Ordner-Rechteverwaltung und Freigaben auf Win Server 2003

[btcMoses]

Hallo,

ich habe einen Win Server 2003 als PDC mit ActiveDirectory konfiguriert. Ich möchte, dass jede Gruppe einen Ordner als Ablage bekommt.

Leider komme ich mit den Freigaben und den Sicherheitseinstellungen durcheinander. Wer kann mir sagen für was der Reiter "Freigabe" zuständig ist und was er im Bezug auf den Nutzerzugriff bewirken kann. Und was im Gegensatz dazu der Reiter "Sicherheit (oder Zugriffsberechtigung)" für Auswirkungen hat?

Am besten wäre, wenn mir jmd sagen kann wie ich den/die Ordner konfigurieren muss, damit die Gruppen ihren Zugriff bekommen? Das Ganze sieht in der Baumstruktur etwa so aus:

+Gruppenordner < Berechtigung für alle r--

|--+ Gruppe1 < Berechtigung für alle User des AD in Gruppe 1 rwx

|--+ Gruppe2 < Berechtigung für alle User des AD in Gruppe 1 rwx

Wie kann man es sinnvoll realisieren, wenn für User der jeweiligen Gruppe das Gruppenlaufwerk beim Start gemountet werden soll?

Vielen Dank für eure Antworten

[hades]

Beides sind Zugriffsberechtigungen.

Es gilt immer die restriktivste Einstellung der beiden Kombinationen.

Bsp1: NTFS-Recht Lesen und Freigaberecht Vollzugriff: effektive Rechte ueber Netz: Lesen

Bsp2: NTFS-Recht Vollzugriff und Freigaberecht Aendern: effektive Rechte ueber Netz: Aendern

Faustregel:

Arbeite soweit es geht immer mit den NTFS-Berechtigungen (unter Sicherheit) fuer die Sicherheits-Gruppen.

Ueber die Freigaberechte kannst Du dann die erteilten NTFS-Gruppenrechte fuer bestimmte Benutzer weiter einschraenken (braucht man nur in seltenen Faellen).

In Deinem Fall kannst Du folgendes machen:

Ordnerstruktur:

Ordner fuer die Freigabe, darunter dann die Gruppenordner (die nicht extra freigegeben werden).

Freigaberechte: Jeder Vollzugriff

NTFS: Lesen/Ausfuehren

Gruppenordner:

Gruppe 1:

NTFS-Rechte fuer Gruppe 1: Vollzugriff

Gruppe 2:

NTFS-Rechte fuer Gruppe 2: Vollzugriff

Je nach Belieben kannst Du mit den erweiterten Rechten noch das Loeschen des Gruppenordners verbieten.

Der Pfad fuer das Gruppenlaufwerk lautet dann \\%servername%\%freigabename%\%Gruppenordner%

Allerdings geht das so erst ab Windows 2000, aeltere Systeme wie NT4 oder 9x koennen Unterordner einer Freigabe nicht direkt verbinden. Dort muss es mit separaten Freigaben geloest werden.

Windows 2003 bietet ab SP1 die Moeglichkeit, Ordner innerhalb einer Freigabe fuer Benutzer auszublenden auf denen keine Berechtigung besteht. Das Stichwort ist hier Access Based Enumeration.

[btcMoses]

kompetente Antwort! Vielen Dank! Werde ich zuhause gleich mal testen

[btcMoses]

Ähm.. zufällig noch ne Idee, wie man die Gruppenordner, für die der User eine Berechtigung hat automatisch beim Start mounten kann? (Ohne für jeden User ein Script mit "net use .." anlegen zu müssen)

[hades]

Es kann auch in den Einstellungen des Benutzerprofils zugeordnet werden.

[runningback81]

Ich persönlich finde eine andere Methode einfacher.

Gruppen anlegen wo die entprechen Benutzer reinkommen.

Eine Gruppenrichtlinie für jede Gruppe, wo entsprechend das Script hinterlegt wird.

Die Berechtigungen bei den Gruppenrichtlinien ändern damit sie nicht mehr von allen Benutzern die Unterhalb sind übernommen werden sondern nur noch von den enstprechenden Gruppen.

Damit hab ich den Vorteil wenn due deine Brechtigungen auch über die Gruppen regelst, dass ich einen Neuen Benutzer nur noch in die jeweilige gruppe aufnehmen muss und dass er dadurch gleichzietig Die berechtigung und das Laufwerk gemountet gekommt.

Und es hat den Vorteil das Benutzer auch in mehreren Gruppen mitglied sein kann. wobei dann die gruppenlaufwerksbuchstaben unterschiedlich sein müssen.

Nochbesser aber ist wenn du den Ordner über den gruppenlaufwerken mounten würdest und die Ordner auf die er keine Berechtigungen hat per ABEUI (Access based enumeration) ausblendest.

Vorteil ein Script für alle Benutzer.

Hoffe ich hab ich einigermaßen verständlich ausgdrückt

Edit:

Hab grad gesehen das Hades das auch schon drinnen Hatte Sry

[btcMoses]

:uli

Hat alles wie gewünscht funktioniert.

Habe die Möglichkeit des "Access based enumeration" gewählt und für alle User ein einheitliches Anmeldescript eingetragen.

Vielen Dank nochmal

(PS: neues Problem http://forum.fachinformatiker.de/showthread.php?goto=newpost&t=109348)