Blog-Leser Andreas L. hat mich auf ein Problem bei Windows Server 2016 aufgemacht, auf welches er gestoßen ist. Es gehe um Freigaben im Netzwerk und deren Berechtigungen.
Andreas hat mich vor einigen Tagen per Mail kontaktiert und schrieb: Ich bin seit einiger Zeit eifriger Leser Ihres Blogs, und nun habe ich selbst mal ein kurioses Problem das Interessant zu sein scheint. Ich stelle es mal hier im Blog ein, da es vielleicht für mehr Administratoren von Windows Server 2016 relevant sein könnte.
Darum geht es
Andreas betreibt einen Windows Server 2016 in einer Windows Domäne, auf dem er Freigaben erstellt. Dazu schreibt er:
Ich habe auf einem Windows Server 2016 in einer Windows Domäne die Freigabe eines Ordners, auf den haben alle Domänen-Benutzer „Nur lesenden“ Zugriff (Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen). Der zu Grunde liegende Ordner im Dateisystem (D:\Oberster_Ordner) der freigegeben wird, hat für alle Domänen-Benutzer die Berechtigung „Ordnerinhalte auflisten“.
Damit soll sichergestellt werden, so schreibt Andreas, dass die Benutzer, die diese Freigabe verbunden bekommen, nur die Ordner sehen, für die sie auch berechtigt sind. Alle anderen Ordner sollen ausgeblendet werden. Er gibt die Struktur der Ordner folgendermaßen an:
Oberster_Ordner = Freigabe als \\<server>\Oberster_Ordner, Dateisystem D:\Oberster_Ordner
Unterordner1
Unterordner2
Berechtigungen:
Ordner D:\Oberster_Ordner = Domänen-Benutzer = eingeschränktes Nur Lesen (Ordnerinhalt anzeigen)
Freigabe \\<server>\Oberster_Ordner = Domänen-Benutzer = Nur Lesen (Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen)
Ordner D:\Oberster_Ordner\Unterordner1 = Benutzer1 (Ändern)
Ordner D:\Oberster_Ordner\Unterordner2 = Benutzer2 (Ändern)
Unterschiedliches Verhalten bei Server 2008 R2 und 2016
Andreas hat dieses Verhalten einmal mit Windows Server 2008 R2 und einmal mit Windows Server 2016 durchprobiert und ist auf unterschiedliche Ergebnisse gestoßen.
KORREKTES Ergebnis mit Freigabe auf Windows Server 2008 R2 oder QNAP NAS-System (aktueller Stand, jeweils mit Domänenanbindung):
Wird nun für die beiden Benutzer die Freigabe als Laufwerk verbunden (net use u: \\<server>\Oberster_Ordner), dann kann Benutzer 1 nur den Unterordner1 sehen, und Benutzer2 nur den Unterordner2. Die Benutzer können auch in den sichtbaren Ordnern Änderungen (Dateien hinzufügen, löschen, etc.) durchführen ohne eine Fehlermeldung zu erhalten. Also ist alles genau so wie es erwartet wird.
INKORREKTES Ergebnis mit Freigabe auf Windows Server 2016 (aktueller Stand mit Domänen-Anbindung):
Wird nun für die beiden Benutzer die Freigabe als Laufwerk verbunden (net use u: \\<server>\Oberster_Ordner) dann sehen beide Benutzer die beiden Ordner, können aber nur jeweils in den Ordner gehen für den sie berechtigt sind. Bei dem nicht berechtigten Ordner erhalten Sie beim Zugriff eine Fehlermeldung.
Aber noch seltsamer ist, schreibt Andreas: Obwohl die jeweiligen Benutzer Änderungsberechtigung auf ihre Ordner haben (in den Ordnerberechtigungen), können Sie in diesen Ordnern kein Änderungen (Dateien hinzufügen, löschen, etc.) vornehmen. Die Benutzer erhalten immer nur Fehlermeldungen das der Zugriff verweigert wird.
Und nun das Kuriose, wenn ich in der Freigabe die Berechtigung von Lesen (Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen) auf Ändern (Ändern; Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen; Schreiben) ändere, dann können die Benutzer auch in dem für sie berechtigten Ordner Änderungen vornehmen. Die weiteren Nebenwirkungen habe ich nicht weiter getestet.
Andreas schreibt dazu: Es macht so den starken Eindruck das die Freigabeberechtigungen seit einiger Zeit nicht nur für die Freigabe an sich gelten, sondern das diese auch über die darunter liegende Ordnerstruktur nach unten virtuell vererbt werden und so die eigentlichen Ordnerberechtigungen einschränken. Außerdem scheint die Auflistung von Inhalten nicht mehr von einer Berechtigung abhängig zu sein so das man alle Ordner sieht.
Er kann das Ganze über mehrere in der Domäne verfügbare Windows Server 2016 nachvollziehen, das Ergebnis sieht immer gleich aus. Andreas schreibt, dass er dieses Verhalten aber nicht mit irgendeinem Update in Verbindung bringen kann ( jedenfalls nicht ad hoc). Andreas fragt: Ist das nun eine gewollte Änderung die Microsoft in den letzten Updates eingeführt hat oder ist das ein Bug?
****
Kommentar wegen Spam gelöscht und Nutzer geblockt
Reiner: Das hat mit dem ursprünglichen Post nichts, aber überhaupt nichts zu tun. Ich hatte mehrfach auf den Diskussionsbereich im Blog hingewiesen, wo solche Posts hingehören (und sogar eine Mail mit diesem Hinweis geschickt).
Künftig werde ich solche themenfremden Beiträge von dir rigoros löschen – sorry.
Hallo Günter! Der „Kollege“ sieht für mich verdächtig nach einem Bot aus. Da erlaubt sich vielleicht jemand einen Spaß. ;-)
Volker, du hast vermutlich recht, entweder ein Bot, der den Kommentar automatisch generiert hat, oder ein Mensch, der sich einen schlechten Scherz erlaubt hat. Den Text, der als Kommentar (via Copy & Paste) eingestellt wurde, kann man wortgleich an anderer Stelle im Internet lesen, zum Beispiel hier, veröffentlicht im Juli 2016: https[:]//wiki.uberspace.de/philosophy:allusersvisible (Unser „Kommentar“ geht dort nach „… Die lange Antwort:“ los.) – Solche Copy & Paste-Kommentare kann eigentlich nur löschen. Das ist Sprachmüll.
Ok, danke für die Hinweis – auf die Idee zu suchen, bin ich nicht gekommen. Wird nun geblockt.
Ich weiß jetzt nicht, wo das Problem liegt. Der Windows Server 2016 verhält sich genau so, wie er soll. Es gilt bei Freigabe- und Ordnerberechtigungen immer der kleinste gemeinsame Nenner. Wenn die Benutzer auf die Freigabe nur Leserechte haben, können sie auf Unterordnern auch Vollzugriff auf Verzeichnisebene haben, sie dürfen dann nur Lesen. Das war doch schon immer so bzw. kenne ich es nicht anders. Wenn es sich auf Windows Server 2008 R2 anders verhält, gibt es dort möglicherweise noch eine andere Freigabe (auf dem Root?) oder Berechtigungsgruppe auf der Freigabe, welche die höheren Rechte gestattet oder es ist ein Bug.
Wobei ich gerade noch auf eine andere Möglichkeit gestoßen bin: Wenn im Benutzerprofil auf dem Client andere Anmeldeinformationen für den Zugriff auf den Server 2008 R2 gespeichert sind, greift der Benutzer womöglich gar nicht mit seinen eigenen Rechten, sondern denen eines anderen Benutzers auf den Server zu!
Dass die Ordner ohne Berechtigung sichtbar sind, könnte daran liegen, dass auf dem Windows Server 2016 die Access Based Enumeration nicht aktiviert ist (standardmäßig ist diese ausgeschaltet), auf dem Server 2008 R2 jedoch schon. Oder das Recht „Ordnerinhalt anzeigen“ wird vererbt. Dann gilt das Recht natürlich auch für die Unterordner.
Hallo Klaus,
ok, das mit der „Access Based Enumeration“ geht in Ordnung, die war tatsächlich nicht aktiv. Dabei ging ich davon aus das sie wie beim W2K8R2 aktiv sei, da habe ich wieder etwas gelernt!
Aber, unter Windows Server 2008 R2 hatte eine Freigabe bzw. die dortigen Freigabeberechtigungen nur eine Auswirkung auf den Ordner der freigegeben wurde, und nicht auf die darin befindliche gesamte Struktur. Somit konnte man die Rechte der Struktur innerhalb des freigegebenen Ordner sehr fein konfigurieren, ohne an oberster Stelle zu viele Rechte freigeben zu müssen. Das scheint nun nicht mehr zu funktionieren, das ist das eigentliche Seltsame was ich dabei sehe. Ich muss nun in den Freigabeberechtigungen Schreibrechte einräumen und in den Ordnern und Dateien diese explizit wieder entfernen, was den Aufwand erheblich steigert wenn die darunter liegenden Strukturen sehr mächtig sind.
Um frei nach einem großen Japanischen Elektronikhersteller zu sprechen „It’s not a bug, it’s a feature….“, und wohl wieder etwas dazugelernt. Vielleicht begehe ich auch nur einen Denkfehler, wer weiß….
Vielen Dank.
Andreas
Kann es sein, dass du den Assistent für die Freigabeeinstellungen verwendest? Ich habe gelesen, der würde auch gleich die passenden NTFS-Berechtigungen analog zu den Rechten auf der Freigabe setzen. Es wird für „komplexe“ Berechtigungen daher empfohlen, nicht den Assistenten, sondern die „Erweiterte Freigabe“ auf dem Ordner zu nutzen.
Ansonsten ergibt deine Schilderung für mich keinen Sinn. Du musst die passenden NTFS-Berechtigungen auf die Ordner ja sowieso unabhängig von der Freigabe setzen. Und die gelten ja dann, wie in dem Beispiel aufgezählt, entsprechend für die einzelnen Benutzer/Gruppen.
Der „Assistent für die Freigabeeinstellungen“ ist nur für Anfänger. Einfach durchzuführen, einfaches Ergebnis.
Vererbung auf den Unterordnern unterbrechen und dafür neu setzen und schon ist der Spuk vorbei.
Moin,
das Verhalten sieht mir nicht fehlerhaft aus. Hingegen sind die Annahmen des Lesers nicht korrekt.
Vielleicht hier noch mal nachsehen:
https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/
Gruß, Nils
Hallo,
ich habe gerade ein verwandtes Problem, aber nur auf einem einzigen Client in der Domäne.
Der Fileserver läuft auf Windows Server 2019, ist gleichzeitig der DC.
Auf einem der beiden Laufwerke ist dort einfach eine Freigabestruktur eingerichtet für die Zugriffe der Abteilungen auf die Unterordner.
Bei allen PCs im Netzwerk kann ich auf die Ordnerstruktur zugreifen, nur auf dem einen PC nicht. Dort sehe ich nur einen einzigen Unterordner des Abteilungshauptordners, und dort auch nicht alle Dateien.
Dieser Unterordner ist nochmal selbst freigegeben, und damit außerhalb der Abteilungsordner-Freigabe selbst zugreifbar. Und das ohne Probleme!
Das ganz kuriose daran ist aber, dass es zeitweise funktioniert, dass die Freigabe des Abteilungsordners und dessen Unterordnern komplett sichtbar ist, und plötzlich dann nicht mehr.
Es ist egal, welche Kontoberechtigung besteht (Domänenbenutzer + lokaler Admin oder Domänenadmin + lokaler Admin), selbst ich als Domänenadmin kann die Unterordner in der Abteilungsordner Freigabe nicht sehen und auch nicht zugreifen.
Wir haben den PC gestern schon einmal aus der Domäne entfernt und neu hinzugefügt, danach ging es wieder. Bis vor kurzem, als die Benutzerin bei uns anrief dass ein Zugriff auf PDFs nicht mehr funktioniert.
Erst war, wie im Artikel oben beschrieben, die SMB+CIFS Freigabe nicht aktiv, das habe ich nachgeholt, das hatte dann auch kurzfristig geholfen (musste dann neustarten, und daher dann mit meinem RDP Adminkonto einloggen, da die Benutzerin schon ins wohlverdiente (?) Wochenende gegangen war).
Aber leider auch nur kurzfristig, plötzlich ist die Freigabe wieder (fast) leer und nicht zugreifbar.
Neustarts des PC helfen dabei leider nicht.
Ich bin ratlos!
M. Neubert
Domänenadmin aus Hannover