none
DFS Rechteverwaltung - Abteilungsleiter - Mitarbeiter

    Frage

  • Hallo ihr Forenmitglieder!

    Da bei uns demnächst eine Umstellung auf einen SAN Storage erfolgt, probiere ich gerade ein wenig mit DFS-Freigaben herum (welche wir jetzt noch nicht haben).

    Bei einer DFS-Freigabe ist es scheinbar normal das man nach Erstellen einens Ordners in der DFS-Verwaltung nur Leserechte auf diesen hat, egal welche NTFS Berechtigungen der verknüpfte Ordner hat. Das heißt in z.B. \\domäne\namespace\ordnername\ kann ich keine Dateien oder ordner anlegen, aber unter \\servername\ordnername\ funktioniert das schon (insofern die NTFS Berechtigung es erlaubt).

    Das kann ich ändern indem ich in der DFS-Verwaltung auf den freigegebenen Ordnername gehen, den Reiter Ordnerziele auswähle, jetzt die Eigenschaften und Freigabeberechtigung öffne und z.B. für eine Sicherheitgruppe oder Benutzer den Vollzugriff einrichte. Nun haben diese Schreibrechte für den ausgewählten Ordner. Soweit korrekt?

    Um dann Schreibrechte für z.B. die Mitarbeiter in den Unterordnern wieder zu beschränken muss ich die NTFS Berechtigungen für die jeweiligen Unterordner wieder einschränken?

    Anders kann man keine Schreibrechte für DFS-Freigaben vergeben? Zumindest hat das bei mir nicht so geklappt wie ich mir das vorgestellt habe.

    Ich hatte folgende Struktur geplant, weiß aber nicht so recht wie ich diese realisieren soll:

    domäne = domänenname
    freigabe = namespace

    \\domäne\freigaben\einkauf\
    \\domäne\freigaben\verkauft\
    \\domäne\freigaben\fertigung\

    In diesen Ordnern soll nur der Abteilungsleiter (Sicherheitsgruppe Abteilungsleiter) Schreibzugriff haben und nur er (und normale Administratoren) darf dort Ordner anlegen. In den Unterordnern sollen dann auch normaler Mitarbeiter schreiben und Dateien anlegen dürfen.

    Aus meinem logische Verständnis heraus muss man dann für jeden neu angelegten Ordner die NTFS Berechtigung für den Mitarbeiter extra hinzufügen, da dieser im übergeordneten Ordner keine Schreibberechtigung hat und die NTFS Berechtigungen ja vom übergeordneten Ordner übernommen werden?

    Das wäre doch ein viel zu großer Aufwand? Es wäre toll, wenn es da noch einen einfacheren Weg gibt?

    Mittwoch, 30. Januar 2013 15:25

Antworten

  •  
    > (DFS-Verwaltung --> freigegebenen Ordnername --> Reiter Ordnerziele
    > --> Eigenschaften --> Freigabeberechtigungen --> Authentifizierte
    > Benutzer = Vollzugriff)
     
    Da änderst Du keine Rechte im DFS, sondern auf der Freigabe des
    Ordnerziels... -> Vollzugriff für alle. Oder ich hab da was völlig
    falsch verstanden ;-)
     
    > Aus meinem logische Verständnis heraus muss man dann für jeden neu
    > angelegten Ordner die NTFS Berechtigung für den Mitarbeiter extra
    > hinzufügen, da dieser im übergeordneten Ordner keine
    > Schreibberechtigung hat und die NTFS Berechtigungen ja vom
    > übergeordneten Ordner übernommen werden?"
     
    Nicht unbedingt, denn...
     
    > Geht das noch einfacher? z.B. einen vorhandenen Ordner kopieren, in
    > dem die NTFS Berechtigungen schon korrekt gesetzt sind?
    >
     
    ...Du kannst Berechtigungen auch auf "nur Unterordner" vergeben...
    (Button "Erweitert").
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 31. Januar 2013 13:15

Alle Antworten

  • Im DFS vergibst Du gar keine Rechte. DFS ist nur ein "Forwarder" auf die
    Ordnerziele. Und dort (auf den echten Servern) kriegen Authentifizierte
    Benutzer einfach Vollzugriff. Den Rest machst Du per NTFS. Geht
    eigentlich ganz einfach...
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 30. Januar 2013 20:14
  • Im DFS vergibst Du gar keine Rechte. DFS ist nur ein "Forwarder" auf die
    Ordnerziele. Und dort (auf den echten Servern) kriegen Authentifizierte
    Benutzer einfach Vollzugriff. Den Rest machst Du per NTFS. Geht
    eigentlich ganz einfach...

    Sag ich doch, man muss in der DFS-Verwaltung Schreibrechte vergeben, sonst klappt das nicht.
    (DFS-Verwaltung --> freigegebenen Ordnername --> Reiter Ordnerziele --> Eigenschaften --> Freigabeberechtigungen --> Authentifizierte Benutzer = Vollzugriff)

    Doch jetzt stellt sich mir die Frage wie ich das mit den weiteren NTFS Berechtigungen machen kann ohne es zu verkomplizieren.

    "Ich hatte folgende Struktur geplant, weiß aber nicht so recht wie ich diese realisieren soll:

    domäne = domänenname
    freigabe = namespace

    \\domäne\freigaben\einkauf\
    \\domäne\freigaben\verkauf\
    \\domäne\freigaben\fertigung\

    In diesen Ordnern (einkauf, verkauf, fertigung) soll nur der Abteilungsleiter (Sicherheitsgruppe Abteilungsleiter) Schreibzugriff haben und nur er (und normale Administratoren) darf dort Ordner anlegen.

    In den Unterordnern sollen dann auch normaler Mitarbeiter schreiben und Dateien anlegen dürfen.

    Aus meinem logische Verständnis heraus muss man dann für jeden neu angelegten Ordner die NTFS Berechtigung für den Mitarbeiter extra hinzufügen, da dieser im übergeordneten Ordner keine Schreibberechtigung hat und die NTFS Berechtigungen ja vom übergeordneten Ordner übernommen werden?"

    Geht das noch einfacher? z.B. einen vorhandenen Ordner kopieren, in dem die NTFS Berechtigungen schon korrekt gesetzt sind?

    Donnerstag, 31. Januar 2013 10:16
  •  
    > (DFS-Verwaltung --> freigegebenen Ordnername --> Reiter Ordnerziele
    > --> Eigenschaften --> Freigabeberechtigungen --> Authentifizierte
    > Benutzer = Vollzugriff)
     
    Da änderst Du keine Rechte im DFS, sondern auf der Freigabe des
    Ordnerziels... -> Vollzugriff für alle. Oder ich hab da was völlig
    falsch verstanden ;-)
     
    > Aus meinem logische Verständnis heraus muss man dann für jeden neu
    > angelegten Ordner die NTFS Berechtigung für den Mitarbeiter extra
    > hinzufügen, da dieser im übergeordneten Ordner keine
    > Schreibberechtigung hat und die NTFS Berechtigungen ja vom
    > übergeordneten Ordner übernommen werden?"
     
    Nicht unbedingt, denn...
     
    > Geht das noch einfacher? z.B. einen vorhandenen Ordner kopieren, in
    > dem die NTFS Berechtigungen schon korrekt gesetzt sind?
    >
     
    ...Du kannst Berechtigungen auch auf "nur Unterordner" vergeben...
    (Button "Erweitert").
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 31. Januar 2013 13:15
  •  > (DFS-Verwaltung --> freigegebenen Ordnername --> Reiter Ordnerziele
    > --> Eigenschaften --> Freigabeberechtigungen --> Authentifizierte
    > Benutzer = Vollzugriff)
     
    Da änderst Du keine Rechte im DFS, sondern auf der Freigabe des
    Ordnerziels... -> Vollzugriff für alle. Oder ich hab da was völlig
    falsch verstanden ;-)

    Ach das ist gar nicht die DFS Berechtigung... gut zu wissen.
    Doch warum ist das so? Aus welchem Grund vergibt man die Rechte sozusagen doppelt?! Oder versteh ich das falsch?

    Also muss ich dort auch zwangsweise mindestens die Berechtigung auf ändern setzen, damit die User oder Abteilungsleiter in den Ordnern und Unterordnung z.B. Ordner erstellen können. Denn wenn ich das in der DFS-Verwaltung nicht machen, sondern nur die NTFS Berechtigung von den Ordnern direkt im Verzeichniss auf ändern oder Vollzugriff setze, dann kann man trotzdem keine Ordner erstellen, da die Einstellung von der DFS-Verwaltung das nicht zulässt, richtig?

    ... Du kannst Berechtigungen auch auf "nur Unterordner" vergeben... (Button "Erweitert").

     Ja stimmt... so gehts, man bin ich blind! Danke!

    ist Du inzwischen weitergekommen?

    Ja, danke an Martin!





    • Bearbeitet koehne Dienstag, 5. Februar 2013 14:44
    Dienstag, 5. Februar 2013 14:18