Net Share und ICACLS

[Tylers]

Hi there,

erstelle gerade ein Firmennetzwerk in einer VM zu Übungszwecken, keine Live-Umgebung.

Ich bin dabei, Benutzern Gruppen zuzuordnen und Ihnen Zugriffsberechtigungen zu verschiedenen Ordnern zu erteilen. Nun frage ich mich, warum man scheinbar Ordner über net share und dann nochmal über icacls freigeben muss - der Unterschied ist mir nicht ganz klar.

Beispiel:
Es existiert eine Gruppe, der Mitglieder der Geschäftsleitung angehören: GL

net share Geschäftsleitung=C:\Geschäftsleitung "grant GL:full"

und über icacls

icacls C:\Geschäftsleitung /grant GL:F

Kann mir jemand sagen wo der Unterschied liegt, bzw. ob es einen gibt?

 

[kartoffelpü]

Es gibt separate Berechtigungen für die Freigabe und Dateisystem.

Im Explorer die Reiter Sharing bzw Security:

 

[Daloop]

net share = Zugriffssteuerung auf Netzwerkebene
icacls = Zugriffssteuerung auf NTFS-Ebene

 

[Tylers]

Ok, danke euch. Ist also beides nötig

 

[Daloop]

Also ich kenne so, dass auf NTFS-Ebene zwar jeder User Vollzugriff auf Shares des Fileservers hat, aber dann auf Netzwerkebene gesteuert wird, wer auf die entsprechenden Shares lesend oder schreibend zugreifen darf. Dadurch wird vermieden, dass es zu Komplikationen mit vererbten NTFS-Rechten kommt, wenn Dateien zwischen verschiedenen Shares hin- und her kopiert werden.

 

[kartoffelpü]

@Daloop Bei NTFS kann man viel granularer steuern, was gemacht werden darf. Bei der Freigabeberechtigung gibt es ja nur den Unterschied zwischen Lesen, Schreiben und Vollzugriff...

 

[Daloop]

@kartoffelpü Sicher, da stimme ich Dir absolut zu. Kann man alles machen. Ich wollte nur darauf hinweisen, dass eben das Risiko besteht, dass es im schlimmsten Fall durch die NTFS-Vererbung auch mal zu Problemen kommen kann.

Ergänzung (29. Januar 2023)

@Tylers Hab hier noch ein Best Practice gefunden (leider nur auf Englisch):
https://activedirectorypro.com/ntfs...should only give share,who has access to what.