Basisverzeichnisse

Dieses Thema Basisverzeichnisse im Forum "Windows Server-Systeme" wurde erstellt von Dubi, 13. Juni 2004.

Thema: Basisverzeichnisse Hallo liebe Leuts! Ich möchte in einer Windows 2003 Server Domäne mit AD Benutzern von Windows 2000 Clients...

  1. Hallo liebe Leuts!

    Ich möchte in einer Windows 2003 Server Domäne mit AD Benutzern von Windows 2000 Clients Basisverzeichnisse zur Verfügung stellen. Dazu muss man ja:

    1. Einen Ordner mit Lese- und Schreibrechte für Jeder auf dem Server anlegen und
    2. In den Profilen der Benutzer den Pfad eintragen.

    Ich habe letzteres mit \\servername\basisverz\%username% gemacht, allerdings kann nun jeder User auf diesen Ordner und das darin liegende zugreifen.

    Was muss ich denn nun wie genau konfigurieren, damit nur der User, dem die Objekte gehören darauf zugreifen kann, aber sonst niemand?

    Vielen Dank für jede Hilfe!
     
  2. Hallo

    ich mein das ging mit einem Dollar$ zeichen hinter dem usernamen
    Also ungefähr so \\server\Verz\username$

    Gruss
     
  3. DAS ist ein interessanter Vorschlag, vielen Dank!

    HIer noch, was das Dollarzeichen genau bewirkt:

    Quelle: http://www.google.de/search?q=cache...ws+server+verzeichnis+dollarzeichen&hl=de
     
  4. Hi Dubi,

    davon würde ich abraten, da es sehr unsicher ist. Wenn die Freigabe versteckt ist, können immer noch alle Benutzer drauf schreiben, sobald sie erstmal den Freigabenamen herausbekommmen haben. Da jeder Benutzer Lesezugriff auf die AD-Datenbank hat, kann er bspw. dort seinen Pfad einsehen, z. B. \\servername\basisverz$\benutzername. Dann ist der Rest ein Kinderspiel, der Benutzer könnte fremde Daten klauen oder sogar welche löschen.

    Extra für diesen Zweck gibt es doch nun die Sicherheit in den Ordnereigenschaften. So musst du vorgehen:

    • 1) In den Eigenschaften des Basisverzeichnisses (also im Beispiel \\servername\basisverz) gehst du auf Sicherheit -> Erweitert.
    • 2) Dort doppelklickst du auf den Benutzer Jeder oder ein entsprechenden Eintrag (z.b. authentifizierter benutzer / domänen-benutzer, was auch immer), wählst in der Liste Übernehmen für: den Eintrag NUR DIESEN ORDNER aus.
    • 3) Du gibst ihm die Rechte
      • a) Ordner durchsuchen / Datei ausführen
      • b) Ordner auflisten / Daten lesen
      • c) Attribute lesen
      • d) Erweiterte Attribute lesen
      • e) Berechtigungen lesen
    • 4) In den Eigenschaften des jeweils betreffenden Benutzer-Basisverzeichnisses (also im Beispiel \\servername\basisverz\benutzername) gehst du auf Sicherheit -> Erweitert und entfernst den Haken vor Berechtigungen übergeordneter Objekte..., sprich, dass dieser Ordner Rechte von den übergeordneten Ordner erbt. Die Meldung bestätigst du mit ENTFERNEN. Damit verhinderst du, dass evtl. Leserechte, die manche Benutzer auf das allgemeine Basisverzeichnis haben könnten, auf die einzelnen Ordner vererbt werden.
    • 5) Nun gibst dem Benutzer Vollzugriff auf seinen eigenen Ordner, falls erforderlich, auch der Gruppe Administratoren. Mehr Rechte muss man eigentlich nicht vergeben (anscheinend braucht auch SYSTEM keine Zugriffsrechte), bei mir reicht das auf jeden Fall aus. Auch der Besitzer kann weiterhin die Gruppe Administratoren bleiben.
    • 6) Du solltest auch den Haken vor Berechtigungen für alle untergeordnete Objekte... setzen, damit deine neuen Berechtigungen auch allen Unterverzeichnissen/Dateien aufgezwungen werden.

    Das sollte eigentlich dann so funktionieren. Teste es mit einem normalen Benutzerkonto, das, falls alles funktioniert hat, nur auf sein eigenes Basisverzeichnis zugreifen können sollte, jedoch alle anderen sehen können sollte. Jeder Benutzer in der Gruppe Administratoren kann auf alle Basisverzeichnisse zugreifen. Falls es in euerer Firma/was auch immer Vorschrift sein sollte, das die Admins nicht alles einsehen dürfen, fügst du eben die Gruppe Administratoren nicht hinzu und übergibst auch den Besitz des Ordners an den betreffenden Benutzer.

    MfG Martin
     
  5. Hallo,

    tu das Jeder wieder raus. Der aktuelle Benutzer hat per Ersteller/Besitzer Gruppe Vollzugriff auf die Dateien.
    Wenn du jeder rausnimmst kommen nur noch die Admins under Ersteller drauf. Administratoren können natürlich auch entfernt werden. Nur verweigern sollte nicht verwendet werden.

    Gruß

    Ralf
     
  6. Vielen Dank für eure Antworten!

    Ich probier das doch gleich mal aus ;)