none
NTFS Rechte - Datei schreiben aber anschließend Zugriff entziehen RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    die NTFS-Berechtigungen bringen mich ein bisschen zum verzweifeln.

    In einer Bildungseinrichtung hat der Lehrer den Wunsch geäußert, ein Laufwerk zu erstellen in dem er Klassenarbeiten/Leisitungskontrollen einsammeln kann.

    Bedeutet - die Schüler sollen in das Laufwerk Dateien hineinlegen dürfen, aber anschließend soll diesen der Zugriff auf diese Dateien entzogen werden. Also alle Änderungen an der Datei sollen (sobald diese einmalig im Dateisystem platziert wurde) verweigert werden.

    Auch andere Schüler sollen nicht auf die Dateien ihrer Mitschüler im Ordner zugreifen können. Ob die Dateien sichtbar sind oder nicht, ist egal. Nur der Zugriff darf nicht möglich sein.

    Alle Schüler sind in einer Sicherheitsgruppe "Schueler" der ich nun testweise verscheide Konstellationen an Rechten gegeben habe.

    Das Problem dabei die Rechte "Ordner durchsuchen / Datei ausführen" und "Ordner auflisten / Daten lesen" sind immer mit Lesenrechten verbunden um den Ordner überhaupt öffnen zu dürfen. Sobald ich diese entferne, kann ich den Ordner nicht mehr sehen. Es schließt sich sozusagen selbst aus...

    Grundsätzlich ist ja auch jeder Benutzer Besitzer der jeweiligen Datei, nur scheint es in Windows Server 2016 keine Vererbung von Besitzer-Rechten mehr zu geben - ich bin mir sicher dafür gab es mal ne Checkbox, ich finde diese nur nicht mehr...

    Donnerstag, 28. März 2019 14:54
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Moin,

    das ist ganz einfach:

    1. Auf Share-Ebene "Vollzugriff" entziehen und nur Schreib- und Leserecht behalten.
    2. Auf NTFS-Ebene alle Einträge zum "Hersteller-Besitzer" löschen
    3. Für die Schüler (oder Domain Users) nur die Rechte "Dateien erstellen" und "Dateien lesen" vergeben, aber nur auf den obersten Ordner. Somit können sie Dateien zwar reinschmeißen und die Liste der Dateien einsehen, aber die Dateien an sich weder lesen noch schreiben.

    Nimmt man die Leserechte weg, kann man die Dateien trotzdem reinschmeißen, wenn man die Share als Laufwerk mappt und die Dateien dorthin zieht. Es gibt zwar eine Fehlermeldung, die Datei wird aber trotzdem gespeichert.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 28. März 2019 16:04
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    danke für den Hinweis.

    Auf Windows 10 Client funktioniert das genau so wie gewünscht.

    Auf Windws 7 Clients hingegen ist kein Zugriff möglich - gibts dafür eine Erklärung?

    Freitag, 29. März 2019 12:59
    |
  • Discussion
    Anmelden
    1
    Anmelden

    sowas analysiert man mit dem Process monitor. 

    Ferner kann das auch sein, daß im Ereignisprotokoll was steht... 

    IT architect - Terminal servers, virtualizations, SQL servers, file servers, WAN networks and closely related to software devleopment (8 years + experience in VB, C++ and script langugaes), MCP for SQL server and CCAA for Xenapp 6.5

    Freitag, 29. März 2019 14:04
    |