beschränkte Ordnerfreigabe in Arbeitsgruppe

[Blue-Eyes1985]

Hallo,
ich habe hier ein kleines Problem mit dem Netzwerk von einem Kumpel.
Er hat bei sich 3 PC, die an einen Router hängen (er verteilt auch die IPs) und auch miteinander in einer Arbeitsgruppe "AG" kommunizieren können (Freigabe von Ordner/Drucker funktioniert ohne Probleme).
Alle 3 PCs haben Windows XP Prof. mit SP3 als OS.
Er wollte nun gerne einen Ordner auf PC1 erstellen, welcher nur von PC1 selbst und PC2 angeguckt/bearbeitet werden kann, PC3 soll also keinen Zugriff haben.
Da er nicht weiter wusste bat er mich um Hilfe und ich verzweifle auch langsam.

Nach ewiger Suche im Web bin ich auf die Seite gestoßen und habe alles so eingerichtet, wie dort beschrieben (auch die erweiterte Dateifreigabe...).

Sein Netzwerk befindet sich in der Arbeitsgruppe "AG" und hat folgende Teilnehmer:

"PC1" mit Benutzer "User1" => "PC1" mit Benutzer "User1", "User2", "User3"
"PC2" mit Benutzer "User2" => "PC2" mit Benutzer "User2", "User1", "User3"
"PC3" mit Benutzer "User3" => "PC3" mit Benutzer "User3", "User1", "User2"

Ich habe also auf jeden PC zusätzliche Benutzerkonten (mit gleichen Passwörtern) erstellt, sodass nun auf jedem PC alle 3 Benutzer vorhanden sind.

Wenn ich nun so vorgehe, wie auf der Seite beschrieben, kann ich zwar die (lokalen) Benutzer hinzufügen, der Zugriff wird aber immer noch verweigert.
Man kann bei Arbeitsgruppen ja leider nur lokale Konten in die Freigaben mit einbinden.
Die Einstellungen für die Einschränkungen sollten auch nicht die Fehlerquelle sein, da man da ja nicht viel falsch machen kann.

Ich bin eigentlich Linux-Nutzer und komme mit Windows selten in Kontakt.
Kann es vielleicht daran liegen, dass der Tipp auf der Seite nur damals funktionierte und jetzt nicht mehr, weil evtl. ein Update aus Sicherheitsgründen diese Funktion deaktiviert hat?

Auf der Seite wurde auch beschrieben, wie der Trick funktioniert:
"Der Trick funktioniert so : Bei dem Verbindungsversuch wird NUR der Username und das Passwort übertragen !!
Da Rechner-A diesen User kennt vergleicht er das Passwort mit dem Passwort was er irgendwo lokal gespeichert hat, und wird feststellen dass dieses korrekt ist. Also bekommt Schmidt auch Zugang."

An der Firewall kann es nicht liegen, da die anderen freigegebenen Ordner für alle erreichbar sind.

Hoffe ihr könnt mir da etwas helfen und wisst vielleicht, was ich falsch gemacht haben könnte.

Gruß

 

[biervernichter]

in der rechteverwaltung des Ordners musst du einfach nur den Zugriff für User3 verbieten, dann kann er nicht zugreifen

 

[RAMMSTEiN0815]

die einfache datei-freigabe nutzen -> ordneroptionen

 

[Blue-Eyes1985]

Danke für die Info. Ich hatte die Freigaben genau anders herum eingegeben.

Ich dachte vorher, dass es egal ist, ob ich bei den Freigabeberechtigungen:
1) Jeder => alles verboten
und den einzelnen Usern dann alles erlaubt

oder

2) Jeder => alles erlaubt
und dann einzelne User alles verboten


Ich würde 1) bevorzugen, da dann neue User in der Arbeitsgruppe auch nicht in die Ordner können.
Bei 2) geht das allerdings => wenn man keine Rechte hatte in die Ordner zu gehen, braucht man nur auf seinem PC ein neues Konto mit anderen Namen anlegen und dieser kann dann in die Ordner.

=> Was ist daran sicher/sinnvoll?

 

[biervernichter]

Jeder => alles verboten

Jeder => alles erlaubt

Jeder sollte man generell rausnehmen und nur explizit die user eintragen die zugriff bekommen


alles verbieten und dann die ausnahmen hinzufügen macht man nur bei firewall regeln, aber nicht bei userberechtigungen, da das Verbieten höher steht als die Erlaubnis


wenn man Jeder - verbietet, dann darf die ausnahme eigentlich nicht funktionieren


unter windows xp kommt noch dazu das es zwei Rechteverwaltungen gibt: die Freigaberechte, und die Dateisystemberechtigungen (bei NTFS)

 

[Blue-Eyes1985]

Stimmt, da habe ich es wohl mit den Firewallregeln verwechselt.

Mal noch eine kleine Frage: Wenn ich "Jeder" entferne und kein weiterer Benutzer in der Liste steht, kann dann überhaupt von außerhalb per Netzwerk/Arbeitsgruppe auf den Ordner zugegriffen werden?
Das müsste dann ja einem freigegebenen Ordner ohne Freigaben entsprechen, also ein normaler Ordner auf den man per default nicht von außen zugreifen kann, oder?

Ist es eigentlich normal, dass die Einstellungen immer erst nach einem Neustart funktionieren? Vorher klappt es irgendwie nie.

 

[biervernichter]

wenn überhaupt kein benutzer mehr drinnen steht und auch jeder entfernt wurde dann kann niemand auf den ordner zugreifen. (freigabe dann sinnlos )

Ist es eigentlich normal, dass die Einstellungen immer erst nach einem Neustart funktionieren?

eigentlich nicht, aber wenn ein Rechner mit der freigabe noch verbunden ist, dann ist die Verbindung (cache) aufrecht. Und somit muss die Verbindung erst getrennt werden bis die rechte ziehen.

 

[Blue-Eyes1985]

Danke für die Hilfe...

Jetzt habe ich alles so gemacht wie du vorgeschlagen hast und nun kann ich nur noch mit dem PC auf den Ordner zugreifen, mit dem er erstellt wurde.

Ordner von PC1\User1 => es darf PC1\User1 und PC1\User2 darauf zugreifen (also voller Zugriff) und "Jeder" aus Liste entfernt

Vor dem Neustart klappte es kurz, kann aber auch daran gelegen haben, dass die Daten noch im Cache waren.
Jetzt geht aber gar nichts mehr. Scheint so, als wenn die Benutzer nicht bekannt sind, obwohl ich die Benutzer als neue Konten hinzugefügt habe.
Es klappt aber leider immer noch nicht.


Ordner von PC1\User1:

PC1\User1: alles erlaubt
PC1\User2: alles erlaubt
und "Jeder" aus Liste entfernt => PC1\User3 kann nicht darauf zugreifen



Wieso macht Windows das denn nicht so leicht wie bei Linux mit der Gruppenverwaltung...

 

[werkam]

@biervernichter
Der Administrator kann dann immer noch auf die administrativen Freigaben zugreifen, C$, D$ usw..

 

[Blue-Eyes1985]

So ich habe es jetzt hinbekommen. Mein Fehler war, dass ich bei allen PCs kein Passwort hatte (sind mit TrueCrypt verschlüsselt und gesichert) und daher auch bei allen Konten kein Passwort angegeben hatte => anscheinend funktioniert der Trick nur, wenn man explizit ein Passwort angibt.
Habe nur bei PC1 den User2 und bei PC2 den User1 hinzugefügt.

PC1\User1: alles erlaubt
PC1\User2: alles erlaubt
und "Jeder" aus Liste entfernt => PC1\User3 kann nicht darauf zugreifen

PC1 und PC2 können auf alle PCs zugreifen und Ordner einsehen, nur PC3 kann nicht mal mehr auf die für alle freigegebenen Ordner von PC1 und PC2 zugreifen, obwohl für die Ordner "Jeder" vollen Zugriff hat.
PC3 kann nur auf alle Ordner zugreifen, wenn ich Benutzername und Passwort in die erscheinende Maske eintrage.
Kann ich die Maske für die für "Jeden" freigegebene Ordner abschalten, sodass man auf freie Ordner einfach zugreifen kann und bei eingeschränkten Ordnern eine Fehlermeldung kriegt?