none
Rechtevergabe auf einem Fileserver RRS feed

  • Frage

  • Servus....

    Ich habe bei einem Kunden ein kleines Problem bei der Vergabe von Berechtigungen.

    Zur Zeit steht hier noch ein SBS2003, dieser wird jedoch innerhalb der nächsten 2 Monate ausgetauscht gegen einen Server 2012 R2. Der Server dient u.A. als Fileserver, es wird hauptsächlich mit Excel gearbeitet. Hier ist es so, dass der Kunde sehr viele Macros programmiert hat. Zum Einen Daten lesen die Macros Daten aus einer Tabelle aus, die Tabelle soll aber von den Nutzern nicht geöffnet werden können.

    Wie kann man das realisieren?

    Bisher haben wir mit Windows Bordmitten versucht die Rechte zu vergeben, was sehr schwierig und sehr undurchsichtig ist.

    Wenn ich Vollzugriff auf den Ordner gebe ist klar, der User darf lesen/schreiben/auflisten.... Ordner durchsuchen soll er eigentlich nicht, wenn ich dem User das Recht dazu aber nehme, kann das Macro keine Daten mehr aus der Tabelle lesen.

    Die Macros sind zum größen Teil in VB geschrieben, das zur Info.

    Ich habe bereits alles mögliche versucht, irgendwie klappt das aber nicht richtig. Weiß hier jemand Rat? Eventuell auch ein Tool mit dem Rechte komfortabel angezeigt und verändert werden können.

    Eine Alternative wäre noch dem Macro zu sagen das es als als User "xy" ausgeführt werden soll (wie bei einer Anwendung als Administrator), dies soll aber für den User nicht ersichtlich sein.

    Wäre schön wenn mir jemand helfen könnte.... :-)

    Freitag, 31. Januar 2014 16:14

Antworten

  • Hi,

    Am 31.01.2014 17:14, schrieb Norbert Horn:

    Zum Einen Daten lesen die Macros Daten aus einer Tabelle aus, die
    Tabelle soll aber von den Nutzern nicht geöffnet werden können.
    Wie kann man das realisieren?

    Garnicht.
    Excel und damit alle genutzten Makros laufen in deinem Benutzerkontext.
    Das Makro ist nur eine automatisierte Benutzeraktion. Du könntest es auch per Hand "zusammenklicken".

    Was du suchst ist kein Makro, sondern eine Anwendungsprogrammierung, die die Anfrage des Benutzers zB an einen Dienst übergibt und dieser liest die Daten und übergibt das Ergebnis an den Benutzer.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 1. Februar 2014 19:50
  • Hi,

    Am 04.02.2014 19:17, schrieb Norbert Horn:

    hab es dem Kunden mal vorgeschlagen, aber das geht ihm dann doch ein
    wenig zu weit ins eingemachte

    Du brauchst halt einen Identitätswechsel für das was du willst ...

    letzte Frage hierzu: gibt es ein Tool mit dem ich mir die
    Berechtigungen detailliert anzeigen lassen kann und schnell verändern
    kann?

    SetACL Studio
    http://helgeklein.com/setacl-studio/
    und setacl.exe als freeware commandline Tool zum scripten.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 4. Februar 2014 18:50

Alle Antworten

  • Hi,

    Am 31.01.2014 17:14, schrieb Norbert Horn:

    Zum Einen Daten lesen die Macros Daten aus einer Tabelle aus, die
    Tabelle soll aber von den Nutzern nicht geöffnet werden können.
    Wie kann man das realisieren?

    Garnicht.
    Excel und damit alle genutzten Makros laufen in deinem Benutzerkontext.
    Das Makro ist nur eine automatisierte Benutzeraktion. Du könntest es auch per Hand "zusammenklicken".

    Was du suchst ist kein Makro, sondern eine Anwendungsprogrammierung, die die Anfrage des Benutzers zB an einen Dienst übergibt und dieser liest die Daten und übergibt das Ergebnis an den Benutzer.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 1. Februar 2014 19:50
  • Ok, hab es mir fastr schon gedacht....

    Was ist dem mit der Rechtevergabe...

    Wenn ich Vollzugriff auf den Ordner gebe ist klar, der User darf lesen/schreiben/auflisten.... Ordner durchsuchen soll er eigentlich nicht, wenn ich dem User das Recht dazu aber nehme, kann das Macro keine Daten mehr aus der Tabelle lesen.


    Ich habe bereits alles mögliche versucht, irgendwie klappt das aber nicht richtig. Weiß hier jemand Rat? Eventuell auch ein Tool mit dem Rechte komfortabel angezeigt und verändert werden können.

    Welches Tool kann das mit welchem Tool kann man berechtigungen besser verwalten?
    Montag, 3. Februar 2014 07:19
  • >     lesen/schreiben/auflisten.... Ordner durchsuchen soll er eigentlich
    >     nicht, wenn ich dem User das Recht dazu aber nehme, kann das Macro
    >     keine Daten mehr aus der Tabelle lesen.
     
    Mark hat schon abschließend geantwortet. Wenn ein Makro lesen kann, dann
    kann auch der User lesen - das Makro "ist" der User.
     
    > Welches Tool kann das mit welchem Tool kann man berechtigungen besser
    > verwalten?
     
    Verwalten ist meistens nicht das Problem, sondern das Verstehen...
    Kein Tool kann das, weil es mit Dateisystemrechten schlicht nicht lösbar
    ist. Du bräuchtest eine Client-Server-Anwendung.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 3. Februar 2014 14:35
  • Am 31.01.2014 schrieb Norbert Horn:

    Zur Zeit steht hier noch ein SBS2003, dieser wird jedoch innerhalb der nächsten 2 Monate ausgetauscht gegen einen Server 2012 R2. Der Server dient u.A. als Fileserver, es wird hauptsächlich mit Excel gearbeitet. Hier ist es so, dass der Kunde sehr viele Macros programmiert hat. Zum Einen Daten lesen die Macros Daten aus einer Tabelle aus, die Tabelle soll aber von den Nutzern nicht geöffnet werden können.

    Impersonate könnte helfen:
    http://www.pcreview.co.uk/forums/vba-impersonating-other-user-t974955.html


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Montag, 3. Februar 2014 19:10
  • Servus Winfried,

    hab es dem Kunden mal vorgeschlagen, aber das geht ihm dann doch ein wenig zu weit ins eingemachte... trotzdem Danke. :-)

    letzte Frage hierzu: gibt es ein Tool mit dem ich mir die Berechtigungen detailliert anzeigen lassen kann und schnell verändern kann? "rechts-klick" auf die Datei, Eigenschaften, Sicherheit, erweitert ist ein wenig umständlich.... Idealerweise etwas, mit dem man die Berechtigungen auch noch schnell ändern kann.....

    Dienstag, 4. Februar 2014 18:17
  • Hi,

    Am 04.02.2014 19:17, schrieb Norbert Horn:

    hab es dem Kunden mal vorgeschlagen, aber das geht ihm dann doch ein
    wenig zu weit ins eingemachte

    Du brauchst halt einen Identitätswechsel für das was du willst ...

    letzte Frage hierzu: gibt es ein Tool mit dem ich mir die
    Berechtigungen detailliert anzeigen lassen kann und schnell verändern
    kann?

    SetACL Studio
    http://helgeklein.com/setacl-studio/
    und setacl.exe als freeware commandline Tool zum scripten.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 4. Februar 2014 18:50
  • Servus Mark,

    schaut gut aus, danke....

    Habe gerade mal die Demo installiert, das könnte was für den Kunden sein. Bezahlbar ist die Software auch, von daher....

    Nochmals Danke!

    Grüße

    Norbert

    Dienstag, 4. Februar 2014 19:03
  • Am 04.02.2014 schrieb Norbert Horn:

    hab es dem Kunden mal vorgeschlagen, aber das geht ihm dann doch ein wenig zu weit ins eingemachte... trotzdem Danke. :-)

    Alternativ die Sache mit einem Dienst ausführen oder einen geplanten
    Task. Aber einen gewissen Aufwand wirst Du, bwz.der Kunde, immer
    haben.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Mittwoch, 5. Februar 2014 18:00