Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne
 

Vorbemerkung:
meine Frage ist sicher an anderer Stelle (wahrscheinlich auffindbar per Google) behandelt.
Ich habe mich hier auch schon versucht schlau zu machen. Aber am Ende bin ich wohl
aufgrund fehlenden oder falschen Verständnis bisher im Kreis gelaufen und ohne Lösung.

Hier also die Situation:
Windows Domäne mit DC, in der eine virtuell Maschine (Hypervisor VMWare ESXi 5.5, OS der VM Win2012R2) als Dateiserver funktioniert. Für ein Unterverzeichnis (nennen wir es "A") auf einem Laufwerk dieser Maschine ist eine Freigabe eingerichtet (nennen wir sie "Freigabe1"). In diesem Verzeichnis "A" sind weitere Unterverzeichnisse (nennen wir sie "A1", "A2" bis "An") angelegt.

Also ungefähr so:

Die Rechte der einzelnen Domänenbenutzer und Domänenbenutzergruppen ist über die "Sicherheitseinstellung" für jedes Verzeichnis eingestellt. Beispielhaft hat Benutzergruppe "Test1" Schreib/Lese Zugriff auf Verzeichnis "A2" und Benutzergruppe "Test2" Schreib/Lesezugriff auf die Verzeichnisse "A1" und "A3".
Das funktioniert auch alles wunderbar.

Das Problem:
wenn ein Benutzer sich die "Freigabe1" als Netzwerklaufwerk anlegt, soll er z.B. im Windows Explorer nur die
Verzeichnisse sehen, für die er auch Lese bzw. Schreib/Leserechte durch die "Sicherheitseinstellungen" hat (z.B. durch die Zugehörigkeit zu Domänen-Benutzergruppen).
Im Beispiel soll Benutzergruppe "Test1" also nur das Verzeichnis "A2" und Benutzergruppe "Test2" die Verzeichnisse "A1" und "A3" angezeigt bekommen.

Ich denke, das lässt sich mit den Sicherheitseinstellungen und den "Erweiterten Berechtigungen" machen .. aber wie?
Derzeit habe ich folgende Erweiterte Berechtigungen gewährt:

Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen

Wenn ich "Ordner auflisten / Daten lesen" nicht gewähre, bekommt der Benutzer einen Fehler beim Zugriff auf das Netzwerklaufwerk.

Danke für Tips und Entknotung meines Gehirns zu diesem Problem.

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne
 

Ein Verzeichnislisting ist binär: entweder ein Nutzer kann alle Unterverzeichnisse sehen oder er kann keine Unterverzeichnisse sehen (weil er gar keine Leserechte auf das Verzeichnis hat). Ich kenne auch kein OS, was sowas könnte. Oder anders ausgedrückt: das, was du vorhast, geht so nicht. Jeder Nutzer mit mindestens Lesezugriff auf "Freigabe1" kann alle Unterverzeichnisse "A1", "A2" usw. dort sehen.

Ein Einsehen der Unterverzeichnisse in "Freigabe1" heißt aber noch lange nicht, dass ein Nutzer für selbige auch Rechte hat, d.h. passe die Zugriffsrechte für die Unterverzeichnisse "A1" & Co entsprechend an, und du hast mehr oder weniger, was du erreichen willst. Alternativ kannst du mehrere Freigaben erstellen (ggf. unter Verwendung separater Verzeichnisse und Junctions), die unterschiedliche Berechtigungen haben. Und beachte den Unterschied und das Zusammenspiel von Freigabebrechtigungen und (NTFS-)Zugriffsrechten.

Grüße
Dalai

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne
 

Hallo Dalai,

danke für deine Antwort.

Nur zur Info:
sämtliche Novell Rechteverwaltungen (aktuell ist die NDS NovellDirectoryService) konnten das problemlos. Nur Verzeichnisse, für der Benutzer explizit (via Benutzerrechte) oder implizit (via Gruppenrechte von Gruppen, bei denen ein Benutzer Mitglied ist) sind für den Benutzer sichtbar. Verzeichnisse, für die der Benutzer keine Rechte hat, werden nicht angezeigt.

Ich meine, dass ist in Unix und Linuxsystemen auch so - bin hier aber zu lange aus dem Thema raus, um sicher zu sein.

Irgendiwe hatte ich die Hoffnung, dass das Windows auch kann. Schade.

Gruß
Markus

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne
 

Nachsatz:

und ja, die Benutzer sehen zwar jetzt die Verzeichnisse - können aber aufgrund der Rechte (Sicherheit) keine Inhalte dort sehen.

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne
 

Ich kann mangels Kenntnis von Unix keine Aussagen dazu treffen, aber für Linxu kann ich sagen: Nope, auch dort gibt's das nicht. Samba kann es nicht, weil es logischerweise zu Windows kompatibel sein soll/muss.

Auch auf der Shell geht sowas nicht. Dort gibt es dasselbe Verhalten: sobald man die Rechte Lesen+Ausführen auf ein Verzeichnis hat, kann man alles sehen, was in diesem Verzeichnis an Unterverzeichnissen und Dateien ist. Die Berechtigungen für die jeweiligen Unterverzeichnisse und Dateien entscheiden dann darüber, wer die Inhalte selbiger lesen und schreiben kann.

Vermutlich trifft obige Aussage auch auf andere Software zu, weil ja alles unter Linux irgendwie mit den simplen RWX-Berechtigungen (und/oder den erweiterten ACLs) arbeiten muss. Vielleicht bieten neuere Dateisysteme sowas, aber da ich immer mit ext3/4 arbeite ;), kenne ich mich in dem Gebiet nicht aus.

Aber wie ich schon sagte: Vielleicht sind mehrere Freigaben verschiedener Verzeichnisse (ggf. mit Junctions oder Symlinks verlinkt) ein möglicher Weg.

Grüße
Dalai

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne
 

Du kannst das schon machen. Es ist zwar etwas mehr Aufwand, aber es funktioniert.

Hierzu musst du die zugriffsbasierte Aufzählung (Access Bases Enumeration [ABE]) der entsprechenden Freigabe aktivieren.

Die Berechtigungen müssen dann so gesetzt sein, dass die Benutzer/Gruppen keine Berechtigungen auf den Unterordner haben den sie nicht sehen dürfen. Das bedeutet, dass du die Vererbung der Ordner deaktivieren und die Gruppen, die Zugriff haben sollen dort hinzufügst. Dann musst du noch das Flag "Anwenden auf" des Sicherheitsprinzipals der Zugriff haben soll entsprechend setzen. (Also "Nur dieser Ordner; dieser Ordner und Unterordner; usw.)


Anbei mal eine kleine Anleitung (auf Englisch) in der das eigentlich recht gut und ausführlich beschrieben ist: https://community.spiceworks.com/how...ion-server2012


PS: Auch Windows Server 2003 konnte das schon. Damals noch mit einem kleinen Zusatz SnapIn, das per MMC eingebunden werden konnte.

AW: Berechtigung für Ordner auf Dateiserver Laufwerk in Windows Domäne
 

Oh, wieder was gelernt :dp:. Sogar bei Samba kann man das mittels für jede Freigabe einstellen. Allerdings vermute ich, dass die Warnung in der Manpage zu diesen Parametern analog für Windows gilt, nämlich, dass die Auflistung großer Verzeichnisse lange dauern kann, weil alle ACLs aller Objekte geprüft werden müssen.

Grüße
Dalai