Über Mark Heitbrink

Ich knüpfte Anfang der 1980er erste Kontakte zum Medium Computer. Im Sommer 1992 begann meine berufliche Laufbahn als Lehrling in einem Computer Shop. Heute ... weiterlesen »

Workshop-Termine

10.09. - 12.09.2014 - Workshop Gruppenrichtlinien in Münster
24.09. - 26.09.2014 - Workshop Deployment in Detmold
24.11. - 26.11.2014 - Workshop Gruppenrichtlinien in Regensburg
01.12. - 03.12.2014 - Workshop Deployment in Regensburg

Ordnerumleitung 2 - Berechtigungen auf Home Folder

Autor: Mark Heitbrink

23.03.2013

 

Artikel 2 von 5

Anleitung: So muss das Ziel der Ordnerumleitung berechtigt werden. Berechtigungen sind die größte Fehlerquelle bei der Einrichtung der Ordnerumleitung. Es gibt von Microsoft einen Artikel, in dem die minimalen Berechtigungen genannt werden, die gesetzt werden müssen, damit es funktioniert.

 

Quelle: Security Recommendations for Folder Redirection


Diese Rechte werden wir soweit erweitern, daß der Administrator auch administrieren kann. In der  Empfehlung von Microsoft ist der Admininstrator vom Zugriff auf die Dateien des Benutzers ausgeschlossen. Nach meiner Anleitung bekommt er den Zugriff. 
Klärt das bitte mit eurem Betriebsrat ab, legt es dem Datenschutzbeauftragtem vor und lasst es euch in der Betriebsvereinbarung von jedem Anwender unterschreiben ... oder entscheidet nach Bestem Wissen und Gewissen, weil ihr alle diese Firmenorgane in einer Person seit ;-) 


Ein wichtiger technischer Aspekt, den man bei der Berechtigung berücksichtigen muss ist, daß die Clients Side Extension der Ordnerumleitung die vorhandenen Ordner verschieben will, also ausschneiden und einfügen (cut & paste). "Lesen" Rechte in Quelle oder Ziel reichen deswegen nicht aus. Falls man die Checkbox "Dem Benutzer exklusive Zugriffsrechte für ... erteilen" aktiviert, dann benötigt der Benutzer im Ziel Vollzugriff. "Ändern" würde ebenfalls nicht ausreichen, dann fehlt dem Benutzer das Recht "p" für Permissions. In beiden Fällen würde die Ordnerumleitung garnicht erst stattfinden und im Eventlog mit einem Zugriffsfehler (EventID 101) Fehler erscheinen.

a) Freigabe Berechtigungen für die Ordnerumleitung auf \\euerServer\Home: 

Benutzer

Standard Berechtigungen

Berechtigungen nach gruppenrichtlinien.de

Jeder

Volllzugriff

Keine Berechtigungen

Sicherheitsgruppe der Benutzer die Daten ablegen

Vollzugriff

Vollzugriff

Administratoren

Keine

Vollzugriff

 
  


b) Accessbased Enumeration auf der Freigabe aktivieren

Accessbased Enumeration = Zugriffsbasierte Aufzählung. Der Benutzer "sieht" nur die Ordner, an denen er mindestens Leserechte hat. Da jeder User nur an seinem eigenen %username% Ordner berechtigt ist, "sieht" er keine anderen Ordner, wenn er über den UNC PFad zu der Freigabe navigiert. Seit Server 2008 R2 findet man diese Option nicht mehr im Explorer in den Eigenschaften des freigegebenen Orderners. Man muss nun in die Datei und Freigabeverwaltung im Servermanager, nun Dashboard, gehen. 


(klick-vergrößern)


NTFS Berechtigungen für den Stammordner der Ordnerumleitung auf \\euerServer\Home: 

 

Benutzer

Berechtigungen nach gruppenrichtlinien.de

Ersteller/Besitzer

Unterordner und Dateien: Vollzugriff 

Administratoren

Dieser Ordner, Unterordner und Dateien: Vollzugriff

Lokales SYSTEM

Dieser Ordner, Unterordner und Dateien: Vollzugriff

Sicherheitsgruppe der Benutzer die Daten
ablegen

Nur dieser Ordner:
Ordner durchsuchen/Dateiausführen
Ordner auflisten/Daten lesen
Attribute lesen
Erweiterete Attribute lesen
Ordner erstellen/Daten anhängen
Berechtigungen lesen

Benutzer/Jeder

Keine Berechtigungen


Sicherheitseinstellungen -> Erweitert -> Gruppe markieren -> Bearbeiten -> "oben rechts" erweiterte Berechtigungen anzeigen.
Danach die Rechte wie in der Tabelle, bzw. im Screenshot setzen.


(klick-vergrößern)


Resultierende NTFS Berechtigungen für die Untergeordneten %username% Ordner.
 


Die %username% Ordner werden durch die Ordnerumleitung, siehe Artikel 3, automatisch erstellt. Deshalb braucht die Sicherheitsgruppe der Benutzer die Daten in dieses Ziel ablegt mindestens das Recht  "Ordner erstellen/Daten anhängen" im Stammordner .

Benutzer

resultierendes Reecht

%username%

Vollzugriff, Besitzer des Ordners (der Benutzer agiert als "Erstelelr/Besitzer)

Administratoren 

Vollzugriff

Lokales System 

Vollzugriff