Hallo pixxma,

eine Frage an XP-Netzwerk-Kenner (nichts für Windows-Hasser ...): welche Möglichkeiten gibt es, Benutzerrechte für ein gemeinsames Domänen-Netzlaufwerk zu steuern?

könntest Du das bitte genauer spezifizieren?
Hast Du nun eine Domänenstruktur mit einem Domänencontroller (sei es Windows 2000 Server oder Windows Server 2003) oder ein Peer-to-Peer-Netzwerk ausschließlich mit Windows-XP-Rechnern?

Mein bisheriger Wissenstand:

Ich gehe in meinen folgenden Ausführungen auf eine Domäne ein, Peer-to-Peer ist außer für den Privatgebrauch meiner Meinung nach uninteressant.

(a) In einem Netzwerk gibt es soundsoviele Benutzerkonten.

Ja, Benutzer sollten _grundsätzlich_ Domänenbenutzer sein.

(b) Benutzer, die gleiche Rechte haben sollen, werden i.d.R. in Gruppen zusammengefaßt.

Nicht ganz oder nur so ungefähr. Wenn für irgendetwas ein Recht erforderlich ist, z.B. Drucken auf einen bestimmten Drucker, dann legst Du eine Gruppe an, vergibst das Recht der Gruppe und fügst die Benutzer der Gruppe hinzu, die das Recht benötigen. Benutzer sind typischerweise vielen Gruppen zugeordnet.

(c) Den Gruppen kann man folgende Rechte zuordnen (oder verweigern): Lesen, Schreiben, Ordnerinhalt auflisten, Lesen/Ausführen, Ändern, Vollzugriff. (Diese Rechte könnte man nicht nur einer Gruppe, sondern auch einem Einzelkonto zuordnen.)

Das ist ein winziger Ausschnitt möglicher Berechtigungen.

(d) Bei XP gibt es vordefinierte Benutzerkontenarten und Benutzergruppenarten.

Es gibt zwei vordefinierte Benutzerkonten, den Gast und den Administrator. Ersteres sollte deaktiviert sein, letzerer könnte umbenannt sein. Aber: Security by obscurity doesn't work.

In einem domänenbasierten Netzwerk gibt es _keinen_ vernünftigen Grund, lokale Benutzerkonten anzulegen. Es gibt auch _keinen_ vernünftigen Grund, neben den vordefinierten lokalen Gruppen auch noch weitere Gruppen anzulegen :-)

Weise Gruppen bestimmten vordefinierten Benutzergruppen zu, z.B. die Gruppe der Domänenadministratoren ist typischerweise Mitglied der Gruppe der lokalen Administratoren. Ich erinnere mich gerne an einen Supportfall, wo dies nicht der Fall war.

Ich hoffe, daß es bis hierhin korrekt ist...

• Was ich nicht verstehe:

(1) Die Rechte werden eingetragen über Ordner > 'Eigenschaften' > Registerkarte 'Sicherheit'. An dieser Stelle gibt es zusätzlich noch die Registerkarte 'Freigabe'. Was hat diese noch für einen Sinn?

In einem Domänennetzwerk? Wenig. Typischerweise gibst Du Ressourcen auf Servern frei, nicht auf irgendwelchen Arbeitsrechnern (die dadurch zu Servern werden).

(2) Die Rechte an einem Hauptordner werden auf alle eingeschlossenen Unterordner vererbt. Kann man aber einem Unterordner eine andere Rechtestruktur zuweisen?

Ja. Dazu deaktiviere die Vererbung.

Und wenn ja, bis auf welche Ebene hinunter? Ich habe die (unsichere) Auskunft erhalten, daß man die Rechte nur bis zur 2. Ebene steuern kann. Stimmt das?

Nein, das stimmt nicht.

Du könntest es prinzipiell Ordnerebene für Ordnerebene anders handhaben. Dies bedeutet jedoch enormen administrativen Aufwand, ist fehlerträchtig und für den Praxiseinsatz nicht sinnvoll.

(3) Welchen Zweck haben die 'Gruppenrichtlinien'? Sind sie eine zusätzliche Feinsteuerung der groben Benutzerrechte oder haben sie mit den Rechten primär nichts zu tun?

Die Benutzerrechte sind meiner Meinung nach alles andere als grob. Gruppenrichtlinien haben mit "Freigaben" und "Zugriff auf Freigaben" im Großen und Ganzen wenig zu tun, allerdings gibt es eine Gruppenrichtlinie, die den Zugriff über das Netzwerk verhindern kann. Das ist aber eine andere Geschichte. Grundsätzlich gilt für Gruppenrichtlinien in der Domäne das gleiche wie für Benutzerkonten. Verwende soweit möglich nur Domänengruppenrichtlinien, keine lokalen.

(4) Dann gibt es noch die Datei- und Ordnerfreigabe. Puuuh ... Ist das noch etwas anderes als das oben genannte?

Ja. Du solltest Dir klar machen, dass jeder Rechner, auf dem eine Ressource freigegeben ist, prinzipiell ein Server ist. In einer Domänenumgebung ist es im Allgemeinen nicht sinnvoll, auf Arbeitsstationen Ordner freizugeben. Halte die Daten zentral auf Fileservern. Dazu sind die da, dort werden sie auch vom Backup erfaßt.

Was ist der Unterschied?

Zugriffsrechte auf Dateien und Ordner zu erteilen, ist nur unter dem Dateisystem NTFS möglich. Diese Berechtigungen gelten sowohl für lokale Benutzer als auch für Benutzer, die über das Netzwerk auf diese Ressourcen zugreifen.

Freigaben erlauben erst den Zugriff über das Netzwerk. Ohne Freigabe kein Zugriff. So einfach ist das. Verfügt Dein Benutzerkonto jedoch nicht über ein Recht, auf die freigegebenen Dateien (und Ordner) zuzugreifen, dann kannst Du dennoch nicht auf die freigegebenen Dateien (und Ordner) zugreifen.

Warum kann ich sie an meinem Arbeitsplatzrechner nicht über die Ordnereigenschaften sehen, obwohl unter 'Extras > Ordneroptionen > Ansicht' die 'Einfache Dateifreigabe' aktiviert ist?

*g* Du solltest genau die 'Einfache Dateifreigabe (empfohlen)' _deaktivieren_. Diese Einstellung ist in einem Netzwerk nicht empfehlenswert. Ich halte sie grundsätzlich für nicht empfehlenswert.

Mich interessiert, ob Du an der Theorie, an den theoretischen Möglichkeiten oder an der Praxis interessiert bist. Weitere Informationen zu Gruppen in Windows-Domänen findest Du unter anderem auch in einem Archivposting von mir.

Freundliche Grüße

Vinzenz