Ordnerumleitung 2 - Berechtigungen auf Home Folder

23.03.2013 | Autor: Mark Heitbrink

Anleitung: So muss das Ziel der Ordnerumleitung berechtigt werden. Berechtigungen sind die größte Fehlerquelle bei der Einrichtung der Ordnerumleitung. Es gibt von Microsoft einen Artikel, in dem die minimalen Berechtigungen genannt werden, die gesetzt werden müssen, damit es funktioniert.

Quelle: Security Recommendations for Folder Redirection

Diese Rechte werden wir soweit erweitern, daß der Administrator auch administrieren kann. In der  Empfehlung von Microsoft ist der Admininstrator vom Zugriff auf die Dateien des Benutzers ausgeschlossen. Nach meiner Anleitung bekommt er den Zugriff.

Klärt das bitte mit eurem Betriebsrat ab, legt es dem Datenschutzbeauftragtem vor und lasst es euch in der Betriebsvereinbarung von jedem Anwender unterschreiben ... oder entscheidet nach Bestem Wissen und Gewissen, weil ihr alle diese Firmenorgane in einer Person seit ;-) 

Ein wichtiger technischer Aspekt, den man bei der Berechtigung berücksichtigen muss ist, daß die Clients Side Extension der Ordnerumleitung die vorhandenen Ordner verschieben will, also ausschneiden und einfügen (cut & paste). "Lesen" Rechte in Quelle oder Ziel reichen deswegen nicht aus. Falls man die Checkbox "Dem Benutzer exklusive Zugriffsrechte für ... erteilen" aktiviert, dann benötigt der Benutzer im Ziel Vollzugriff. "Ändern" würde ebenfalls nicht ausreichen, dann fehlt dem Benutzer das Recht "p" für Permissions. In beiden Fällen würde die Ordnerumleitung garnicht erst stattfinden und im Eventlog mit einem Zugriffsfehler (EventID 101) Fehler erscheinen.

a) Freigabe Berechtigungen für die Ordnerumleitung auf \\euerServer\Home: 

Benutzer Standard Berechtigungen Berechtigungen nach gruppenrichtlinien.de
Jeder Volllzugriff Keine Berechtigungen
Sicherheitsgruppe der Benutzer die Daten ablegen Vollzugriff Vollzugriff
Administratoren Keine Vollzugriff

b) Accessbased Enumeration auf der Freigabe aktivieren

Accessbased Enumeration = Zugriffsbasierte Aufzählung. Der Benutzer "sieht" nur die Ordner, an denen er mindestens Leserechte hat. Da jeder User nur an seinem eigenen %username% Ordner berechtigt ist, "sieht" er keine anderen Ordner, wenn er über den UNC PFad zu der Freigabe navigiert. Seit Server 2008 R2 findet man diese Option nicht mehr im Explorer in den Eigenschaften des freigegebenen Orderners. Man muss nun in die Datei und Freigabeverwaltung im Servermanager, nun Dashboard, gehen.

NTFS Berechtigungen für den Stammordner der Ordnerumleitung auf \\euerServer\Home:

Benutzer Berechtigungen nach gruppenrichtlinien.de
Ersteller/Besitzer Unterordner und Dateien: Vollzugriff 
Administratoren Dieser Ordner, Unterordner und Dateien: Vollzugriff
Lokales SYSTEM Dieser Ordner, Unterordner und Dateien: Vollzugriff
Sicherheitsgruppe der Benutzer die Daten
ablegen
Nur dieser Ordner:
Ordner durchsuchen/Dateiausführen
Ordner auflisten/Daten lesen
Attribute lesen
Erweiterete Attribute lesen
Ordner erstellen/Daten anhängen
Berechtigungen lesen
Benutzer/Jeder Keine Berechtigungen

Sicherheitseinstellungen -> Erweitert -> Gruppe markieren -> Bearbeiten -> "oben rechts" erweiterte Berechtigungen anzeigen.
Danach die Rechte wie in der Tabelle, bzw. im Screenshot setzen.

Resultierende NTFS Berechtigungen für die Untergeordneten %username% Ordner.

Die %username% Ordner werden durch die Ordnerumleitung, siehe Artikel 3, automatisch erstellt. Deshalb braucht die Sicherheitsgruppe der Benutzer die Daten in dieses Ziel ablegt mindestens das Recht  "Ordner erstellen/Daten anhängen" im Stammordner.

Benutzer resultierendes Reecht
%username% Vollzugriff, Besitzer des Ordners (der Benutzer agiert als "Erstelelr/Besitzer)
Administratoren  Vollzugriff
Lokales System  Vollzugriff