Dateifreigabe im Netzwerk - teilweise Zugriff verweigert

Vorgeschichte:
Ich habe einen PC (zuvor Win2000) jetzt WinXP Pro installiert, dabei aber die alte Partition C: komplett formatiert und das WinXP Pro neu aufgespielt. Also mit alten Rechten sollten es eigentlich nix zu tun haben. Im Win XP Pro habe ich die erweiterte Dateifreigabe, die Nutzeranmeldung mit Strg+Alt+Entf. Auf allen Rechnern sind alle Updates heruntergeladen und alle Netzwerk-Protokolle installiert. Active Directory wird nicht genutzt.


Folgende Einrichtungen:
Problem ist nun, dass ich die Ordner nicht mehr korrekt über die Dateifreigabe im Netzwerk freigegeben kann. d.h ich kann über Eigenschaften > Freigabe alles normal einstellen. Bei den Nutzern stelle ich z.B. meinname ein und gebe diesem Nutzer Lesen/Schreibe/Vollzugriff. Den Nutzer habe ich als Benutzer im Win angelegt, er funktioniert auch. Die Rechte von Jeder habe ich aus der Dateifreigabe entfernt, weil alle Clients nur mit Usernamen und Passwort zugreifen sollen. Bei den Clients handelt es sich um WinXP home und Win2000 SP4.

Problem:
Leider kann man vom Client nicht auf die Freigegebenen Ordner zugreifen. Merkwürdigerweise wird aber gar nicht nach einem Passwort gefragt. Wenn ich vom Client auf den Rechner im Netzwerk klicke, erscheint sofort die Liste mit den Verknüpfungen auf die freigegebenen Ordnern des Serverrechners. Wenn ich einen anklicke, erscheint die meldung, Auf ? kann nicht zugegriffen werden. ? mit der Begründung Zugriff verweigert. Kurioserweise funktioniert es jedoch,
-von den Rechnern mit Windows2000 sowie
-von den Clients, wenn man sich als Computeradministrator anmeldet.
-auf Verzeichnisse, die für Jeden freigegeben sind (was aber auch Sicherheitsgründen nicht gut ist)

Es funktioniert jedoch nicht, wenn man sich von XP Home mit einem Eingeschränkten Benutzer auf ein Userspezifisches Verzeichnis zugreifen will.

Woran kann das liegen?

Stimmen denn die NTFS-Berchtigungen (Sicherheit)?

denke schon. Daran hatte ich noch nie etwas geändert.

Es sind für die Gruppe Jeder alle Hächchen aktiviert (außer der Option Spezielle Berechtigungen) und es gibt keine Verbote. Andere Gruppen/Benutzer sind unter Sicherheit nicht genannt.

Schieb mal bitte die entsprechenden Benutzergruppen in die Berechtigungen und entferne bitte Jeder.

Merkwürdigerweise wird aber gar nicht nach einem Passwort gefragt.

Zum Vergrößern anklicken....

Wenn Benutzername und Passwort stimmen gibt es keine weitere Nachfrage.

das hängt mit der einfachen freigabe und dem darin enthaltenen stufenmodell zusammen: wenn du xp home und die einfache freigabe benutzt, kommt die verbindung immer mit dem gast konto zu stande. wenn die freigabe eine stufe 5 freigabe ist und du nun jeder die berechtigung auf die freigaben entziehst, so kann sich der benutzer zwar auf dem server anmelden, hat aber keinen zugriff auf die freigabe, egal ob dort für sein account eine freigabe mit den berechtigungen existiert oder nicht. hier http://support.microsoft.com/kb/304040/DE/ mal was zum lesen ...

greetz

hugo

@schau mal:
genau das habe ich ja gemacht. In dem Moment wo ich Jeder entferne, kann jedoch keiner mehr zugreifen, obwohl die Benutzer alle eingerichtet sind.

@hp:
So wie ich dich verstehe, geht dein Tipp in die selbe Richtung. Mein Server ist ein WIN XP Professional und bereits OHNE die einfache Freigabe, d.h. die Benutzer auf dem Server sind bereits alle angelegt und die Verzeichnisse sind mit Rechten für diese Nutzer freigegeben. Dennoch erscheint bei den Clients die XP-Home nutzen und ein Eingeschränktes Konto (und nur bei diesen!) haben immer Zugriff verweigert. Supportartikel bei MS habe ich durchgearbeitet und als Anlass für weitere Google-Recherche genommen, aber leider funktioniert es trotzdem nicht.


Ich vermutete evtl, dass man bei XP-Home noch irgendwo was umstellen muss? Protokolle installieren muss? Spezielle Freigaben auf dem Server noch einrichten muss? Leider nach einer Woche Suchen nix gefunden.

Nutzt denn jemand von euche diesen Weg? Als XP-Professional als Server mit Benutzern und XP-Home als Client mit Eingeschränkten Konten als Client und Freigabe der Dateien per Dateifreigabe?

schau schrieb:

Schieb mal bitte die entsprechenden Benutzergruppen in die Berechtigungen und entferne bitte Jeder.

Merkwürdigerweise wird aber gar nicht nach einem Passwort gefragt.

Zum Vergrößern anklicken....

Wenn Benutzername und Passwort stimmen gibt es keine weitere Nachfrage.

Zum Vergrößern anklicken....

ich rede von den ntfs-berechtigungen und nicht von den freigaben.

du auch?

Macht auf beiden Wegen kein Unterschied:
Sobald ich Jeder bei den Berechtigungen rausnehme (sowohl bei den NTFS-Freigaben als auch bei den Netzwerkdateifreigaben) kann ich mit den anderen angelegten Benutzern nicht mehr zugreifen. Es wird nichtmal ein Passwort gefragt.

Hallo Frank,

ich gehe mal davon aus, dass du mit Berechtigungen wenig Erfahrung hast Folgender Vorschlag: setz dich an deinen Server, starte die Computerverwaltung, klick dich im linken Fenster bis zum Ordner

  Lokale Benutzer und Gruppen\Gruppen

durch

Mach einen Rechtsklick auf Gruppen und leg' eine Neue Gruppe... an.
Gruppenname: Client oder
                                Zugriff_auf_Freigaben_Ordner_und_Dateien - was auch immer, Hauptsache klar und deutlich

Beschreibung: Mitglieder dieser Gruppe haben Zugriff auf...

Dann auf Erstellen und Schließen. Die neu angelegte Gruppe wird im rechten Fenster gelistet. Bis hierhin erst mal gut.


Du bleibst in der Computerverwaltung, klickst jetzt aber auf das [size=14pt]+[/size] von Freigegebene Ordner. Darunter befindet sich der Ordner Freigaben. Hierauf einen Rechtsklick und dann eine Neue Datenfreigabe...

Das charmante an der Sache ist, dass jetzt der Assistent zum Erstellen freizugebender Ordner startet. Folge den Vorschlägen und Hinweisen und erstelle eine neue Freigabe. Bitte keine vorhandene Freigabe benutzen. Mein Rat ist auch die Felder Freigabename: und Freigabebeschreibung: auszufüllen.

Auf der zweiten Seite fragt der Assistent nach den Berechtigungen für freigegebene Ordner. Dabei werden drei feste Vorlagen angeboten und die vierte Möglichkeit ist Berechtigung anpassen.

Ein Klick auf Benutzerdefiniert... bringt dich zu den Freigabeberechtigungen. Bei einem unverbastelten, nach Standard aufgesetzten Windows XP Professional Rechner mit SP2 in einer Arbeitsgruppe ist die voreingestellte (Freigabe)Berechtigung Jeder... VOLLZUGRIFF

Jetzt Hände weg vom Rechner Hol dir einen Kaffee, es folgt ein

[size=14pt]EXKURS:[/size]

Jetzt kommst Darunter liegen die NTFS-Berechtigungen.
Für jemanden, der direkt an dem Rechner sitzt, ist die (Freigabe)Berechtigung Vollzugriff völlig uninteressant. Wenn dieser Jemand nicht auch auf der NTFS-Ebene (auf Ordner- und Dateiebene) berechtigt ist, dann macht der gar nichts.

Jetzt anders rum. Wenn Jemand über das Netzwerk auf die Freigabe zugreifen will, dann ist es mit dem Willen nicht getan. Dieser Jemand muss auch die Berechtigung haben, um auf diese Dateifreigabe zugreifen zu können. Ich wiederhole mich... aber diese UND NUR DIESE Rechte werden in der/mit der Dateifreigabe vergeben. Und sie können nur dann greifen, wenn ein Zugriff auf diese Freigabe über das Netzwerk erfolgt.

Im Fall der (Freigabe)Berechtigung Jeder... VOLLZUGRIFF kann dieser Jemand die Freigabe anschauen. Und wenn er nicht auf der darunterliegenden Ebene berechtigt ist, dann bleibt es dabei - beim Anschauen, meine ich.

Hat dieser Jemand jetzt eine weitere Berechtigung auf NTFS-Ebene - sagen wir mal Lesen und Schreiben - dann ist es GENAU das, was er tun kann. Und nicht mehr. Obwohl ein Vollzugriff für Jeden auf der Freigabe eingerichtet ist.

Wenn Freigabeberechtigungen und NTFS-Berechtigungen kombiniert werden (und genau das passiert, wenn übers Netz zugegriffen wird), [size=14pt]dann gilt die Berechtigung, die am meisten einschränkt[/size].

Dummerweise ist das nur einer von einer Anzahl von Grundsätzen.  Es ist aber DER Grundsatz schlechthin. Und ich habe ihn unvollständig zitiert

[size=14pt]Ende EXKURS[/size]


Zurück zu der anfangs angelegten Gruppe und der neu angelegten Datenfreigabe. Im Reiter Freigabeberechtigung klickst du auf Hinzufügen... und wählst deine Gruppe mit dem klaren und deutlichen Namen aus. Dieser Gruppe gibst du VOLLZUGRIFF auf die Freigabe.

Jeder lässt du im Moment noch in der Liste (die übrigens auf fachmännisch Access Control List heißt). Du schränkst Jeder aber ein, indem du den Haken bei Vollzugriff entfernst. Wenn alles klappt, dann auch den zweiten Haken und zum Schluss haust du Jeder aus der ACL.

Nun ein Wechsel zum Reiter Sicherheit. Auch hier gibt es eine ACL und auch hier gibt es vorbelegte Einträge die übrigens Access Control Entries heißen. Ändere daran nichts.

Und noch einmal das selbe Spiel: Trag die neu angelegte Gruppe ein. Diese Gruppe bekommt standardmäßig die Berechtigung Lesen, Ausführen plus Ordnerinhalt auflisten plus Lesen Das soll erst mal reichen. Verändere auch hier die Berechtigungen nicht.

Sooooo... Damit hat die Gruppe also ihre Rechte. Wenn du jetzt noch hingehst und all diejenigen Benutzer die es betrifft, als Mitglieder zu dieser Gruppe hinzufügst (Doppelklick auf die Gruppe und dann Hinzufügen...), dann haben die automatisch die identischen Rechte der Gruppe. Willst du einem Benutzer den Zugriff auf die Freigabe entziehen, entfernst du ihn einfach.

Und zwar aus der Gruppe. Als Benutzer kann er ja weiter auf deinem Rechner bleiben (und über andere Gruppen auf andere Freigaben zugreifen). Merkst du was? Die Sache hat System

Wenn ich mir keinen groben Fehler erlaubt habe, kann jetzt jeder den es was angeht, über das Netzwerk (und auch lokal) vernünftig mit der Freigabe und den Ordnern/Dateien arbeiten. Denk ich

Das ist komplex aber nicht kompliziert. Ich erklär es höchstens nicht gut

Hallo Heinerich,

danke für die ausführlichen Beschreibungen. Ich bin nicht ganz Anfänger, habe bisher diverse Win2000-Server aufgesetzt. Die Sache mit den Benutzern, Benutzergruppen, NTFS-Freigaben und Netzwerkfreigaben ist mir auch soweit geläufig. Wie gesagt, mit Win2000 funktioniert es auch bestens und abgesehen von einigen schöneren Wizzards und neuen Menüs ist es ja in WinXP Pro vom Prinzip her auch das gleiche. Hinweis noch, mit Eingeschränktem Nutzerkonto und Administrator Konto auf dem WIN XP Home meine ich die Einstellung, die man unter Systemsteuerung > Nutzerkonto > kontoname > Kontotyp ändern einstellen kann.

Ich habe aber trotzdem nochmal schritt für Schritt nach deiner Anleitung gemacht. Resultat ist leider das gleiche:

1. Zugriff von Win2000 auf WinXP-Pro funktioniert alles bestens

2. Zugriff von WinXP-Home mit Administrator Konto auf WinXP-Pro funktioniert alles bestens

3. Zugriff von WinXP-Home mit Eingeschränkten Konto auf WinXP-Pro auf einen als Jeder freigegebenen und als Jeder NTFS-Berechtigten Ordner funktioniert (allerdings ja aus Sicherheitsgründen der Supergau)

4. Zugriff von WinXP-Home mit Eingeschränkten Konto auf Win2000 funktioniert alles bestens

5. NICHT FUNKTIONIERT aber der Zugriff von WinXP-Home mit Eingeschränkten Konto auf WinXP-Pro sofern sich man über einen angelegten Benutzer (per Netzwerk) anmelden soll


* in den Fällen 1 bis 4 wird ordnungsgemäß nach einem Passwort gefragt und man darf dann mit dem User dieser Anmeldung genau lesen und schreiben, wie in der Freigabe vorgegeben. Daher gehe ich aus, dass die Netzwerk- und Festplattenfreigaben soweit korrekt eingestellt sind. Mehr geben die Menüs Freigabe und Sicherheit nicht her.

Problem ist jedoch der Fall 5. Symptom des Falles 5 ist auch, dass gar nicht nach einem User/Passwort gefragt wird, auch wenn ich beide Rechner grade neu gestartet habe. Es wirkt, als würde dieser Punkt vom WinXP-Home mit Eingeschränktem Nutzer übersprungen werden. Resultat ist, dass nur die Freigabenamen der Ordner angezeigt werden, da diese ja immer frei zugänglich sind. Jeglicher Versuch zum Öffnen eines dieser Ordner wird dann jedoch mit Zugriff verweigert beantwortet. Logisch, weil man hat sich ja nicht anmelden können. Aber wieso??? Irgendwelche Netzwerkprotokolle erforderlich? (sind aber eigentlich alle installiert)

du hast einen eingeschränkten Benutzer KlausB auf dem XP Home Rechner, der arbeitet still vor sich hin (an der XP Home Büchse)

du hast ein berechtigtes Konto mitBeliebigenNamen auf dem XPProRechner angelegt.

XP Home sollte jetzt die Console öffnen und *nur mal so*

   NET USE * /d /y

ausführen.

und danach eine erneute Verbindung zur Freigabe versuchen

   NET USE * \\XPProRechner\Freigabe /user:XPProRechner\mitBeliebigenNamen

*eigentlich* sollte der XPProRechner jetzt nach einem Kennwort fragen.   

Ein erster Teilerfolg!! Du bist ein Held! Über einige Umwege ist so zumindest ein Zugriff möglich.

Ich habe auf dem Home-Rechner NET USE * /d /y ausgeführt.
Hierbei wurden alle offenen Verbindungen angezeigt, auf die ich zur Zeit auch tatsächlich zugreifen kann (alle die für Jeder freigegeben wurden und gleichzeitig geschlossen.

Dann habe ich NET USE * \\XPProRechner... ausgeführt und es wurde nach Kennwort gefragt. Eingegeben und fertig. Danach funktioniert auch der Zugriff über den Datei-Explorer so wie er soll.

Nur wie bekommt man das jetzt hin, so dass es normal über die Benutzeroberfläche funktioniert??? Vermutlich meldet sich das XP-Home irgendwie schon vorher an und fragt dann daher nicht mehr nach dem richtigen Nutzer.


(Nachricht editiert, jetzt nur noch das oben beschriebene Problem.)

zum Einen: es kann an einem total vermurksten Rechner liegen. Und vielleicht hat sich das Ding auch (jetzt) nicht mehr gültige Kennwörter gespeichert. Ich weiß aber nicht, wo unter XP Home solche gespeicherten Kennwörter gelöscht werden. Daher könnte es auch zu einer vorherigen Anmeldung mit völlig überholten Kennwörtern kommen. Geht auch anders rum. Anmeldung über ein Benutzerkonto, das auf dem XP Pro Rechner schon längst nicht mehr Mitglied in einer berechtigten Gruppe ist. --> würde keine Fehlermeldung ausgeben!

zum Zweiten: das NET USE-Geschisse mit allem drum und dran ist die textbasierte Version von Netzlaufwerk verbinden... Auf gut deutsch: die grafische Version klappt genauso gut und im identischen Umfang.

Bei einem Systemfehler Mehrfache Verbindung... kannst du die Verbindung dennoch herstellen, wenn du anstelle des DNS-/Netbios-Namens des XP-Pro-Rechners die IP-Adresse angibts. Dadurch wird die Fehlermeldung umgangen.

Andere Möglichkeit: Trennen der Verbindung in der Computerverwaltung des XP Pro-Rechners und danach neu verbinden zur Freigabe über den XP Home-Rechner. Funktioniert auch ab und zu

Treffer und versenkt. Es scheint zu funktionieren. Problem war, das sich XP-Home direkt beim Hochfahren automatisch versucht, sich bei allen Maschinen im Netzwerk anzumelden. Sofern dies möglich ist (z.B. als Gast) wird dies dann auch gemacht. Mit dem Resultat, dass man dann zwar kein Passwort mehr eingeben muss (da man ja dann schon angemeldet ist) jedoch keine Rechte hat (weil man ja Gast ist). Und man bei fehlenden Rechten auch nicht nach einem Alternativbenutzer gefragt wird.  :|


Also an alle die mit gleichem Problem kämpfen: In der Benutzerverwaltung einfach das Gastkonto deaktivieren. => ja ja, hinterher klingt es immer alles so einfach.   :coolsmiley:


@heinrich. danke für deine Tipps. Die Anzeige der Verbindungen über die Console war der richtige Weg. Allein hätte ich wohl noch eine Weile benötigt.

Also an alle die mit gleichem Problem kämpfen: In der Benutzerverwaltung einfach das Gastkonto deaktivieren.

Zum Vergrößern anklicken....

Ist das bei Home wirklich aktiviert? Bei der pro Version ist es deaktiviert.

Eddie

ne, bei Home ist es nicht aktiviert. Aber ein beliebiger Home-User ist ja aus sicht des Pro-Servers ein Gast.

Und bei Pro war es meiner Meinung schon standardmäßig aktiviert. Evtl. hab ich es aber auch aktiviert, will ich mich nicht streiten. Aber bei Win2000 hatte es keinen Unterschied gemacht. Da bin ich sicher, dass Gast aktiv war und Zugriff von eingeschränkten Home-Usern haben trotzdem keine Probs bereitet. => naja, die Untiefen des Windows. Hauptsache es funktioniert.