Erweiterte Rechtevergabe

[cbk]

Hallo,
ist es möglich die Rechtevergabe des WHS ein wenig aufzubohren?

Zur Zeit gibt es ja die Alternativen beim Zugriff auf Shares:

• kein Zugriff
• Leserecht
• Schreibrecht

Ich hätte gerne folgende Rechteunterteilungen:

• kein Zugriff
• Leserecht
• Löschrecht (User darf Dateien löschen)
• Veränderungsrecht (User darf bestehende Dateien verändern, aber keine neuen Anlegen)
• Anlagerecht (User darf neue Dateien anlegen, aber keine alten Dateien damit überschreiben)
• Schreibrecht (User darf auch alte Dateien überschreiben)

Hintergrund:
Ich will, daß Papa auch die TV-Aufnahmen seines Media Centers auf den Server laden kann. Dabei will ich aber vermeiden, daß er vollkommen übermüdet (oderaus anderen Gründen) vorhandene Aufnahmen überschreibt. Er bräuchte als Media-Center Nutzer also Anlagerechte. Er darf neue Dateien anlegen aber sobald eine gleichnamige Datei exisitert, darf er sie nicht überschreiben können. Und Löschen (aus Blödheit ) sollte auch nicht möglich sein. Er ist halt so einer, der sämtliche Abfragen immer mit "ok" bestätigt, ohne sie zu lesen.

[Ra1976]

Hallo,
ist es möglich die Rechtevergabe des WHS ein wenig aufzubohren?

Ja°°

Zur Zeit gibt es ja die Alternativen beim Zugriff auf Shares:

• kein Zugriff
• Leserecht
• Schreibrecht

Das ist richtig, das sind sharerechte....

Ich hätte gerne folgende Rechteunterteilungen:

• kein Zugriff
• Leserecht
• Löschrecht (User darf Dateien löschen)
• Veränderungsrecht (User darf bestehende Dateien verändern, aber keine neuen Anlegen)
• Anlagerecht (User darf neue Dateien anlegen, aber keine alten Dateien damit überschreiben)
• Schreibrecht (User darf auch alte Dateien überschreiben)

Kein Thema, NTFS Rechte helfen an dieser stelle weiter. Aber nicht so ganz einfach, Kurzfassung: Vergiss das WHS Share, Laufwerk oder Ordner Freigeben, Rechte auf NTFS Basis vergeben.., fertig. Dabei erreichst Du mit geschicktem einsatz von Zugriffs und Verweigerungsrechten das was Du willst. Und das alles Benutzerorientiert.

Hintergrund:
Ich will, daß Papa auch die TV-Aufnahmen seines Media Centers auf den Server laden kann. Dabei will ich aber vermeiden, daß er vollkommen übermüdet (oderaus anderen Gründen) vorhandene Aufnahmen überschreibt. Er bräuchte als Media-Center Nutzer also Anlagerechte. Er darf neue Dateien anlegen aber sobald eine gleichnamige Datei exisitert, darf er sie nicht überschreiben können. Und Löschen (aus Blödheit ) sollte auch nicht möglich sein. Er ist halt so einer, der sämtliche Abfragen immer mit "ok" bestätigt, ohne sie zu lesen.

Schreiben:ja, ändern:nein, löschen:nein, (naja ganz so einfach issed nich ^^)
Wenn man denn Irgenwann gerafft hat wie das mit den NTFS Rechten so ist, gehts eigentlich ganz gut. (Ich habe Jahre gebraucht um den Mist mit vererbungsrechten zu raffen.)
Merke: Rechte sind _immer_ Restiktive Rechte! Es greift _immer_das niedrigste Recht, Hast du einen Ordner im Netz, auf den User X unter NTFS Vollzugriff hat und im Share nur lesen, dann darf er nur Lesen, sonst nüscht. Anders herum genauso, Vollzugriff auf den Share und unter NTFS nur allgemeine zuschauerrechte, dann darfer nix.
(Bis Server 2003 hat mans so gemacht: Vollzugriff für alles und jeden auf den Share, und dann alles weitere mit NTFS Rechten, wobei Du dich gleich von Containerrechten und Vererbungsrechten verabschieden kannst )) ) (Viel Spaß beim Friemeln, und sperr dich nicht selber aus, das geht _ganz_ schnell )) )
Ab Server 2003 kamen dann so komische Sachen wie "Richtlinien" dazu (Activ Directory).. Bei uns uffer Arbeit siehts dann inetwa so aus. Share=vollzugriff, NTFS normale Rechtevergabe in verbindung mit richtlinien aus AD. So macht Rechtevergabe richtig Spaß )))

[cbk]

Moin,
ich will halt verhindern, daß jemand vollkommen übernächtigt irgendwas löschen kann.
Das Gleiche schwebt mir auch für den Remotezugriff über's Internet vor. Man darf alles lesen und neue Dateien schreiben, aber keine bestehenden überschreiben oder löschen.

Notfalls muß ich es so einrichten, daß alles nur erstmal in das öffentliche Share geschrieen wird und man nachher die Dateien einordnet.

[Ra1976]

Hallo

Das geht nicht, es ist wie gesagt ein Share und WHS dazu.. entweder Lesen oder schreiben oder garnicht ..

Da bleibt nur VPN und NTFS Rechte ^^ wie ich oben beschrieb..

[cbk]

Hallo
Das geht nicht, es ist wie gesagt ein Share und WHS dazu.. entweder Lesen oder schreiben oder garnicht ..
Da bleibt nur VPN und NTFS Rechte ^^ wie ich oben beschrieb..

Na,
bei meinem testsystem war das nicht so wichtig, aber wenn der Server mit dem PP1 produktiv wird, macht es mir schon Bauchschmerzen, daß da ein Port-Forward direkt auf den File-Server landet. Ist das Login von Windows 2003 wirklich so bombig, daß der Angreifer da aufgibt?
Habe das Benutzerkonto "Administrator" schon umgetauft und das Paßwort besteht, auch wenn es kurz ist, aus Buchstaben (Groß- und Kleinschreibung), Zahlen und Sonderzeichen.

Selbst wenn da jemand einbrechen würde, hätte er da dann "nur" die Möglichkeit zu lesen und Daten reinzufüttern aber nichts zu löschen.

[AliG]

Hi!

Ist das Login von Windows 2003 wirklich so bombig, daß der Angreifer da aufgibt?

siehe dazu hier: viewtopic.php?f=25&t=703&hilit=#p18690

Das mit dem Umbennen des Administrator-Accounts halte ich für eine weniger gute Idee (zumal der sowieso nicht die Rechte zum Anmelden auf der WHS-Website hat), hat das denn nirgendwo Komplikationen hervorgerufen? Geht die Konsole noch?

lg Alex

[cbk]

Hi!

Ist das Login von Windows 2003 wirklich so bombig, daß der Angreifer da aufgibt?

siehe dazu hier: viewtopic.php?f=25&t=703&hilit=#p18690

Das mit dem Umbennen des Administrator-Accounts halte ich für eine weniger gute Idee (zumal der sowieso nicht die Rechte zum Anmelden auf der WHS-Website hat), hat das denn nirgendwo Komplikationen hervorgerufen? Geht die Konsole noch?

lg Alex

Moin Alex,
ich habe den Benutzernamen "Administrator" geändert, weil ich dies hier im Forum als Sicherheitstipp gelesen hatte. Bishher hat die Umbenennung des Benutzers keine negativen Folgen gehabt. Die Konsole läuft auch "noch" fehlerlos.
Zur Zeit habe ich nur das Problem, daß der Server manchmal nicht erreichbar ist und man zwei Versuche braucht, um sich von einem client aus an der Konsole anzumelden. Ich führe dies darauf zurück, daß das Festplattensystem des Servers seit 3 Tagen unter Vollast läuft. Der Server beherrbergt jetzt knapp 1.ooo.ooo kleiner Dateien (621 GB) und die Folder Duplication ist aktiviert... das dauert. Dazu läuft noch der Index-Dienst des Windows Servers.