ComputerBase Menü
Aktuelles

Windows Ordnerberechtigungen über Doppelte Gruppenvererben und Abrufen. "fehlersuche"

O

OneShot

Lt. Junior Grade
Registriert
Mai 2006
Beiträge
321
Hallo Liebe Computerbasecommunity,

ich habe folgendes Probleme und auch meine Kollegen kommen mit mir nicht weiter. Ich würde mich freuen wenn mir jemand eine Idee oder vielleicht helfen könnte wenn ich einen gedanklichen Fehler mache.


Problem: wir haben aktuell einen Fileserver, dieser soll neu aufgebaut werden mit über und untergeordneten Ordnern.
Die User haben einen AD Account und werden dann in einer Gruppe zugeordnet. Die Ordner werden von uns vorgegeben und die Ordner haben die gleiche Bezeichnung wie die Gruppe. alle einzel Ordner (gruppenberechtigungen) werden in eine Übergeordnete Gruppe gesteckt und sollen dann über ein VBS Script per Laufwerks Buchstabe gemapped und angezeigt werden. Dies klappt aber nur "halb".


die Ordnerstruktur:

FileServer01: Festplatte D:
Einkauf\
Marketing\
Verkauf\


Wir machen das Beispiel für den Einkauf, der über geordnete Einkauf soll als Laufwerk X: gemapped werden, dieser hat die Berechtigungsgruppe: im AD - Einkauf_Gesamt. Im Ordner Einkauf befinden sich jetzt Unterordner.

Einkauf\01_Papier\ ----> Bekommt die AD_Gruppe Einkauf_Papier
Einkauf\02_Pappe\ ----> Bekommt die AD_Gruppe Einkauf_Pappe
Einkauf\03_Metall\ ----> Bekommt die AD_Gruppe Einkauf_Metall
Einkauf\04_Holz\ ----> Bekommt die AD_Gruppe Einkauf_Holz

Alle Untergruppen werden der AD_Gruppe_Einkauf_Gesamt zugeordnet.

Das bedeutet ich Mappe jetzt für Mitarbeiter A (Hans)ausgedachter Name - das Laufwerk X, er bekommt den Ordner \\Einkauf\ angezeigt und kann diesen anklicken, im Ordner werden Ihm dann alle 4 unter Ordner angezeigt. Hans befindet sich nun zusätzlich in der Gruppe Einkauf_Papier und diese Gruppe ist natürlich mit Lese und Schreibrechten nur auf den Ornder Einkauf_Papier berechtigt. Auf die anderen Einkauf Ordner nicht, diese haben ihre Eigene Gruppe, wie beschrieben.

Wenn Hans jetzt den Ordner : Einkauf\01_papier\ öffnen will, kommt die Fehlermeldung er hätte keine Berechtigungen.

Wo liegt mein gedanklicher Fehler?

Wie gesagt, die Gruppen_Einkauf Papier... ff. sind jeweilig alle mit Lese und Schreibrechten auf die Unterordner berechtigt. Und die einzelnen User befinden sich auf in den jeweiligen Gruppen.
 
Hast du sowohl unter Freigabe als auch Sicherheit entsprechend deiner Vorstellungen die Gruppen eingetragen? Die Frage ist auch welche Berechtigungen hast du unter "Sicherheit" auf "Einkauf" gegeben? Verweigern ist stärker als "Erlauben" wenn du also auf "Einkauf" einschränkst und Vererbung aktiv ist kann es nicht funktionieren.
 
Ohne die gesetzten Rechte zu sehen wird das schwer Dir hier zu helfen.
Fang an bei den Freigaberechten ob da alles passt, dann durchackern was wo und wie unter den Ordner/Dateirechten noetig ist.

Sehe ich das richtig, das Du per Script Unterordner einer Freigabe fuer die Nutzer verbindest?
Das hatten wir auch mal gemacht, spaeter aber aufgegeben weil die Rechteverwaltung zu unuebersichtlich (im Zusammenhang Mounten, Freigaberechte, NTFS-Rechte) wurde.
Wir nutzen jetzt nur noch eine "Freigabe" und ABE (Access Based Enumeration). Die Leute haben einen Ordner verbunden und sehen in diesem Ordner nur das fuer das sie berechtigt sind.

BFF
 
Moin,
die ABE ist sicherlich sinnvoll wenn ihr viele Ordner habt um die Kollegen nicht zu verwirren.
Du kannst auch mal im Sicherheits Tab bei den "effektiven Berechtigungen" schauen. Vielleicht hilft das das schon weiter. Wie @BFF aber schon gesagt hat, wäre ein Beispielauszug aus den Berechtigungen hilfreich.

Falls du noch Informationen zu den Berechtigungen brauchst kannst du auch hier schauen:
https://www.migraven.com/best-practice-berechtigungsvergabe-ntfs-share-filesystem/

Grüße
 
Zunächst würde ich erst mal sicherstellen, dass in den Freigabeberechtigungen "Jeder" mit "Vollzugriff drinsteht.
Die echten Zugriffsberechtigungen werden dann über die Sicherheitseinstellungen/NTFS-Einstellungen gesetzt.

Weiterhin: Falls Ihr mit Abteilungslaufwerken arbeitet, á la "je nach Gruppenzugehörigkeit ist "X" entweder Verkauf oder Einkauf" --> gleich sein lassen. Das führt nur irgendwann zu absurden Situationen, wo ein Manager der grundsätzlich Zugriff auf mehrere Ordner braucht nur ein bestimmtes Laufwerk gemappt bekommt. Je nachdem welches Lauwerk im Skript zuletzt gewonnen hat.

Macht das:
Wir nutzen jetzt nur noch eine "Freigabe" und ABE (Access Based Enumeration). Die Leute haben einen Ordner verbunden und sehen in diesem Ordner nur das fuer das sie berechtigt sind.
Zum Vergrößern anklicken....

+ DFS-N. & Netzlaufwerke gleich ganz abschaffen, wenn die Möglichkeit besteht. Der Komfort die Freigaben als Netzlaufwerk direkt im Explorer stehen zu haben hat einen Rattenschwanz an Nachteilen.
 
  • Gefällt mir
Reaktionen: BFF
ynfinity schrieb:
Hast du sowohl unter Freigabe als auch Sicherheit entsprechend deiner Vorstellungen die Gruppen eingetragen? Die Frage ist auch welche Berechtigungen hast du unter "Sicherheit" auf "Einkauf" gegeben? Verweigern ist stärker als "Erlauben" wenn du also auf "Einkauf" einschränkst und Vererbung aktiv ist kann es nicht funktionieren.
Zum Vergrößern anklicken....

Hallo Ynfinity,
es sind keine Verweigerungen eingetragen, und die Berechtigungen auf der Freigabe ebene (sichtbarkeit sind auch auf die jewelige Gruppe zugeordnet. (also die Gruppe "Jeder" habe ich bewusst aus der Freigabe entfernt) damit möglichst in der Ordnerauflistung" nur die angezeigt werden die auch in wirklich der entsprechenden gruppe zugeordnet sind, also von der "sichtbarkeit" soll der Einkauf_papier auch nur den Ordner Einkauf_Papier sehen.
Ergänzung ()

t-6 schrieb:
Zunächst würde ich erst mal sicherstellen, dass in den Freigabeberechtigungen "Jeder" mit "Vollzugriff drinsteht.
Die echten Zugriffsberechtigungen werden dann über die Sicherheitseinstellungen/NTFS-Einstellungen gesetzt.
Zum Vergrößern anklicken....

Hallot T-6, die Jeder "freigabe" wurde in der ersten Auswahl bewusst gegen die entsprechende Gruppe ersetzt und das funktioniert auch, in dem die Ordner angezeigt werden. Die NTFS Sicherheitseinstellungen im Anschluss sind ja genauso gesetzt wie du es beschrieben hast, so das die Gruppe : Einkauf_Papier, auch nur einzeln mit Lese und Schreibrechten auf den Ordner : Einkauf_papier zugeordner sind, bei den anderen Ordnern natürlich die anderen gruppen. in der Gruppenberechtigungen Einkauf_Papier, befinden sich dann noch zusätzlich alle AD User welche halt mitarbeiter der Papierabteilung sind.

Deshalb vermute ich ja einen logik fehler der mir unterlaufen ist.
 
Das ist jetzt knifflig aus der Ferne festzustellen was die Ursache sein könnte, daher noch mal ein paar in den Raum geworfen:
  • Benutzer hat sich nach Setzen der Berechtigungen noch nicht ab- und wieder angemeldet
  • NTFS-Berechtigungen wurden nur auf "Dieser Ordner" gesetzt & nicht "Dieser Ordner, Unterordner usw."
  • irgendwo wurde eine Verweigern-Berechtigung gesetzt die den Benutzer inkludiert (Klassiker: "Fileserver\Benutzer" --> sind u.A. alle Domänen-Benutzer)

Wie auch immer. Die Empfehlung zu ABE besteht, inkl. eine generischen Freigabe auf den Stamm auf die "Jeder" vollberechtigt ist.
 
t-6 schrieb:
Das ist jetzt knifflig aus der Ferne festzustellen was die Ursache sein könnte, daher noch mal ein paar in den Raum geworfen:

Wie auch immer. Die Empfehlung zu ABE besteht, inkl. eine generischen Freigabe auf den Stamm auf die "Jeder" vollberechtigt ist.
Zum Vergrößern anklicken....

  • Benutzer hat sich nach Setzen der Berechtigungen noch nicht ab- und wieder angemeldet

    -> Ja wir haben extra einen "dummy Accounterstellt" um das zutesten, an und Abmelden nach jeweiligen berechtigungsänderungen wird am Terminalserver durchgeführt.

  • NTFS-Berechtigungen wurden nur auf "Dieser Ordner" gesetzt & nicht "Dieser Ordner, Unterordner usw."

    --> Hier meinst du warscheinlich ob die Vererbung aktiv ist, generell ist auf dem "obersten Ordner "einkauf" keine Vererbung eingestellt, da ja hier die Gruppe: Einkauf_Gesamt, als explizite Berechtigung hinterlegt ist. Dadurch können alle untergruppen die der "Einkauf_Gesamt" gruppe zugeordnet sind den Hauptordner Einkauf öffnen und sehen dann auch die Unterordner. Wiederum sind die Unterordner so berechtigt das die jeweilige Untergruppe diesen Ordner öffnen / Lesen / und schreiben können soll. So das im Anschluss im Ordner "einkauf_papier" die berechtigungen weiter vererbt werden.

  • irgendwo wurde eine Verweigern-Berechtigung gesetzt die den Benutzer inkludiert (Klassiker: "Fileserver\Benutzer" --> sind u.A. alle Domänen-Benutzer)

    -> Danke für die Idee aber hier muss ich sagen, es sind generell keine "Verweigerungen" aktiv, User die keine Berechtigungen haben sollen sind einfach direkt aus der Sicherheitsebene des jeweiligen Ordners entfernt worden.
 
Zuletzt bearbeitet:
OneShot schrieb:
Hier meinst du warscheinlich ob die Vererbung aktiv ist, generell ist auf dem "obersten Ordner "einkauf"
Zum Vergrößern anklicken....

Nein das ist hier nicht gemeint. Gemeint ist diese Stelle.

1573594430401.png


u.U. musst Du hier auch mehrfach Rechte fuer das "Anwenden auf" einstellen. Sprich "Lesen/Ordnerinhalt" nur fuer den "Ordner" aber auch "Aendern" fuer "Nur Unterordner und Dateien". Das brauchst Du definitiv fuer den Fall das der Nutzer Dir nicht einfach ganze Ordner weg loescht.

Ich bin immer noch der Meinung, das Dein Problem @OneShot nicht hier geloest werden kann.
Keiner hier sieht was exakt bei Dir eingestellt ist. Und staendig nachfragen hier bringt Dich nicht weiter da u.U.verschiedene Meinungen bzw. Ansaetze aufeinander prallen.
Mein Rat ist: Sucht Euch in Eurer Umgebung jemanden der das fuer Euch macht.
Wenn Du danebensitzen kannst, lernst Du es gleich mit.

BFF
 
Hallo Leute,

ich hab das Problem gefunden und möchte euch hiermit die Lösung Präsentieren.

Themenbezogen lag der Fehler in der Auswahl des "Gruppentyps". Um Daten in der Domäne von einer Gruppe auf eine andere Gruppe zu vererben müssen die obersten Gruppen, "Lokale Domänen Gruppen sein", nur die unterste Gruppe welche die User beinhaltet, darf entsprechend eine Universalgruppe sein. Somit greifen die lokalen Gruppen aufeinander zu.

Dies klappt entsprechend nur wenn die übergeordneten Gruppe lokale sind. Habe euch ein Beispielbild mit reingehangen.

Abschließend suchen wir nun noch eine möglichkeit, "Nicht Freigegeben Ordner auszublenden." ^^
 

Anhänge

  • Einkauf.JPG
    Einkauf.JPG
    261,7 KB · Aufrufe: 3.589
  • Gefällt mir
Reaktionen: t-6
Uff, kompliziert. Ich versteh noch nicht ganz warum überhaupt diese "Obergruppe" erstellt wurde wenn ohnehin feingranular jedes Verzeichnis eine Zugriffsgruppe zugeteilt bekommt. Mein Bauchgefühlt sagt, dass das einfacher gehen kann.
Danke für's Feedback; hab ich wieder was für's Labor.

Abschließend suchen wir nun noch eine möglichkeit, "Nicht Freigegeben Ordner auszublenden." ^^
Zum Vergrößern anklicken....
Stichwort "Zugriffsbasierte Aufzählung" ;)

edit, aus dem Screenshot:
"um die Ordner einzeln freizugeben, muss die Freigabe nun auf den Untergruppen errfolgen, sowie in der Sicherheits, Lese und Schreibrechte für die jeweilige Gruppe eingestellt werden"

--> Vorsicht damit. "Heutzutage" werden keine Ordner mehr einzeln freigegeben und schon gar nicht, wenn diese Ordner bereits in einer "übergeordneten" Freigabe liegen. Das führt zu allen möglichen Verwirrungen, weil die endgültigen Pfade (UNC; FQDN etc.) zu letztlich einer bestimmten Datei anders ausfallen können.
Weiterhin: Lasst den Unfug mit granularen Freigaberechten sein (wenn ich das richtig lese). Letztlich sollen die NTFS-/Sicherheitseinstellungen die endgültige Berechtigung klären. Da muss man es sich nicht noch mit feingranularen Freigaberechten verkomplizieren.

Usus ist: Eine Freigabe soweit "oben" wie möglich*, Vollzugriff für "Jeder", Rechte auf NTFS-Ebene und lass ABE die Sichtbarkeit machen.
DFS-N noch mit reinwerfen weil toll.

*natürlich das 256-Zeichen-Limit nicht vergessen. Also in die Leute reintrimmen, dass Ordner & Dateinamen kurz & prägnant sein sollen und nicht "Ordnerablage für das Kinderfest 2018 - Zusagen & Absagen\Zusagen von Mitarbeitern im Stammwerk\Fw: Hier ist Familie Müller - wir sind beim Kinderfest 2018 dabei!.eml"
 
Zuletzt bearbeitet:
T-6, es geht darum, das die übergeordneten Gruppe auch anderen abteilungen zugeordnet werden sollen, also entsprechend "newsletter" oder einem "austauschlaufwerk" zwischen mehreren Abteilungen, wenn die Gruppierung so funktioniert, kriegt jeder mitarbeiter dann auch die anderen Ordner welche nicht direkt seiner Abteilung einzeln zugeordnet sind auch ebenfalls "automatisch" berechtigt.

Hintergrund ist einfach das wir uns arbeit beim An und Abmelden von Usern sparen wollen und vorallem nicht für jeden Ordner eine einzelne Laufwerksverknüpfung per VBS anmeldescript, sondern jeder User bekommt den "Obersten Ordner" gemappt, und klickt sich dann in seinen Bereich rein. Ansonsten müsste man für jeden Ordner und jede abteilung ein einzelnes Laufwerk per VBS Script zuordnen und wenn sich dann mal was in den Unterordnern ändert, müsste man die Scripte anpassen. Das haben wir aktuell noch in 2 abteilungen ist einfach Zeitraubend. Sinn dahinter ist den Prozess zu vereinfachen.
 
Ich steh irgendwie immer noch auf dem Schlauch. Wäre es nicht einfacher alle relevanten Mitarbeiter direkt als Mitglied in die Obergruppe zu werfen statt Gruppen so zu nesten? (Ok; das ist immer abhängig von Struktur und Größe)

btw: Für Netzlaufwerkmappings gibt es seit einem Jahrzehnt relevante GPOs.

Hintergrund ist einfach das wir uns arbeit beim An und Abmelden von Usern sparen wollen und vorallem nicht für jeden Ordner eine einzelne Laufwerksverknüpfung per VBS anmeldescript, sondern jeder User bekommt den "Obersten Ordner" gemappt, und klickt sich dann in seinen Bereich rein. Ansonsten müsste man für jeden Ordner und jede abteilung ein einzelnes Laufwerk per VBS Script zuordnen und wenn sich dann mal was in den Unterordnern ändert, müsste man die Scripte anpassen. Das haben wir aktuell noch in 2 abteilungen ist einfach Zeitraubend. Sinn dahinter ist den Prozess zu vereinfachen.
Zum Vergrößern anklicken....
Ah ja ^^ Auf dem richtigen Weg. Netzlaufwerke gehören so stark wie möglich reduziert. Das sind keine einfachen Verknüpfungen sondern haben signifikante Fallstricke.
Intern sind wir schon dabei alle "Buchstaben" zu reduzieren, sofern alle relevanten Programme damit kompatibel sind.
Bei einem Kunden haben wir mittlerweile keine Netzlaufwerke mehr, nur noch eine Verknüpfung zum DFS-Share der auf allen Desktops automatisch auftaucht. Die Verknüpfung im Explorer automatisch einzubinden ist etwas komplizierter, schaffen wir aber auch noch.
 
Zuletzt bearbeitet:
Das Problem ist einfach das wir verschiedene Firmen betreuen, die in verschiedenen Gesellschaften arbeiten, jedoch müssen teils die Geschäftsbereichsleitungen auf gemeinsame Ordner zugreifen können. Bis her wurden immer für jeden einzelnen Ordner, eine einzelne Gruppe angelegt. Das wird aber dann mühselig wenn die Abteilungen jeweils immer 20 oder mehr Ordner hast dann hast du pro Gesellschaft, 20-30 Gruppen die dann die Ordner freigeben. Dann muss du wieder "Exceltabellen führen" welcher Mitarbeiter darf alles in welchen Ordner, das ist ultra aufwendig. Merken wir vorallem bei den "metallern und Holzarbeitern" ;)

Daher hatte ich mich rangesetzt das System soweit zu vereinfachen!
 
Hallo Leute heute kann ich mit Stolzsagen auch das Letzte Problem konnte behoben werden.


Wie in meinem Post beschrieben haben wir die Ordner der jeweiligen Abteilungen mit einer Verschachtelten Gruppen Dynamik gelöst so das Mitarbeiter nur noch einer Einzigen Untergruppe zugeordnet werden müssen und damit alle Ordnerberechtigungen erhalten.


Nun habe ich ebenfalls noch das Problem mit den Sichtbarkeiten der nicht freigegebenen Ordner gelöst. Hierbei muss unter Windows SERVER 2012 R2 das ABE aktiviert werden.

Und zwar auf "FREIGABE Ebene" das bedeutet, auf dem "obersten Freigabe Punkt muss der Harken gesetzt werden!

Im Unter
1574079418689.png


1574079377370.png


Wichtig wenn auf Beispielsweise - Festplatte D: die Freigaben erfolgen sollen dann muss auf der ersten Ebene der Serverfestplatte erstmal ein "Verwaltungsordner", also wenn man Verschiedene Kunden hat:

Freigabe 1: Siemenskonzern\
Freigabe 2: Caritas\
Freigabe 3: Bildzeitung\

Dann muss nur auf diese obersten Freigaben die ABE Zugriffsaufzählung eingestellt werden. Damti sind dann im Anschluss alle weiteren Ordner innerhalb der Freigaben richtig zugeordnet. Heist abschließend wenn im Siemenskonzern wieder 2 Ordner drin liegen ,einer für z.b 01_Turbinen und 02_Holzverarbeitung, dann kann mit der entsprechenden NTFS Berechtigung dafür gesorgent werden das der Mitarbeiter aus der Holzverarbeitung, der Ordner Turbinen garnicht sichtbar angezeigt bekommt.

Ich wollte damit dieses Thema hier auch abschließen, also kann der Thread geschlossen werden, vielen Dank an alle beteiligten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz