Skip to content

Zugriffsrechte ändern

Diese Beschreibung richtet sich an Administratoren und Nutzer von Fileshares von IT.SERVICES. Abhängig von Ihren individuellen Zugriffsberechtigungen können Sie eventuell nicht alle vorgeschlagenen Änderungen vornehmen. Alle Änderungen von Zugriffsberechtigungen sollten auf einem Windows-Betriebssystem vorgenommen werden.

Benutzergruppen im Fileshare

Bei den folgenden Beispielen werden verschiedene Benutzer(-gruppen) unterschieden:

  • Administratoren (Mitglieder der Administratorengruppe; erkennbar am vorangestellten _-Zeichen, z.B. _netapp-demo): Dies sind die technischen Ansprechpartner, die beim Fileshare-Auftrag benannt wurden und alle von ihnen als Administratoren hinzugefügte LoginIDs.
  • Benutzer (Mitglieder der normalen LDAP-Gruppe, z.B. netapp-demo): Diese wurden von Administratoren zur Gruppe hinzugefügt.
  • SEC_ITS_BAS_FILER_Administrators oder ITS_BAS_FS_Netapp-Admin (Fileshare-Betreuer von IT.SERVICES): Es handelt sich um die Administratoren der Infrastruktur der Fileservices in der ruhr-uni-bochum.

Standard-Konfiguration

Die Standard-Konfiguration von Fileshares:

  • Nur Mitglieder der normalen Gruppe können ein Fileshare als Netzlaufwerk verbinden. Administratoren müssen ebenfalls Mitglied der normalen Gruppe sein.
  • Mitglieder einer Administratorengruppe haben Vollzugriff auf ihr Fileshare. Mitglieder der normalen Gruppe haben nur Lese- und Ausführungsrecht. Die Fileshare-Betreuer (SEC_ITS_BAS_FILER_Administrators) von IT.SERVICES haben Vollzugriff, um im Notfall Hilfestellung zu geben. Diese Berechtigung können Sie bei Bedarf entziehen.
  • Die Zugriffsberechtigungen gelten für das Fileshare und darin enthaltene Unterverzeichnisse und Dateien.
  • Diese Anleitung funktioniert nur von Computern aus, die Mitglied der Domäne Ruhr-Universität Bochum sind. Sollten Sie keinen Computer dafür zu Verfügung haben, so müssten Sie ein separates Ticket eröffnen, damit ein Computer aus Ihrem Bereich in die Domäne eingetragen werden kann oder sie verwenden die Anleitung "Zugriffsrechte ändern (ohne Active Directory)".

Generelle Informationen

Die Rechte die eine Person/Gruppe zugeteilt bekommen kann bedeuten:

  • Vollzugriff - die Person/Gruppe hat alle Rechte die man auf diesem Objekt besitzen kann.

  • Ändern - die Person/Gruppe darf bestehende Dateien und Ordner bearbeiten.

  • Lesen & Ausführen - die Person/Gruppe darf Objekte öffnen (Dateien und Ordner) und Ausführen (z.B. *.exe-Dateien).

  • "Ordnerinhalte auflisten" - die Person/Gruppe darf Objekte in dem Objekt sehen. Also eine Person mit diesem Recht kann einen Ordner öffnen und sieht die sich darin befindlichen Dateien und Unterordner.

  • Lesen - die Person/Gruppe darf Objekte öffnen.

  • Schreiben - die Person/Gruppe darf neue Objekte anlegen.

  • Besondere Berechtigungen - die Person/Gruppe darf besondere Aktionen mit Objekten durchführen. Dazu zählen die Rechte an den Objekten anzupassen.

INFO

Entfernen Sie nur die _LDAP-Gruppe, wenn Sie sich sicher sind, dass Sie niemals wieder administrativ den Ordner löschen können wollen. Wir empfehlen nicht die _LDAP-Gruppe zu entfernen, da Nutzer durch Ruhestand die Universität irgendwann verlassen und dann im schlimmsten Fall niemand mehr alte Daten die nicht mehr benötigt werden löschen kann.

Bearbeiten der Zugriffsberechtigung

In den Beispiel-Szenarien betrachten wir das Fileshare netapp-demopermissions (als Netzlaufwerk Y: verbunden) mit den Unterverzeichnissen „ForAll“, „ForUserX“ und „SpecialPermissions“. Die Änderungen erfolgen jeweils mittels Rechtsklick auf Fileshare bzw. die einzelnen Verzeichnisse und die Auswahl „Eigenschaften ► Sicherheit ► Erweitert“ und dort „Berechtigungen ändern ► Bearbeiten“ (siehe Abbildung).

Screenshot

Konfiguration individueller Zugriffsberechtigungen

Je nach Einsatzzweck und Kundenwünschen gibt es unterschiedliche Anforderungen an die Sicherheits-einstellungen und Zugriffsberechtigungen für Daten auf Fileshares. Wir beschreiben für mehrere mögliche Szenarien, wie Sie als Administrator eines Fileshares oder als Benutzer für eigene Daten gezielt Zugriffs-berechtigungen vergeben können.

  1. Vollzugriff für alle Benutzer auf dem Fileshare
  2. Vollzugriff für alle Benutzer auf einzelne Verzeichnisse
  3. Persönliche Verzeichnisse für einzelne Benutzer
  4. Gruppenweit schreibbare Verzeichnisse mit speziellem Schreibschutz

1. Vollzugriff für alle Benutzer auf dem Fileshare

Hier haben alle Benutzer volle Berechtigungen auf dem gesamten Fileshare, können also beliebig Verzeichnisse und Daten anlegen, verändern und löschen, sowie Berechtigungen selbst setzen.

2. Vollzugriff für alle Benutzer auf einzelne Verzeichnisse

Hier haben alle Benutzer volle Berechtigungen auf dem gesamten Fileshare, können also beliebig Verzeichnisse und Daten anlegen, verändern und löschen, sowie Berechtigungen selbst setzen.

Screenshot

3. Persöhnliche Verzeichnisse für einzelne Benutzer freigeben.

Schritt 1:

Das persöhnliche Verzeichnis sollte zuvor vom Administrator oder dem Benutzer angelegt werden. Für dieses Verzeichnis „ForUserX“ muss zunächst die Vererbung von Zugriffsberechtigungen deaktiviert werden. Gehen Sie zu „Eigenschaften ► Sicherheit“ und „Erweitert ► Berechtigungen“ und klicken auf „Vererbung deaktivieren“ (a). Wählen Sie anschließend „Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren“ (b).

Screenshot

Schritt 2:

Im selben Fenster markiert man nun die Gruppe und wählt „Entfernen“ (a). Anschließend ist mit „Hinzufügen“ (b) die LoginID des Benutzers mit den gewünschten Berechtigungen hinzuzufügen (b). Diese Berechtigungen sollten für die Auswahl „Diesen Ordner, Unterordner und Dateien“ übernommen werden, damit die aktuellen Berechtigungen sich auch in Unterverzeichnisse vererben. Damit erhält der einzelnen Benutzer Vollzugriff auf das Verzeichnis (c). Bestätigen Sie mit „OK“.

Screenshot

Schritt 3:

Das gewünschte Ergebnis ist also das gegen Zugriff der anderen Benutzer geschützte private Verzeichnis. Die immer noch enthaltenen Zugriffsberechtigungen für Administratoren und Domain Admins können bei Bedarf ebenfalls entfernt werden.

Screenshot

4. Gruppenweit schreibbare Verzeichnisse mit speziellem Schreibschutz

In einem Verzeichnis gemäß „2. Vollzugriff für alle Benutzer auf einzelne Verzeichnisse“ können alle Benutzer der Gruppe Dateien und Verzeichnisse anlegen, aber auch löschen. Als zusätzlichen Sicherheitsaspekt kann man erwirken, dass Benutzer neben dem allgemeinen Leserecht Dateien und Verzeichnisse zwar anlegen können, aber auch nur die eigenen Daten modifizieren oder löschen können (Emulation eines Unix-Verzeichnisses mit Sticky Bit). Gehen Sie dazu wie nachfolgend beschrieben vor:

Schritt 1:

Öffnen Sie per Rechtsklick auf das entsprechende Fileshare die „Eingeschaften“ und navigieren zu „Sicherheit ► Erweitert ► Berechtigungen ändern ► Hinzufügen“.

  1. Setzen Sie unter „Zulassen“ für „Diesen Ordner, Unterordner“ die Haken bei den Berechtigungen „Dateien erstellen/ Daten schreiben“ und „Ordner erstellen/ Daten anhängen“. Bestätigen Sie mit „OK“.
  2. Setzen Sie unter „Verweigern“ für „Diesen Ordner, Unterordner“ den Haken bei „Löschen“. Bestätigen Sie mit „OK“.

Screenshot

Schritt 2:

Wählen Sie das Prinzipal „Ersteller-Besitzer“ aus und setzen unter „Zulassen“ für „Nur Unterordner und Dateien“ den Haken bei den Berechtigungen“ Vollzugriff“. Bestätigen Sie mit „OK“. Mit diesen Berechtigungen können Daten nur noch vom Ersteller oder von Administratoren geändert oder gelöscht werden.

Screenshot