Berechtigung - Windows Server 2012R2

[snapdragon]

Hallo,

ich habe drei Verständnisfragen, bei denen Ihr mir bestimmt helfen könnt.

1: Was ist denn der Unterschied zwischen "Rechtsklick auf Ordner, Karteireiter: Sicherheit, Benutzer Hinzufügen und Rechte geben"

und der Variante "Rechtsklick auf Ordner, Freigabe, Benutzer erstellen und Rechte zuweisen" ???

2: Ich hab das seltsame Problem auf meinem Windows Server 2012R2, dass ich lediglich beim Ordner "Programm Files (x86) im Karteireiter Sicherheit keinen Benutzer hinzufügen kann, obwohl ich als Admin eingeloggt bin. Bei allen anderen Ordner funktioniert es. Kennt Ihr das Problem?

3:Wenn ich die Rechte von C: ändern will und einen neuen Benutzer hinzufüge und übernehme klicke, kommt eine Warnmeldung, dass es zu Problemen kommen kann, wenn ich direkt auf C: die Berechtigung ändere. Wenn ich die Meldung bestätige, kommen eine Reihe Fehlermeldungen wie C:/Boot ändern nicht möglich. C:/ Programme ändern nicht möglich.

Frage: Ist es generell nicht möglich, einem Domänenbenutzer Rechte auf C:/ direkt zu geben? So das er auf die gesamte Platte vollzugriff bekommt?

Viele Grüße

snapdragon

[Thanks-and-Goodbye]

1: Was ist denn der Unterschied zwischen "Rechtsklick auf Ordner, Karteireiter: Sicherheit, Benutzer Hinzufügen und Rechte geben"

und der Variante "Rechtsklick auf Ordner, Freigabe, Benutzer erstellen und Rechte zuweisen" ???

Das eine bezieht sich auf NTFS-Rechte und das andere bezieht sich auf Freigaberechte.

2: Ich hab das seltsame Problem auf meinem Windows Server 2012R2, dass ich lediglich beim Ordner "Programm Files (x86) im Karteireiter Sicherheit keinen Benutzer hinzufügen kann, obwohl ich als Admin eingeloggt bin. Bei allen anderen Ordner funktioniert es. Kennt Ihr das Problem?

Works as designed. Windows wehrt sich gegen so einen Unsinn. Anwender brauchen keinen Zugriff auf den Programmpfad. Ist bei den Clientsystemen (Win 7, Win 8) nicht anders.

3:Wenn ich die Rechte von C: ändern will und einen neuen Benutzer hinzufüge und übernehme klicke, kommt eine Warnmeldung, dass es zu Problemen kommen kann, wenn ich direkt auf C: die Berechtigung ändere. Wenn ich die Meldung bestätige, kommen eine Reihe Fehlermeldungen wie C:/Boot ändern nicht möglich. C:/ Programme ändern nicht möglich.

Frage: Ist es generell nicht möglich, einem Domänenbenutzer Rechte auf C:/ direkt zu geben? So das er auf die gesamte Platte vollzugriff bekommt?

Siehe Antwort zu 2.

Mal eine Gegenfrage: was willst du denn damit bezwecken, dass ein Anwender den ultimativen Netzwerkzugriff auf die Systempartition eines Servers erhält? Dann kannste ihm doch auch gleich das Admin-Passwort in die Hand drücken.

Sorry, die einzige veröffentlichungsfähige Bewertung von dem von dir geplanten Vorgehen ist doch "Harakiri mit Ankündigung".

[snapdragon]

Hi,

zu 1: Welche Variante ist zu empfehlen, wenn ich erreichen will, dass gewisse Nutzer auf den Ordner Zugriffsrechte haben?

zu 2: Wir haben ein uraltes Programm im Einsatz, dass zwingend unter "Programm Files" installiert werden muss. Gewisse Nutzer brauchen darauf dann Zugriff. Natürlich könnte ich die Zugriffsrechte direkt nur auf den Unterordner setzen, allerdings ist das Programm noch nicht installiert und ich wollte für einige Tests die Freigabe eine Ebene höher (Programm files) setzen.

Wie gesagt sollen nur wenige Benutzer darauf Zugriff bekommen.

zu 3: Das war eher eine Frage aus Interesse.

[Thanks-and-Goodbye]

Zu 1: die Frage beantwortet sich, indem du dir die Unterschiede zwischen Freigaberechten und Filesystemrechten klar machst.

Zu 2: Derartige Berechtigungen werden immer granular an der Stelle gesetzt, an der sie den wenigsten Schaden verursachen. Rufen die Anwender das Programm direkt auf dem Server auf? Über eine Netzwerkverknüpfung oder über RDP?

Zu 3: Selbst ein Administrator hat auf einem Server keinen absoluten Vollzugriff.

[SilentDemise]

1. Beides hat unterschiedliche Einsatzzwecke. Es kommt darauf an, wie der User auf den Server zugreift.

2. IMMER dann direkt auf den Folder setzen. Program Files zu berechtigen ist eine potentielle Sicherheitslücke!!!

3. NEIN NEIN NEIN NEIN NEIN

[snapdragon]

Die Benutzer greifen via Desktopverknüpfung auf ein Programm zu, dass direkt auf dem Server installiert ist.

Ich frage mich eben, welche der oben genannten Varianten zu bevorzugen ist und warum ...

Gehen tun beide ...

[Eye-Q]

Wenn über eine Netzwerkfreigabe darauf zugegriffen werden soll, gibt es kein Entweder-Oder, sondern die Benutzer, die Zugriff bekommen sollen, müssen sowohl Freigabe- als auch NTFS-Berechtigungen erhalten.

Nur wenn ein Ordner auf einer lokalen Partition ist und auf diesen auch lokal zugegriffen wird (nicht über eine Netzwerkfreigabe), spielen nur die NTFS-Berechtigungen eine Rolle.

Wir machen das generell so, dass in der Freigabe "Jeder" Vollzugriff erhält und die Berechtigungen, ob jemand wirklich auf einen Unterordner zugreifen darf, in den NTFS-Berechtigungen vergeben werden. So gibt es keine sich gegenseitig behindernden Berechtigungen, wo man dann 20 Minuten sucht, wieso denn jemand nicht auf diesen oder jenen Ordner/Freigabe zugreifen kann.

[orioon]

Wir machen das generell so, dass in der Freigabe "Jeder" Vollzugriff erhält und die Berechtigungen, ob jemand wirklich auf einen Unterordner zugreifen darf, in den NTFS-Berechtigungen vergeben werden.

Dito, ich kenne viele Unternehmen die das so handhaben.

Selbst Microsoft empfiehlt oftmals dieses Vorgehen.

Freigabeberechtigungen haben allerdings den Vorteil, dass nicht jedes File angefasst merden muss wenn man sie abändert.

[pr0gg3r]

Die Benutzer greifen via Desktopverknüpfung auf ein Programm zu, dass direkt auf dem Server installiert ist.

Ich bin mir noch nicht ganz sicher, was du da machst. Ihr habt ein Programm auf einem Server installiert (unter C:\Program Files (x86)\Programmname\Programm.exe) und ruft das so über eine Verknüpfung vom Server auf? Davon abgesehen, dass hierbei eine Remote-App (über RDP) mehr Sinn machen würde, solltest du da niemals C:\ für alle Benutzer freigeben. Wenn überhaupt, dann nur C:\Program Files (x86)\Programmname\ oder noch besser, ein Verzeichnis "Remoteprogramme" oder wie auch immer unter C ablegen und dort die Programme rein installieren und die Freigabe drauf machen.

Ich frage mich eben, welche der oben genannten Varianten zu bevorzugen ist und warum ...

Gehen tun beide ...

Du hast vermutlich den Unterschied noch nicht verstanden. Eine "Freigabe" bedeutet, dass ein berechtigter Benutzer von seinem Computer aus auf das Verzeichnis zugreifen darf. Sieht dann quasi so aus, als ob er auf seinem Computer wäre. Unter \\server-name siehst du dann die freigegebenen Verzeichnisse. Unter "Sicherheit" stellst du die Rechte für den am Computer angemeldeten Benutzer ein. So kannst du zB sagen, dass ein anderer Kollege auf deinen öffentlichen Ordner zugreifen darf, obwohl er sich nicht mit deinem Benutzer, sondern eben mit seinem anmeldet. Oder du hast ein Netzlaufwerk, von dem Dateien nur gelesen, aber nicht überschrieben werden dürfen (oder nur bestimmte Benutzer dürfen ändern). Das passiert auf Dateisystem-Ebene. Wenn du also ein Verzeichnis im Netz freigeben möchtest, musst du 1. einstellen, dass der Benutzer auf die Freigabe zugreifen darf (Freigabeberechtigung) und 2. dass und wie der Benutzer auf das Dateisystem zugreifen darf (Sicherheit). Damit man das nicht ständig parallel machen muss, wenn man davon ausgeht, dass der zugreifende Benutzer auch Lese/Schreiben/Ändern-Rechte hat, kann man auch lokale oder globale Gruppen erstellen, und diese dann hinzufügen. Dann haste nur noch eine Stelle zum ändern, falls ein Benutzer sich für die Freigabe und Rechte ändert/hinzukommt/gelöscht wird).