Windows Server 2016: Chaos bei Freigaben, Ordnern und Berechtigungen?

Blog-Leser Andreas L. hat mich auf ein Problem bei Windows Server 2016 aufgemacht, auf welches er gestoßen ist. Es gehe um Freigaben im Netzwerk und deren Berechtigungen.


Anzeige

Andreas hat mich vor einigen Tagen per Mail kontaktiert und schrieb: Ich bin seit einiger Zeit eifriger Leser Ihres Blogs, und nun habe ich selbst mal ein kurioses Problem das Interessant zu sein scheint. Ich stelle es mal hier im Blog ein, da es vielleicht für mehr Administratoren von Windows Server 2016 relevant sein könnte.

Darum geht es

Andreas betreibt einen Windows Server 2016 in einer Windows Domäne, auf dem er Freigaben erstellt. Dazu schreibt er:

Ich habe auf einem Windows Server 2016 in einer Windows Domäne die Freigabe eines Ordners, auf den haben alle Domänen-Benutzer "Nur lesenden" Zugriff (Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen). Der zu Grunde liegende Ordner im Dateisystem (D:\Oberster_Ordner) der freigegeben wird, hat für alle Domänen-Benutzer die Berechtigung "Ordnerinhalte auflisten".

Damit soll sichergestellt werden, so schreibt Andreas, dass die Benutzer, die diese Freigabe verbunden bekommen, nur die Ordner sehen, für die sie auch berechtigt sind. Alle anderen Ordner sollen ausgeblendet werden. Er gibt die Struktur der Ordner folgendermaßen an:

Oberster_Ordner = Freigabe als \\<server>\Oberster_Ordner, Dateisystem D:\Oberster_Ordner

  Unterordner1

  Unterordner2

Berechtigungen:

Ordner      D:\Oberster_Ordner = Domänen-Benutzer = eingeschränktes Nur Lesen (Ordnerinhalt anzeigen)

Freigabe    \\<server>\Oberster_Ordner = Domänen-Benutzer = Nur Lesen (Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen)

Ordner      D:\Oberster_Ordner\Unterordner1 = Benutzer1 (Ändern)
Ordner      D:\Oberster_Ordner\Unterordner2 = Benutzer2 (Ändern)

Unterschiedliches Verhalten bei Server 2008 R2 und 2016


Anzeige

Andreas hat dieses Verhalten einmal mit Windows Server 2008 R2 und einmal mit Windows Server 2016 durchprobiert und ist auf unterschiedliche Ergebnisse gestoßen.

KORREKTES Ergebnis mit Freigabe auf Windows Server 2008 R2 oder QNAP NAS-System (aktueller Stand, jeweils mit Domänenanbindung):

Wird nun für die beiden Benutzer die Freigabe als Laufwerk verbunden (net use u: \\<server>\Oberster_Ordner), dann kann Benutzer 1 nur den Unterordner1 sehen, und Benutzer2 nur den Unterordner2. Die Benutzer können auch in den sichtbaren Ordnern Änderungen (Dateien hinzufügen, löschen, etc.) durchführen ohne eine Fehlermeldung zu erhalten. Also ist alles genau so wie es erwartet wird.

INKORREKTES Ergebnis mit Freigabe auf Windows Server 2016 (aktueller Stand mit Domänen-Anbindung):

Wird nun für die beiden Benutzer die Freigabe als Laufwerk verbunden (net use u: \\<server>\Oberster_Ordner) dann sehen beide Benutzer die beiden Ordner, können aber nur jeweils in den Ordner gehen für den sie berechtigt sind. Bei dem nicht berechtigten Ordner erhalten Sie beim Zugriff eine Fehlermeldung.

Aber noch seltsamer ist, schreibt Andreas: Obwohl die jeweiligen Benutzer Änderungsberechtigung auf ihre Ordner haben (in den Ordnerberechtigungen), können Sie in diesen Ordnern kein Änderungen (Dateien hinzufügen, löschen, etc.) vornehmen. Die Benutzer erhalten immer nur Fehlermeldungen das der Zugriff verweigert wird.

Und nun das Kuriose, wenn ich in der Freigabe die Berechtigung von Lesen (Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen) auf Ändern (Ändern; Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen; Schreiben) ändere, dann können die Benutzer auch in dem für sie berechtigten Ordner Änderungen vornehmen. Die weiteren Nebenwirkungen habe ich nicht weiter getestet.

Andreas schreibt dazu: Es macht so den starken Eindruck das die Freigabeberechtigungen seit einiger Zeit nicht nur für die Freigabe an sich gelten, sondern das diese auch über die darunter liegende Ordnerstruktur nach unten virtuell vererbt werden und so die eigentlichen Ordnerberechtigungen einschränken. Außerdem scheint die Auflistung von Inhalten nicht mehr von einer Berechtigung abhängig zu sein so das man alle Ordner sieht.

Er kann das Ganze über mehrere in der Domäne verfügbare Windows Server 2016 nachvollziehen, das Ergebnis sieht immer gleich aus. Andreas schreibt, dass er dieses Verhalten aber nicht mit irgendeinem Update in Verbindung bringen kann ( jedenfalls nicht ad hoc). Andreas fragt: Ist das nun eine gewollte Änderung die Microsoft in den letzten Updates eingeführt hat oder ist das ein Bug?


Anzeige

Dieser Beitrag wurde unter Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Windows Server 2016: Chaos bei Freigaben, Ordnern und Berechtigungen?

  1. Rainer Winkler sagt:

    ****
    Kommentar wegen Spam gelöscht und Nutzer geblockt

    • Günter Born sagt:

      Reiner: Das hat mit dem ursprünglichen Post nichts, aber überhaupt nichts zu tun. Ich hatte mehrfach auf den Diskussionsbereich im Blog hingewiesen, wo solche Posts hingehören (und sogar eine Mail mit diesem Hinweis geschickt).

      Künftig werde ich solche themenfremden Beiträge von dir rigoros löschen – sorry.

      • Volker sagt:

        Hallo Günter! Der "Kollege" sieht für mich verdächtig nach einem Bot aus. Da erlaubt sich vielleicht jemand einen Spaß. ;-)

        • Ralf Lindemann sagt:

          Volker, du hast vermutlich recht, entweder ein Bot, der den Kommentar automatisch generiert hat, oder ein Mensch, der sich einen schlechten Scherz erlaubt hat. Den Text, der als Kommentar (via Copy & Paste) eingestellt wurde, kann man wortgleich an anderer Stelle im Internet lesen, zum Beispiel hier, veröffentlicht im Juli 2016: https[:]//wiki.uberspace.de/philosophy:allusersvisible (Unser „Kommentar" geht dort nach „… Die lange Antwort:" los.) – Solche Copy & Paste-Kommentare kann eigentlich nur löschen. Das ist Sprachmüll.

  2. Klaus sagt:

    Ich weiß jetzt nicht, wo das Problem liegt. Der Windows Server 2016 verhält sich genau so, wie er soll. Es gilt bei Freigabe- und Ordnerberechtigungen immer der kleinste gemeinsame Nenner. Wenn die Benutzer auf die Freigabe nur Leserechte haben, können sie auf Unterordnern auch Vollzugriff auf Verzeichnisebene haben, sie dürfen dann nur Lesen. Das war doch schon immer so bzw. kenne ich es nicht anders. Wenn es sich auf Windows Server 2008 R2 anders verhält, gibt es dort möglicherweise noch eine andere Freigabe (auf dem Root?) oder Berechtigungsgruppe auf der Freigabe, welche die höheren Rechte gestattet oder es ist ein Bug.

    Wobei ich gerade noch auf eine andere Möglichkeit gestoßen bin: Wenn im Benutzerprofil auf dem Client andere Anmeldeinformationen für den Zugriff auf den Server 2008 R2 gespeichert sind, greift der Benutzer womöglich gar nicht mit seinen eigenen Rechten, sondern denen eines anderen Benutzers auf den Server zu!

    Dass die Ordner ohne Berechtigung sichtbar sind, könnte daran liegen, dass auf dem Windows Server 2016 die Access Based Enumeration nicht aktiviert ist (standardmäßig ist diese ausgeschaltet), auf dem Server 2008 R2 jedoch schon. Oder das Recht "Ordnerinhalt anzeigen" wird vererbt. Dann gilt das Recht natürlich auch für die Unterordner.

    • Andreas sagt:

      Hallo Klaus,

      ok, das mit der "Access Based Enumeration" geht in Ordnung, die war tatsächlich nicht aktiv. Dabei ging ich davon aus das sie wie beim W2K8R2 aktiv sei, da habe ich wieder etwas gelernt!

      Aber, unter Windows Server 2008 R2 hatte eine Freigabe bzw. die dortigen Freigabeberechtigungen nur eine Auswirkung auf den Ordner der freigegeben wurde, und nicht auf die darin befindliche gesamte Struktur. Somit konnte man die Rechte der Struktur innerhalb des freigegebenen Ordner sehr fein konfigurieren, ohne an oberster Stelle zu viele Rechte freigeben zu müssen. Das scheint nun nicht mehr zu funktionieren, das ist das eigentliche Seltsame was ich dabei sehe. Ich muss nun in den Freigabeberechtigungen Schreibrechte einräumen und in den Ordnern und Dateien diese explizit wieder entfernen, was den Aufwand erheblich steigert wenn die darunter liegenden Strukturen sehr mächtig sind.

      Um frei nach einem großen Japanischen Elektronikhersteller zu sprechen "It's not a bug, it's a feature….", und wohl wieder etwas dazugelernt. Vielleicht begehe ich auch nur einen Denkfehler, wer weiß….

      Vielen Dank.
      Andreas

      • Klaus sagt:

        Kann es sein, dass du den Assistent für die Freigabeeinstellungen verwendest? Ich habe gelesen, der würde auch gleich die passenden NTFS-Berechtigungen analog zu den Rechten auf der Freigabe setzen. Es wird für "komplexe" Berechtigungen daher empfohlen, nicht den Assistenten, sondern die "Erweiterte Freigabe" auf dem Ordner zu nutzen.

        Ansonsten ergibt deine Schilderung für mich keinen Sinn. Du musst die passenden NTFS-Berechtigungen auf die Ordner ja sowieso unabhängig von der Freigabe setzen. Und die gelten ja dann, wie in dem Beispiel aufgezählt, entsprechend für die einzelnen Benutzer/Gruppen.

  3. 1ST1 sagt:

    Vererbung auf den Unterordnern unterbrechen und dafür neu setzen und schon ist der Spuk vorbei.

  4. Moin,

    das Verhalten sieht mir nicht fehlerhaft aus. Hingegen sind die Annahmen des Lesers nicht korrekt.

    Vielleicht hier noch mal nachsehen:
    https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

    Gruß, Nils

  5. M. Neubert sagt:

    Hallo,

    ich habe gerade ein verwandtes Problem, aber nur auf einem einzigen Client in der Domäne.
    Der Fileserver läuft auf Windows Server 2019, ist gleichzeitig der DC.
    Auf einem der beiden Laufwerke ist dort einfach eine Freigabestruktur eingerichtet für die Zugriffe der Abteilungen auf die Unterordner.
    Bei allen PCs im Netzwerk kann ich auf die Ordnerstruktur zugreifen, nur auf dem einen PC nicht. Dort sehe ich nur einen einzigen Unterordner des Abteilungshauptordners, und dort auch nicht alle Dateien.
    Dieser Unterordner ist nochmal selbst freigegeben, und damit außerhalb der Abteilungsordner-Freigabe selbst zugreifbar. Und das ohne Probleme!

    Das ganz kuriose daran ist aber, dass es zeitweise funktioniert, dass die Freigabe des Abteilungsordners und dessen Unterordnern komplett sichtbar ist, und plötzlich dann nicht mehr.
    Es ist egal, welche Kontoberechtigung besteht (Domänenbenutzer + lokaler Admin oder Domänenadmin + lokaler Admin), selbst ich als Domänenadmin kann die Unterordner in der Abteilungsordner Freigabe nicht sehen und auch nicht zugreifen.

    Wir haben den PC gestern schon einmal aus der Domäne entfernt und neu hinzugefügt, danach ging es wieder. Bis vor kurzem, als die Benutzerin bei uns anrief dass ein Zugriff auf PDFs nicht mehr funktioniert.

    Erst war, wie im Artikel oben beschrieben, die SMB+CIFS Freigabe nicht aktiv, das habe ich nachgeholt, das hatte dann auch kurzfristig geholfen (musste dann neustarten, und daher dann mit meinem RDP Adminkonto einloggen, da die Benutzerin schon ins wohlverdiente (?) Wochenende gegangen war).
    Aber leider auch nur kurzfristig, plötzlich ist die Freigabe wieder (fast) leer und nicht zugreifbar.
    Neustarts des PC helfen dabei leider nicht.

    Ich bin ratlos!

    M. Neubert
    Domänenadmin aus Hannover

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.