Unterschied Freigabe->Benutzer und Sicherheit

Hallo zusammen,

warum gibt es unter Windows in den Ordnereigenschaften einmal die Lasche Freigabe -> Berechtigungen und einmal die Lasche Sicherheit.

In beiden können Benutzernamen angegeben werden, aber warum genügt nicht nur eine dieser Funktionen?

THX im voraus.

Mahlzeit,

warum gibt es unter Windows in den Ordnereigenschaften einmal
die Lasche Freigabe -> Berechtigungen und einmal die Lasche
Sicherheit.

erstere bewirkt, daß der Ordner im Netzwerk sichtbar ist. Über die Lasche Berechtigungen kannst du einstellen, welche Benutzer aus welcher Maschine oder aus welcher Domäne darauf zugreifen können.

Über letztere regelst du, welche Benutzer auf der lokalen Maschine darauf in welcher Form zugreifen dürfen.

Gruß

Sancho

Moin,

warum gibt es unter Windows in den Ordnereigenschaften einmal
die Lasche Freigabe -> Berechtigungen

Freigabe ist wie schon gesagt, die Veröffentlichung im Netz. Hier legst Du fest, wer im Netz dort lesen und schreiben darf.

und einmal die Lasche
Sicherheit.

Das sind die NTFS-Funktionen, also die Berechtigungen auf Dateiebene. Hier legst Du zum einen die lokalen Benutzer und ihre Rechte fest und zum anderen auch Netzbenutzer. Für Neztbenutzer müssen beide Eingabemöglichkeiten korrespondieren!

Beispiel: Normale Benutzer dürfen keine Programme installieren. Das dürfen nur Admins und Hauptbenutzer. Hier spielt die Freigabe keine Rolle weil alles lokal ist. Also hat das Programmverzeichnis c:\programme die Sicherheit, daß Benutzer nur lesen dürfen.

Ist ein Ordner freigegeben, kannst Du für Freunde die Freigabe mit Schreibberechtigung einstellen, für Gäste nur lesen.
Die NTFS-Rechte müssen dies aber auch erlauben. Hier kannst Du z.B. einen einzelnen Freund ausschließen. Der dürfte dann auch lokal nicht schreiben, wenn er rankäme.
Im Netz immer beides sehen, lokal nur „Sicherheit“!

bye
Micha

Danke für die Antwort!

Ist ein Ordner freigegeben, kannst Du für Freunde die Freigabe
mit Schreibberechtigung einstellen, für Gäste nur lesen.
Die NTFS-Rechte müssen dies aber auch erlauben. Hier kannst Du
z.B. einen einzelnen Freund ausschließen. Der dürfte dann auch
lokal nicht schreiben, wenn er rankäme.
Im Netz immer beides sehen, lokal nur „Sicherheit“!

Aber warum ist es notwendig, das die NTFS-Rechte und die Freigabe im Netzwerk voneinander abhängig sind.
Es wäre doch sicherlich (rein technisch gesehen) auch möglich für Freunde die Freigabe mit Schreibberechtigung einzustellen, für Gäste nur lesen, ohne dass diese die NTFS-Rechte erlauben.

Aber warum ist es notwendig, das die NTFS-Rechte und die
Freigabe im Netzwerk voneinander abhängig sind.

Weil die Festplatte mit Ihren NTFS-Rechten den Urschleim Deiner Daten bildet. Zuerst sind die Daten auf der Festplatte, erst dann können sie in’s Netz. Also muß schon hier etwas für die Sicherheit getan werden.

Es wäre doch sicherlich (rein technisch gesehen) auch möglich
für Freunde die Freigabe mit Schreibberechtigung einzustellen,
für Gäste nur lesen, ohne dass diese die NTFS-Rechte erlauben.

Ja. So ist das auch, wenn Du ein Nicht-NTFS-Dateisystem wie z.B. FAT32 verwendest. Da gibt es keine NTFS-Rechte und damit zeigt Dir ein Windows auf FAT installiert auch keinen Reiter „Sicherheit“.

Der Grund für die doppelte Sicherheit ist der, daß Du ja nicht unbedingt sagen kannst, ob sich der Benutzer lokal oder interaktiv anmeldet. Außerdem kannst Du durch eine geschickte Kombination beider sehr detailliert Rechte vergeben und auch entziehen. Stichwort Firmennetz.

bye
Micha

Danke für die Antwort!

Ich habe auf http://www.microsoft.com/technet/prodtechnol/windows…

auch einen Artikel zu diesem Thema gefunden.

Du hast geschrieben:

„Ist ein Ordner freigegeben, kannst Du für Freunde die Freigabe
mit Schreibberechtigung einstellen, für Gäste nur lesen.
Die NTFS-Rechte müssen dies aber auch erlauben.“

Das heißt die NTFS-Rechte stehen über der Freigabe.

In dem Artikel auf der o.g. Site steht folgendes:

„Wenn Sie eine Kombination aus diesen Methoden verwenden, gelten jeweils die Berechtigungen mit den stärksten Einschränkungen. Wenn in der Freigabeberechtigung z. B. die Berechtigung Lesen für Jeder (Standardeinstellung) festgelegt ist und die NTFS-Berechtigung Benutzern das Ändern einer freigegebenen Datei ermöglicht, gilt die Freigabeberechtigung, und der Benutzer ist nicht berechtigt, Änderungen an der Datei vorzunehmen.“

Warum ist es da anders?

Du hast geschrieben:

„Ist ein Ordner freigegeben, kannst Du für Freunde die
Freigabe
mit Schreibberechtigung einstellen, für Gäste nur lesen.
Die NTFS-Rechte müssen dies aber auch erlauben.“

Das heißt die NTFS-Rechte stehen über der Freigabe.

Nein, es gibt kein drüber und drunter. Siehe es wie zwei Siebe! Nur wenn die Löscher beider exakt übereinanderstehen, fällt derStein durch. Dabei ist es unerheblich, welches Sieb oben und welches unten ist.

"Wenn Sie eine Kombination aus diesen Methoden verwenden,
gelten jeweils die Berechtigungen mit den stärksten
Einschränkungen.

Richtig. Verbieten geht über erlauben. Wie beim Sieb. Wenn ein Sieb das Loch verschlossen hat kannst Du hunterte mit Löschern darübersetzen, der Weg bleibt allein durch das einzelne geschlossene Sieb verstopft.

Warum ist es da anders?

Gar nichts. Verbietet das NTFS-Recht alles, kann eine Freigabe das nicht mehr aufheben und ist somit unwirksam. Erlaubt das NTFS-Recht lesen, kann die Freigabe aich nur das ermöglichen. In der Regel wird das NTFS-Recht aber z.B. allen Domänenbenutzern das Schreibrecht geben und über die Freigabe legst Du fest, welche Gruppe, z.B. Vertrieb, das dann wirklich darf und welche andere, z.B. Azubi, nur lesen darf.

Anders. Mit einer Freigabe gibtst Du einen Ordner frei, z.B. „Dokumente“. Nun willst Du aber, daß der Vertrieb im Unterordner Vertrieb schreiben darf, der Azubi nur lesen. Im Unterordner public darf jeder lesen und schreiben. Im Ordner „Dokumente\Firmeninterna“ darf jeder lesen, aber nur der Admin was verändern.
Wie wolltest Du das mit *einer* Freigabe erledigen?

bye
Micha

Anders. Mit einer Freigabe gibtst Du einen Ordner frei, z.B. „Dokumente“. Nun willst Du aber, daß der Vertrieb im Unterordner Vertrieb schreiben darf, der Azubi nur lesen. Im Unterordner public darf jeder lesen und schreiben. Im Ordner „Dokumente\Firmeninterna“ darf jeder lesen, aber nur der Admin was verändern.
Wie wolltest Du das mit *einer* Freigabe erledigen?

Ich hätte das mit der Freigabefunktin so gemacht, dass ich für den Unterordner Vertrieb nochmal eine extra Freigabe erstellt hätte mit den jeweiligen Freigaberechten. Genauso hätte ich da die anderen Ordner mit extrigen Freigaberechten versehen.

Das müsste doch den gewünschten Effekt ebenfalls hervorbringen. Auch wenn man dann mehrere Freigaben erstellen müsste?

Das müsste doch den gewünschten Effekt ebenfalls
hervorbringen.

Nur im Netz! Nicht bei lokaler Anmeldung.

Auch wenn man dann mehrere Freigaben erstellen
müsste?

Bedenke, daß es dann unübersichtlich wird und Dir beim Verbinden mit Netzlaufweerken bald die Buchstaben ausgehen werden.
Diese Lösung wird unsauber aussehen.

bye
Micha