none
Lesen verweigern, wenn Benutzer nicht die Gruppe besitzt. RRS feed

  • Frage

  • Guten Tag,

    ich bin noch etwas neu auf dem Gebiet Benutzerrechte Verwaltung unter Windows-Server. Ich habe bisher nur die Einführungen und Leitfäden gelesen. Nun habe ich folgende Situation und suche nach einer passenden Lösung:

    Ich besitze einen FTP-Server mit IIS 8 auf Windows Server 2012. Das root-direcotry für den FTP-Server ist "wwwroot". Ich besitze in diesem Beispiel 3 Benutzerkonten und 5 Benutzergruppen.

    Benutzergruppen:

    1. Zugriff-FTP
    2. Zugriff-Entwicklungsserver
    3. Zugriff-Projekt-X
    4. Zugriff-Projekt-Y
    5. Zugriff-Support

    Benutzer:

    1. Benutzer1
    2. Benutzer2
    3. Benutzer3

    Verzeichnissstruktur:

    wwwroot:

    • development.domain.tld
    • ------ projektx
    • ------ projekty
    • support.domain.tld

    Bei den IIS-FTP Einstellungen habe ich bei den Autorisierungsregeln im Modus "Zulassen" die Gruppe "Zugriff-FTP" mit "Lesen/Schreiben" angegeben. Ansonsten habe außer bei den Bindungen keine Einstellungen bei IIS-FTP getätigt.

    Nun möchte ich folgendes Realisieren.

    • Benutzer1 darf development.domain.tld lesen (Zugriff-Entwicklungsserver) und hat auf projektx (Zugriff-Projekt-X) und projekty (Zugriff-Projekt-Y) Vollzugriff. Dieser Benutzer hat jedoch kein recht dazu den Inhalt von support.domaint.tld zu sehen (komplett verweigern - ist also praktisch nicht Mitglied von Zugriff-Support).
    • Benutzer2 hat die selben rechte wie Benutzer1, hat aber kein Zugriff auf projekty.
    • Benutzer3 hat ausschließlich Zugriff auf support.domain.tld (Zugriff-Support).

    Faktisch dürfen Benutzer nur auf einen Ordner Zugreifen, wenn sie die entsprechende Benutzergruppe haben. Sie dürfen nicht den Inhalt eines Ordners sehen, wenn sie die entsprechende Gruppe nicht besitzen. Am liebsten wäre es mir, wenn es möglich ist, dass diese Ordner sogar unsichtbar sind, wenn die passende Gruppe nicht vorliegt.

    Ich habe bereits einen Lösungsansatz versucht, dass Problem aber ist, das die Benutzer trotzdem Dateien und Verzeichnisse lesen dürfen. Ich weiß nicht wie ich das Lesen verweigern kann, wenn der Benutzer die Gruppe für den Zugriff nicht besitzt.


    • Bearbeitet S. Raabe Donnerstag, 30. Januar 2014 15:51
    Donnerstag, 30. Januar 2014 15:43

Alle Antworten

  • am Server mit admin rechten, rechtsklick auf den ordner, reiter Sicherheit, auf erweitert klicken, Berechtigungen ändern klicken, unten den ersten haken raus (im popup hinzufügen anklicken) und den zweiten rein (wenn die Berechtigungen auch für unterordner gelten sollen), dann den entsprechenden benutzer/gruppe bearbeiten (wenn nicht vorhanden hinzufügen) und dann unter verweigern vollzugriff (alle haken) anklicken.

    dann darf der user den ordner nicht öffnen. angezeigt wird er trotzdem immer

    Freitag, 31. Januar 2014 08:39
  • Das leuchtet mir noch nicht ganz ein. Denn eine Zugriffsverweigerung lässt sich nicht durch eine andere Gruppe überschreiben.
    Montag, 3. Februar 2014 20:48
  • so ist es, Verweigerung hat immer vorrang. deshalb musst du auch die ordnerstruktur entsprechend deinen benutzern/gruppen verrechten.

    im schlimmsten fall brauchst du für jeden ordner eine eigene gruppe und musst dann genau drauf achten welche gruppe du welchem user gibst

    • Bearbeitet InfoCN Dienstag, 4. Februar 2014 14:25
    Dienstag, 4. Februar 2014 14:24