Win Server - Freigaben-Sichtbarkeit steuern

[Crys]

• Unbedingt alles lesen, bevor ihr antwortet!
• Ich suche nach einer Antwort zu meiner Frage, ich möchte das Problem auf keine andere Weiße lösen!
• Geht nicht, gibt's nicht!

Das Problem:
Freigaben (unter Windows) kann man nur mit Lese- oder Schreibrechte versehen und nicht verstecken, wenn man weder Lese- noch Schreibrechte besitzt. Das ist Fakt!

Ich möchte das ein Benutzer einen freigegebenen Ordner nur sehen kann, wenn er mindestens Leserechte für diesen Ordner besitzt.
Die Entscheidung ob man einen Ordner sieht oder nicht wird vom Server getroffen.

Beispiel:
(Es handelt sich immer um Ordner in erster Ebene, also keine Unterordner einer Freigabe!)

\\WHS\Videos (Rechte: crys=schreiben| mediastation=lesen | gast=lesen)
=> alle können den Ordner sehen

\\WHS\Dokumente (Rechte: crys=schreiben| mediastation=nichts | gast=nichts)
=> nur crys kann den Ordner sehen

\\WHS\Fotos (Rechte: crys=schreiben| mediastation=lesen | gast=nichts)
=> nur der gast kann den Ordner nicht sehen

Meine Möglichkeiten:
Wenn ich weiß, wie ich ich vorgehen muss, was ich tuen muss, dann stehen mir (fast) alle Möglichkeiten offen.
Im konkreten Fall geht es um einen WHSv1. Ich kann skripten, ich kann programmieren.
Möglich ist also alles ... außer Windows neu zu schreiben, Kernel Geschichten, ...
Es sollte per Programm, das in-/direkt auf Win zugreift möglich sein. Modifikationen von unkompilierten Win-Teilen sollte auch kein Problem sein.

Was ich nicht will:
Erweiterungen wie ABE (Access Based Enumeration) ermöglichen es einen Ordner unsichtbar zu machen. Dies geht aber nicht an einen Freigegebenen Ordner selbst. Man kann nur Ordner innerhalb einer Freigabe vor Nutzern verstecken, die weder Lese- noch Schreibrechte besitzen.
Ordner die ein Dollarzeichen an Ende des Dateinamen besitzen, sind in Windows Unsichtbar. Dies gilt aber für alle Benutzer, ohne Ausnahme. Das nützt mir noch weniger als der Status Quo (das alle Freigaben immer sichtbar sind).
Einen Ordner per Eigenschaft auf "unsichtbar" setzten. Es gilt das selbe wie im Absatz oben. Und bei ABE wird ein Ordner auch nicht angezeigt, auch wenn man eingestellt hat, dass man unsichtbare Ordner anzeigen soll. Mit der unsichtbarkeits Eigenschaft hat das nichts zu tun.

Die Frage:
Wie packe ich das Problem an? Ich weiß nicht wo ich ansetzten soll!
Wo kann man bestimmen, welcher Ordner wann sichtbar ist?


Wenn ihr andere Lösungsmöglichkeiten (zu glauben) kennt, schreibt mir bitte eine PN!
Wenn ihr eine Antwort schreiben wollt, die keinen vollständigen Satz ausmacht, verzichtet darauf!

Danke für eure Vorschläge und Ideen!

 

[Maysi2k]

Also, es ist so - dass die Freigaben nunmal bei Windows generell sichtbar sind - auch wenn man keine Berechtigung für den Ordner hat. Das ist schonmal der Fakt!

Wir haben es bei uns im Netzwerk hinbekommen, dass die ordner ohne Berechtigung nicht angeziegt werden - jedoch ist das wirklich seeehr Buggy!

Aber ich komme gerade nicht drauf, wie wir das eingerichtet hatten.... Ich habe im Hinterkopf, dass es irgendwo im DFS war - ich melde mich nochmal, wenn es mir eingefallen ist.

EDIT: Ich meine, wir hatten das mit ABE gelößt, also "Access Based Enumeration".

 

[Waira]

Hi

Ich warne dich vor DFS. Es kann sein dass es bei manchen gut funktioniert, aber nur wenn die Verbindung 100,00% der Zeit aufrechterhalten wird und immer ausreichend Bandbreite zur Verfügung steht. Sonst gibt es großen Ärger und Dateninkonsistenzen, wie bei einem Kunden von mir. Leute, die DFS programmiert haben gehören auf den Mond geschossen.

lg

 

[Crys]

Was ich nicht will:
Erweiterungen wie ABE (Access Based Enumeration) [...]

EDIT: Ich meine, wir hatten das mit ABE gelößt, also "Access Based Enumeration".

Leider nicht.

So wie ich DFS verstehe, ist das im großen ganzen nur ne duplizierungs Geschichte, wenn man mehrere Server besitzt. Wie hat das mit meinen Problem zu tun?

 

[Sebbi]

kurz und bündig: wenn du keine Erweiterungen haben willst, geht es nicht.

was du machen kannst, wenn du in einer Domaine Arbeitest:

du kannst den zugriff auf die Netzwerkumgebung verbieten per Gruppenrichtlinen, Benutzergruppen erstellen und entsprechende Benutzer hinzufügen. Dann den Gruppen per Gruppenrichtiline die Freigaben als Netzlaufwerke beim Start verbinden, auf die sie zugreifen sollen.

 

[Crys]

• Unbedingt alles lesen, bevor ihr antwortet!
• Ich suche nach einer Antwort zu meiner Frage, ich möchte das Problem auf keine andere Weiße lösen!
• Geht nicht, gibt's nicht!

Ist das wirklich sooo schwierig zu lesen?

kurz und bündig: wenn du keine Erweiterungen haben willst, geht es nicht.

Wo habe ich jemals geschrieben, dass ich keine Erweiterung haben will?
Ich möchte/ich brauche eine Erweiterung in irgendeiner Form!
Ich möchte diese Erweiterung js sogar selbst programmieren oder was glaubst du hat dieser Thread im Programmieren-Forum zu suchen?
Und wieso schreibe ich was ich alles machen kann, inklusive programmieren!?

Die Erweiterung ABE funktioniert nicht so, wie ich es will. Was ich extra noch einmal erwähnt und verdeutlicht habe. Was aber auch wieder einfach ignoriert wurde ...

was du machen kannst, wenn du in einer Domaine Arbeitest:

du kannst den zugriff auf die Netzwerkumgebung verbieten per Gruppenrichtlinen, Benutzergruppen erstellen und entsprechende Benutzer hinzufügen. Dann den Gruppen per Gruppenrichtiline die Freigaben als Netzlaufwerke beim Start verbinden, auf die sie zugreifen sollen.

Sprich eine manuelle Lösung für jeden Clienten einzeln!?
Also genau das, was ich nicht machen will!
Extrem umständlich, weil ich das persönlich an allen Rechnern einrichten muss ... zudem hat das mit dem Problem, mit dem Titel "Freigaben-Sichtbarkeit steuern" rein gar nichts zu tun!
Zumal, wie soll das, wie in meinem Beispiel (das ich nicht zum Spaß dazu geschrieben habe), mit einer MediaStation, die selbstverständlich nicht auf Windows basiert, funktionieren? Gar nicht!


Durch ein bisschen aufmerksames lesen hätte sich dieser Post leicht vermeiden lassen und wir alle hätten Zeit gespart!

 

[Erdmännchen]

Uh, da ist aber jemand kratzbürstig hm?
Wenn man ein bisschen freundlicher ist und daran denkt, das auch hinter einem anonymen Post ein Mensch sitzt, dann sind doch alle glücklicher oder nicht?
Leute versuchen dir zu helfen und du pisst ihnen ans Bein...
Denk mal drüber nach!

Vielleicht kannst du das mal ausprobieren:
http://qa.social.technet.microsoft.com/Forums/en/winserverfiles/thread/9def0518-74d0-4bca-9328-95530cb95970

No DFS and ABE configured on this server.

 

[Crys]

Uh, da ist aber jemand kratzbürstig hm?
Wenn man ein bisschen freundlicher ist und daran denkt, das auch hinter einem anonymen Post ein Mensch sitzt, dann sind doch alle glücklicher oder nicht?
Leute versuchen dir zu helfen und du pisst ihnen ans Bein...
Denk mal drüber nach!

Wie hätte ich freundlicher antworten können?
"Danke für deine Antwort. Wie aber schon im aller ersten Post von mir und in der Frage formuliert ist deine erste Aussage einfach falsch und deine zweite für mich nicht zu gebrauchen!" Aber ob das netter ist ...
Der Inhalt meiner Antwort, auf diese Antwort kann ja nur der selbe bleiben, und zwar das man sich diesen Post hätte sparen können.
Weil eine Antwort, in der nichts produktives steht ist keine Antwort. Oder sehe ich nur das so?

Vielleicht kannst du das mal ausprobieren:
http://qa.social.technet.microsoft....s/thread/9def0518-74d0-4bca-9328-95530cb95970

Danke, das kannte ich noch nicht.
Bei mir hat aber das Eingenschaften Fenster nicht so viele Fenster, weder auf dem WHSv1, noch auf meinem anderen Gerät mit Windows Server 2008 RC2 DC.
Egal, wenn ich aber den Rest so befolge, dann bewirkt dass das selbe wie ABE, ich kann nur einen Unterordner einer Freigabe verstecken! Ist doch richtig so, das sagt ja auch schon die Überschrift aus!?
Wenn ja, dann ist es (ja, wie auch schon erwähnt) nicht das was ich möchte. Ich möchte die Freigabe selbst un-/sichtbar machen.

 

[Maysi2k]

Hatte das mit der ABE schon gelesen, wollte nur bescheid sagen, dass wir es so gelößt hatten.
Ich persöhnlich kenne mit den Windowsmitteln keinen anderen weg.

Novell konnte das ohne Probleme...

Ich vermute, dass du das Problem nicht anders lösen wirst - auch wenn du schreibst "Geht nicht, gibts nicht".

 

[Crys]

Hatte das mit der ABE schon gelesen, wollte nur bescheid sagen, dass wir es so gelößt hatten.

Klar, war auch ein Vorwurf an dich.
Ihr habt halt was anderes per ABE gelöst, nicht das was ich vor habe ...

Novell konnte das ohne Probleme...

Leider war und das schon vor 20 Jahren
Leider kenne ich mich mit Linux und im speziellen mit freigaben unter Linux gar nicht aus.
Und den ganzen Server deshalb auf Linux zu ändern wäre eh kein leichter Weg.

Ich vermute, dass du das Problem nicht anders lösen wirst - auch wenn du schreibst "Geht nicht, gibts nicht".

Wie meinst du "nicht anders lösen wirst"?
Außer auf Windows zu verzichten habe ich bisher keine Lösung gesehen.


Ich habe mir das so vorgestellt:
Der Client sendet ja eine Anfrage an den Server, für die Ordnerliste, wenn der Client einen Ordner aufrufen will. Der Server gibt dann die Liste an den Clienten aus.
In diesen Schritt müsste man eingreifen, dass der Server nicht alle Ordner ausgibt, sondern vorher prüft ob der Client Rechte für diesen Ordner besitzt und diesen nur dann an den Client aus gibt.

 

[Sebbi]

Wo habe ich jemals geschrieben, dass ich keine Erweiterung haben will?

Hier:

Was ich nicht will:
Erweiterungen wie ABE (Access Based Enumeration) ermöglichen es einen Ordner unsichtbar zu machen.

---

Sprich eine manuelle Lösung für jeden Clienten einzeln!?

Wenn du in einer Domäne arbeiten würdest, hättest das glaub ich nun nicht gefragt. Bei einer Domäne wird die Benutzersteuerung über den Server gemacht usw.

---
und ich klinke mich an der stelle ebenfalls aus, denn ich muss Erdmännchen recht geben denn:

Ist das wirklich sooo schwierig zu lesen?

ist schon ziemlich mies

 

[Crys]

@Sebbi:
"Erweiterungen wie ABE [...]"! Erweiterungen die nicht das machen, was ich will!
ABE habe ich explizit erwähnt, weil das immer wieder als Problemlösung kommt, aber leider doch keine ist!
Ernsthaft, was soll ich dazu sagen, wenn du mir was Wort im Mund umdrehen willst?

Wenn du in einer Domäne arbeiten würdest, hättest das glaub ich nun nicht gefragt.

Genau, so ist das!
Leider kann ich mir (noch immer) nicht vorstellen, was du damit meinst bzw. sagen willst.
Ich besitze (Internet-) Domain, aber dass wird damit wenig zu tun haben. Ich frage ja nicht zum Zeitvertreib, sondern weil ich eine konstruktive Antwort möchte.

 

[holy]

Meine Eltern haben mir gesagt "Der Ton macht die Musik.". Offensichtlich haben deine das vergessen zu erwähnen. ABE ist genau das, was du suchst. Die wohl simpelste Lösung wäre einen Share, in welchem du deine Ordner veröffentlichst. Mir fällt auch grade kein Szenario ein, was gegen diese Lösung sprechen könnte.

Ich besitze (Internet-) Domain, aber dass wird damit wenig zu tun haben. Ich frage ja nicht

Du scheinst ein richtig erfahrener Win-Admin zu sein.

 

[Ernst@at]

Ich will hier nicht hinterfragen, warum die Problemstellung so aussieht. Einige scheinen das nicht verstehen zu wollen.
Klare Frage - klare Antwort:
Ohne ABE wird die einzige Methode, da etwas in gewünschter Form zu erreichen, nur mittels Hard-Links auf die gewünschten einsehbaren Ordner(anzulegen per Script in einem benutzerexklusiven Verzeichnis) sein, was dann allerdings bei jeder Änderung der Berechtigungen aufgerufen werden muss, um die alten Links entfernen und die aktuellen wieder hinzufügen zu können.
Bei Aktiven Usern wird das aber vielleicht nicht möglich sein, da die Links "in use" (das hab ich aber nie ausprobiert).
Die Erzeugung könnte man dann aber auch mit einem Login-Script anstossen.

 

[Crys]

Meine Eltern haben mir gesagt "Der Ton macht die Musik.". Offensichtlich haben deine das vergessen zu erwähnen.

Natürlich ist das mein Fehler, kein Zweifel. Liegt wohl daran, dass ich ein höheres Niveau gewohnt bin.
Wenn ich halt schon explizit beschreibe, was ich will und was ich nicht, dann erwarte ich dass das auch angenommen wird und nicht da noch mal angesetzt wird.
Wenn man in Mathe sitzt und eine Parabel anhand einer Potenz-Funktion beschreiben soll nutzt es nichts, wenn man sagt mit ner Linearen-Funktion geht das auch fast genau so gut ...

ABE ist genau das, was du suchst. Die wohl simpelste Lösung wäre einen Share, in welchem du deine Ordner veröffentlichst. Mir fällt auch grade kein Szenario ein, was gegen diese Lösung sprechen könnte.

Puhh ... das kostet mir halt Nerven.

Wieso ist ABE "genau das, was ich suche"?
Ich habe oben explizit ABE erwähnt, weil das nicht das ist, was ich suche. Wirklich!
Ich möchte eine Freigabe verstecken, keinen Ordner unterhalb einer Freigabe.

Du scheinst ein richtig erfahrener Win-Admin zu sein.

Das für diese qualifizierte Bemerkung. Ja, ich bin der erfahrenste Win-Admin bei mir Zuhause.

 

[Green Mamba]

Glaubst du dass du mit dieser Art gerade die Leute mit dem notwendigen Background, die das hier im Gegensatz zu dir als Zeitvertreib machen, dazu bringen kannst dir zu helfen? Sei dir bewusst, dass du hier kostenlose Hilfe ohne Gegenleistung erfragst. Natürlich kann jeder selbst entscheiden ob er jemandem Hilft, der auf diese Art mit seinem Gegenüber umgeht.
Weitere Diskussionen zu diesem Thema sind hier im Thread fehl am Platze und werden unter Umständen gelöscht, bei etwaigen Fragen stehe ich gern per PN zur Verfügung.

 

[holy]

Liegt wohl daran, dass ich ein höheres Niveau gewohnt bin.

Wenn dir das Niveau hier nicht ausreicht, wieso fragst du dann überhaupt hier?

Wieso ist ABE "genau das, was ich suche"?
Ich habe oben explizit ABE erwähnt, weil das nicht das ist, was ich suche. Wirklich!
Ich möchte eine Freigabe verstecken, keinen Ordner unterhalb einer Freigabe.

Wieso schließt du ABE aus? Mit welcher Begründung? Eine andere Lösung wurde oben schon erwähnt, dazu brauchst du aber eine Domäne, dessen Konfiguration und Verwaltung (vermutlich) deine Fähigkeiten übersteigt.

Wenn dir das Niveau noch zu niedrig sein sollte, kannst du auch SMB bzw. CIFS spoofen, d.h per MitM-Attacke ein bestehendes Token abfangen, schauen welche Rechte der zugehörige User hat und dem entsprechenden Client eine falsche Antwort vorgaukeln - auch das dürfte deine Fähigkeiten übersteigen.

Das für diese qualifizierte Bemerkung. Ja, ich bin der erfahrenste Win-Admin bei mir Zuhause.

Geh mal vor die Tür und leg vorher den Mantel-der-Arroganz ab.

 

[Crys]

Wieso schließt du ABE aus? Mit welcher Begründung?

Wenn du erlaubst das ich mich selbst zitiere (das soll kein Ausdruck von Aroganz sein, ich weiß nicht nicht wie ich das besser formulieren soll. Fass es als meine Beschränktheit auf) :

Erweiterungen wie ABE (Access Based Enumeration) ermöglichen es einen Ordner unsichtbar zu machen. Dies geht aber nicht an einen Freigegebenen Ordner selbst. Man kann nur Ordner innerhalb einer Freigabe vor Nutzern verstecken, die weder Lese- noch Schreibrechte besitzen.

Ist einfach das falsche. Der Freigegebenen Ordner selbst soll ja nicht angezeigt werden.

Eine andere Lösung wurde oben schon erwähnt, dazu brauchst du aber eine Domäne, dessen Konfiguration und Verwaltung (vermutlich) deine Fähigkeiten übersteigt.

Ich nutze selbst auch eine Domäne, in dem Sinn, dass auf meinem Server alle Benutzerkonten angelegt sind und die (Client-)PCs die Benutzer informationen von diesen Server/dieser Domäne beziehen. Das verstehe ich unter Domäne.
Nur kann ich mir wirklich nicht vorstellen wie das mit meinem Problem zu tun hat.
Für eine Erklärung wäre ich sehr dankbar.

Wenn dir das Niveau noch zu niedrig sein sollte, kannst du auch SMB bzw. CIFS spoofen, d.h per MitM-Attacke ein bestehendes Token abfangen, schauen welche Rechte der zugehörige User hat und dem entsprechenden Client eine falsche Antwort vorgaukeln - auch das dürfte deine Fähigkeiten übersteigen.

Danke, aber so etwas habe ich mir wirklich erhofft. Ich frage ja um zu lernen.
Wie manipuliere ich den SMB? MITM-Angriff ist ja nicht nötig, ich hab ja direkten zugriff von/auf dem Server. Erzähl mir mehr.