none
DFS - zugriffsbasierte Aufzählung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Tag liebe Community,

    ich habe bereits etliche Beiträge zu diesem Thema gefunden, allerdings konnte mir keiner dieser weiterhelfen.

    Da wir derzeit ein Problem mit zu vielen Laufwerksbuchstaben haben, bin ich auf die Idee gekommen die DFS-Rolle auf einem Windows Server 2016 zu installieren.

    Erstellt habe ich einen domänenbasierten Namespace mit aktiviertem "Windows Server 2008-Modus" (Dieser muss aktiviert werden, um die zugriffsbasierte Aufzählung überhaupt nutzen zu können). Nach dem Erstellen des Namespace, habe ich noch die zugriffsbasierte Auzählung für den Namespace aktiviert, da diese standardmäßig deaktiviert ist.

    In diesem Namespace habe ich nun Ordner erstellt, welche auf Freigaben auf unseren FileServer (Windows Server 2008 R2) verweisen. Bei den Freigaben, welche sich auf dem FileServer befinden, habe ich ebenfalls die zugriffsbasierte Aufzählung aktiviert.

    Wenn ich nun mit einem Testbenutzer das domänenbasierte Namespace öffne, werden mit allerdings immer noch die Freigaben angezeigt, auf die der Testbenutzer keinen Zugriff hat. Leider weiß ich mittlerweile auch echt nicht mehr weiter..

    Anbei sind auch noch 2 Screenshots von einem der freigegeben Ordner, die trotz fehlender Berechtigung angezeigt werden.

    Ich wäre euch über jede Hilfe und jedem Lösungsansatz sehr dankbar!

    LG,

    Lars

    NTFS-Berechtigungen

    NTFS-Berechtigungen

    Freigabe Berechtigungen

    Freigabe Berechtigungen


    • Bearbeitet Lars1335 Donnerstag, 15. Februar 2018 13:58 Korrektur
    Donnerstag, 15. Februar 2018 13:55
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    > Die Sichtbarkeit muss gewährleistet sein, nur der Zutritt wird per Berechtigung zugelassen oder nicht.

    Ne, sorry - das ist falsch. Genau das löst ABE - es zeigt nur noch an, worauf Du auch Leserechte hast.

    Und bei allen unseren Kunden, die das so verwenden, klappt das auch problemlos. Im DFS-Root sieht der User nur noch diejenigen Ordner, auf die er auch Leserechte hat.

    @Lars: Double Check die NTFS-Rechte im DFS-Root :-)

    • Als Antwort markiert Lars1335 Dienstag, 20. Februar 2018 12:44
    Samstag, 17. Februar 2018 17:02
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Dies ist ein Generelles Problem mit der Sichtbarkeit.

    Die Sichtbarkeit muss gewährleistet sein, nur der Zutritt wird per Berechtigung zugelassen oder nicht.

    Auch wenn du weißt, wo das Pentagon steht, heißt das noch lange nicht, dass du da auch reinkommst.

    Donnerstag, 15. Februar 2018 14:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Ersteinmal: Vielen Dank für die schnelle Hilfe! :)

    Aber mich bitte jetzt nicht falsch verstehen. Ziel von meinem Vorhaben soll sein, das sobald der Benutzer das domänenbasierte Namespace öffnet, das er auch nur die Freigaben sehen soll, für die er auch berechtigt ist. Das er kein Zugriff auf die Dinge hat, die er da aktuell sonst noch sieht, ist mir bewusst.

    LG,

    Lars

    Donnerstag, 15. Februar 2018 14:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Und genau da liegt der Hase im Pfeffer:

    Um den Inhalt eines Verzeichnisses zu lesen, benötige ich die Leseberechtigung.
    In diesem Fall wird mir jedes Unterverzeichnis und Dokument aufgelistet.
    Ein Zugriff auf die Berechtigung des jeweiligen Objektes wiederum erfolgt während des Lesevorganges da nicht.
    Erst beim Zugriff auf ein Objekt wird die Berechtigung dieses Objekts geprüft.

    Die ist das selbe Verfahren wie auf einem eigenen PC.
    Ich kann alle Verzeichnisse auflisten aber hineinsehen, wenn mir die Berechtigung fehlt.

    Donnerstag, 15. Februar 2018 14:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Okay, ich verstehe das was du sagst. Nur wenn man dannach geht - welcher Sinn steckt dann überhaupt hinter der zugriffsbasierten Aufzählung?

    Wenn ich folgende Einstellung vornehme, sieht der Benutzer den Ordner nicht mehr im Namespace - so wie ich es auch haben will, nur ich dachte ich könne es auch über den ersten Haken bei "Geerbte Berechtigungen..." lösen.

    • Bearbeitet Lars1335 Donnerstag, 15. Februar 2018 14:21
    Donnerstag, 15. Februar 2018 14:20
    |
  • Question
    Anmelden
    1
    Anmelden
    Wie dies schon besagt: Geerbte Berechtigung heißt eben, vom übergeordneten Ordner erben.
    Donnerstag, 15. Februar 2018 14:27
    |
  • Question
    Anmelden
    2
    Anmelden

    Moin,

    um welchen Prinzipal von Deinen Screenshots geht es Dir dabei? ServiceUser oder Group01?

    ABE kümmert sich grundsätzlich nicht um Share-Berechtigungen, sondern ausschließlich um NTFS. Das hat im DFS-N-Szenario zwei Gesichter:

    • Innerhalb einer Freigabe werden die Objekte ausgeblendet, auf die man nicht wenigstens ein Leserecht hat. --> hier greift ABE auf dem Fileserver
    • Innerhalb eines DFS-Namespace werden die Ordner-Links ausgeblendet, auf die man - im DFS, nicht auf der Zielfreigabe!!! - nicht wenigstens ein Leserecht hat. --> hier greift ABE auf dem Namespace-Server

    Bei der Administration der Ordner-Links werden die dort gesetzten Berechtigungen in NTFS-Berechtigungen übersetzt. Das ist extra dafür gemacht, dass ABE das auswerten kann.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 15. Februar 2018 14:28
    |
  • Question
    Anmelden
    1
    Anmelden

    > Die Sichtbarkeit muss gewährleistet sein, nur der Zutritt wird per Berechtigung zugelassen oder nicht.

    Ne, sorry - das ist falsch. Genau das löst ABE - es zeigt nur noch an, worauf Du auch Leserechte hast.

    Und bei allen unseren Kunden, die das so verwenden, klappt das auch problemlos. Im DFS-Root sieht der User nur noch diejenigen Ordner, auf die er auch Leserechte hat.

    @Lars: Double Check die NTFS-Rechte im DFS-Root :-)

    • Als Antwort markiert Lars1335 Dienstag, 20. Februar 2018 12:44
    Samstag, 17. Februar 2018 17:02
    |