommentar
larazza 10 Geschrieben 18. März 2005 Autor Melden Teilen Geschrieben 18. März 2005 Was ich jedoch nicht verstehe ist dein Satz: Problem ist bei mir jetzt, das ich nicht jedem authent. Benutzer Vollzugriff geben möchte und dann sperren, da das einen erheblichen Mehraufwand bedeuten würde. wie meinst du das genau? Gruss LANIAC Damit hab ich nur gemeint, das es für mich mehr Aufwand hat 50 Leute für ca. 200 Dokumente zu sperren und die paar die ändern dürfen freizugeben, anstatt erstmal für alle zu sperren (per Freigabe) und dann die einzelnen Dateien per NTFS-Berechtigung freizugeben (was ja leider so nicht geht). Aber dank Vererbung sollte es auch so gehen. Kurzes Beispiel: Ist es vorstellbar authent. Benutzer Vollzugriff auf die Freigabe zu geben, dann auf den Freigabeordner die NTFS-Berechtigung für authent. Benutzer "lesen, ausführen" in alle Unterordner/Dokumente zu vererben und dann einfach die einzelnen Dokumente für die jeweiligen Leute freizugeben die auf dieses Dokument schreiben dürfen? Oder ist da wieder ein Denkfehler? Habt mir schonmal ein ganzes Stück weitergeholfen. Danke. MfG larazza Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 18. März 2005 Melden Teilen Geschrieben 18. März 2005 Hallo larazza, dein beispiel hört sich ganz vernünftig an......so sollte man das auch machen......ich denke nun hats klick gemacht bei dir....... Gruss und schönes Weekend LANIAC Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 18. März 2005 Melden Teilen Geschrieben 18. März 2005 ach ja....sperren resp berechtigungen verweigern würde ich nur im notfall einsetzen, da diese berechtigungen imemr als erste durchgesetzt werden und es im nachhinein bei fehlern sehr mühsam sein kann diesen zu finden.......aber ich glaube das hast du schon selbst herausgefunden sonst wärst du ja nicht auf die idee gekommen den authentifizierten benutzern lese-rechte anstelle von verweigerungen zu erteilen....... verweigerungen werden eigentlich nur bei datenmissbrauch eingesetzt, wenn man beispielsweise bei einem benutzer ganz sicher sein muss, dass er keinen zugriff erhalten kann (ab und zu verliert man ja die kontrolle über die verschiedenen gruppenzugehörigkeiten der einzelnen benutzer) gruss LANIAC Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.