Ordnerumleitung 2 - Berechtigungen auf Home Folder
Anleitung: So muss das Ziel der Ordnerumleitung berechtigt werden. Berechtigungen sind die größte Fehlerquelle bei der Einrichtung der Ordnerumleitung. Es gibt von Microsoft einen Artikel, in dem die minimalen Berechtigungen genannt werden, die gesetzt werden müssen, damit es funktioniert.
Quelle: Security Recommendations for Folder Redirection
Diese Rechte werden wir soweit erweitern, daß der Administrator auch administrieren kann. In der Empfehlung von Microsoft ist der Admininstrator vom Zugriff auf die Dateien des Benutzers ausgeschlossen. Nach meiner Anleitung bekommt er den Zugriff.
Klärt das bitte mit eurem Betriebsrat ab, legt es dem Datenschutzbeauftragtem vor und lasst es euch in der Betriebsvereinbarung von jedem Anwender unterschreiben ... oder entscheidet nach Bestem Wissen und Gewissen, weil ihr alle diese Firmenorgane in einer Person seit ;-)
Ein wichtiger technischer Aspekt, den man bei der Berechtigung berücksichtigen muss ist, daß die Clients Side Extension der Ordnerumleitung die vorhandenen Ordner verschieben will, also ausschneiden und einfügen (cut & paste). "Lesen" Rechte in Quelle oder Ziel reichen deswegen nicht aus. Falls man die Checkbox "Dem Benutzer exklusive Zugriffsrechte für ... erteilen" aktiviert, dann benötigt der Benutzer im Ziel Vollzugriff. "Ändern" würde ebenfalls nicht ausreichen, dann fehlt dem Benutzer das Recht "p" für Permissions. In beiden Fällen würde die Ordnerumleitung garnicht erst stattfinden und im Eventlog mit einem Zugriffsfehler (EventID 101) Fehler erscheinen.
a) Freigabe Berechtigungen für die Ordnerumleitung auf \\euerServer\Home:
| Benutzer | Standard Berechtigungen | Berechtigungen nach gruppenrichtlinien.de |
|---|---|---|
| Jeder | Volllzugriff | Keine Berechtigungen |
| Sicherheitsgruppe der Benutzer die Daten ablegen | Vollzugriff | Vollzugriff |
| Administratoren | Keine | Vollzugriff |
b) Accessbased Enumeration auf der Freigabe aktivieren
Accessbased Enumeration = Zugriffsbasierte Aufzählung. Der Benutzer "sieht" nur die Ordner, an denen er mindestens Leserechte hat. Da jeder User nur an seinem eigenen %username% Ordner berechtigt ist, "sieht" er keine anderen Ordner, wenn er über den UNC PFad zu der Freigabe navigiert. Seit Server 2008 R2 findet man diese Option nicht mehr im Explorer in den Eigenschaften des freigegebenen Orderners. Man muss nun in die Datei und Freigabeverwaltung im Servermanager, nun Dashboard, gehen.
NTFS Berechtigungen für den Stammordner der Ordnerumleitung auf \\euerServer\Home:
| Benutzer | Berechtigungen nach gruppenrichtlinien.de |
|---|---|
| Ersteller/Besitzer | Unterordner und Dateien: Vollzugriff |
| Administratoren | Dieser Ordner, Unterordner und Dateien: Vollzugriff |
| Lokales SYSTEM | Dieser Ordner, Unterordner und Dateien: Vollzugriff |
| Sicherheitsgruppe der Benutzer die Daten ablegen | Nur dieser Ordner: Ordner durchsuchen/Dateiausführen Ordner auflisten/Daten lesen Attribute lesen Erweiterete Attribute lesen Ordner erstellen/Daten anhängen Berechtigungen lesen |
| Benutzer/Jeder | Keine Berechtigungen |
Sicherheitseinstellungen -> Erweitert -> Gruppe markieren -> Bearbeiten -> "oben rechts" erweiterte Berechtigungen anzeigen.
Danach die Rechte wie in der Tabelle, bzw. im Screenshot setzen.
Resultierende NTFS Berechtigungen für die Untergeordneten %username% Ordner.
Die %username% Ordner werden durch die Ordnerumleitung, siehe Artikel 3, automatisch erstellt. Deshalb braucht die Sicherheitsgruppe der Benutzer die Daten in dieses Ziel ablegt mindestens das Recht "Ordner erstellen/Daten anhängen" im Stammordner.
| Benutzer | resultierendes Reecht |
|---|---|
| %username% | Vollzugriff, Besitzer des Ordners (der Benutzer agiert als "Erstelelr/Besitzer) |
| Administratoren | Vollzugriff |
| Lokales System | Vollzugriff |