Anzeige

Am Puls von Microsoft

Anzeige

Frage Zugriffsrechte lokaler und entfernter User auf USB-Platte

DonUwe

bekommt Übersicht
Ich möchte eine Datensicherung für die Benutzer zweier Rechner auf eine USB-Festplatte aufsetzen. Die USB-Festplatte ist an einem der Rechner angeschlosen. Die Benutzer der Rechner haben die gleichen Benutzernamen. Die Zugriffsrechte dabei sollen so gesetzt werden, dass die Lese- und Schreibrechte für die Benutzer erhalten bleiben. Das gelingt mir bisher nicht.

Die Platte habe ich wie folgt aufgebaut:
<Laufwerk>:\Backup\<Rechner1>|<Rechner2>\Users\<Admin>|<User1>|<User2>|Öffentlich

An <Rechner1> ist die Festplatte angeschlossen. Das <Laufwerk>, der Ordner Backup und die Ordner <Rechner1> bzw. >Rechner2> haben gleiche Rechte wie Laufwerk C bekommen: SYSTEM (Vollzugriff), Administratoren (Vollzugriff), Authentifizierte Benutzer (Spezielle Berechtigungen) und Benutzer (Lesen, Ausführen, Ordnerinhalt anzeigen, Lesen). Für die Ordner Users habe ich die Vererbung deaktiviert und die Rechte wie unter C:\Benutzer\ eingestellt. Dabei ist die Gruppe Authentifizierte Benutzer raus gefallen und Jeder (Lesen, Ausführen, Ordnerinhalt anzeigen, Lesen) hinzu gekommen. Die Benutzer habe ich mit den Rechten ausgestattet, die sie auch unter C:\Benutzer\<User1>, ..., <UserN> haben. Die Bezeichnung <UserN> soll auch <Admin> und Öffentlich einschließen.

Die Sicherung (FreeFileSync) ist ein Benutzerprozess, der beim Login aktiviert wird und aus den zwei Teilen für alle Bernutzer gleich aus einer Synchronisation des Benutzervereichnises und einer Synchronisation des Benutzerverzeichnises Öffentlich besteht.

Den Ordner <Rechner2> von <Rechner1> habe ich mit den Rechten JEDER (Vollzugriff) freigegeben. Die Benutzer des Rechners <Rechner2> habe ich per "Netzlaufwerk verbinden" mit den entsprechenden Ordnern der Festplatte auf <Rechner1> verbunden.

Der Sicherungsprozess auf <Rechner1> läuft. Die Zugriffsrechte der Benutzer auf dem <Laufwerk> verhalten sich wie die auf dem Laufwerk C.

Der Sicherungsprozess auf <Rechner2> scheitert beim Zugriff auf das Verzeichnis des Benutzers Öffentlich.

Beim manuellen Zugriff von <Rechner2> via Freigabe auf <Rechner1> erhalte ich die folgende Fehlermeldung:

Netzwerkfehler
Auf \\<Rechner1>\<Rechner2>\Users\Öffentlich konnte nicht zugegriffen werden.
Sie haben keine Berechtigung für den Zugriff auf \\<Rechner1>\<Rechner2>\Users\Öffentlich.
Wenden Sie sich an den Netzwerkadministrator, um den Zugriff anzufordern.

Der manuelle Zugriff von <Rechner2> auf den gleichnamigen Benutzer auf <Rechner1> funktioniert.

Kann mir jemand erklären, was ich falsch gemacht oder nicht beachtet habe?

Viele Grüße

DonUwe
 
Anzeige

PeteM92

gehört zum Inventar
Überlesen wurde das sicher nicht - das zeigt die Zahl der Zugriffe auf dieses Thema, 124 bisher.
Aber die Vorgaben sind so ungewöhnlich, daß das wohl niemand nachvollziehen kann.
Üblicherweise hat man Rechner mit unterschiedlichen Benutzernamen und Freigaben der Resourcen der Rechner. Dann kann man unter Beachtung der Benutzernamen/Kennwörter der Freigaben auf die Resurcen (hier ext. Festplatte) zugreifen.

Oben steht da noch:
Die Benutzer der Rechner haben die gleichen Benutzernamen.
Von Kennwörtern ist nicht die Rede. Ich vermute, die Probleme kommen daher, daß die Benutzer ohne Kennwort eingerichtet wurden. Das nimmt Windows ziemlich übel.
 

DonUwe

bekommt Übersicht
Danke erstmal dafür, dass Ihr Euch mit dem Thema auseinandersetzt.

Wie Ihr Euch denken könnt, habe ich natürlich nicht so lange still halten können und weiter probiert. Allerdings ohne Erfolg. Aber zu den Tipps will ich schon mal was sagen:

Die Benutzer, von denen ich gesprochen habe, sind auf beiden Rechnern gleichlautend mit Passwort angelegt.

Der Heise-Vorschlag ist meiner Meinung nach bereits durch Jeder konfiguriert.
Für die Ordner Users habe ich die Vererbung deaktiviert und die Rechte wie unter C:\Benutzer\ eingestellt. Dabei ist die Gruppe Authentifizierte Benutzer raus gefallen und Jeder (Lesen, Ausführen, Ordnerinhalt anzeigen, Lesen) hinzu gekommen. Die Benutzer habe ich mit den Rechten ausgestattet, die sie auch unter C:\Benutzer\<User1>, ..., <UserN> haben.
Aber während ich das jetzt dokumentiere, bin ich unsicher, ob das tatsächlich so ist. Den Gedanken werde ich im Kopf behalten.

Wie ich schon sagte, die Zeit ist voran geschritten. Inzwischen liegen meine Probleme erstmal an anderer Stelle. Haltet die Füße still, bis ich eine dann klarere Aktualisierung des Problems anfüge.

Bis dahin
 

Xandros

nicht mehr wegzudenken
Der Heise-Vorschlag ist meiner Meinung nach bereits durch Jeder konfiguriert.
Im Prinzip macht eine Freigabe mit Vollzugriff für "Jeder" die Schotten von Windows für wirklich Jeden auf, der irgendwie auf diese Maschine zugreifen kann, selbst für nicht erwünschte Zugreifer über Internet (sofern die bis zur Maschine durchkommen, was theoretisch nie auszuschliessen ist). "Jeder" daher möglichst vermeiden - Ausnahme wäre in einem in sich abgeschlossenen Netzwerk ohne Verbindung zur Aussenwelt.

Die Benutzer des Rechners <Rechner2> habe ich per "Netzlaufwerk verbinden" mit den entsprechenden Ordnern der Festplatte auf <Rechner1> verbunden.
Ok.
Da die Benutzer von Rechner2 auch mit gleichem Benutzernamen und Kennwort in der Benutzerkontenverwaltung auf Rechner1 angelegt wurden (wie im letzten Post geschrieben) und somit beide Rechner die gleichen Benutzer kennen sollten.
Hier der Haken an der Geschichte: Jeder Rechner verwaltet seine Benutzer eigenständig und vergibt einem Benutzerkonto eine eigene Sicherheits-ID. Auch bei gleichem Namen und gleichem Kennwort sind die SIDs niemals gleich (sofern die Rechner nicht Mitglied einer Windows-Domäne sind oder die Benutzerkonten nicht zentral über eine Alternative wie OpenLDAP verwaltet werden).

Bei der Anmeldung von Rechner2 an Rechner1 erhält Rechner1 von Rechner2 mitgeteilt: "Rechner2\Hans" möchte auf deine Daten zugreifen. Dort existiert aber kein Konto für diesen Benutzer, dafür aber ein Konto für "Rechner1\Hans". Gibt man beim Zugriff von Rechner2 auf die Freigabe von Rechner1 nun als Benutzer "Rechner1\Hans" an, wird ein Konto gefunden und die Berechtigungen greifen.
Daher einfach in den Ameldedaten als Benutzernamen "<Zielrechner>\<Benutzername>" verwenden und so sicherstellen, dass auch das korrekte Benutzerkonto mit seinen Berechtigungen auf dem Zielrechner verwendet wird.
Gibt man lediglich als Benutzernamen "Hans" an, muss nicht zwingend auf dem Zielrechner dessen Benutzer "Hans" gefunden werden. Der Ausgangsrechnername wird ja mit übertragen, aber nicht immer ignoriert.
 
Zuletzt bearbeitet:

PeteM92

gehört zum Inventar
Im Prinzip macht eine Freigabe mit Vollzugriff für "Jeder" die Schotten von Windows für wirklich Jeden auf, der irgendwie auf diese Maschine zugreifen kann, selbst für nicht erwünschte Zugreifer über Internet (sofern die bis zur Maschine durchkommen, was theoretisch nie auszuschliessen ist). "Jeder" daher möglichst vermeiden - Ausnahme wäre in einem in sich abgeschlossenen Netzwerk ohne Verbindung zur Aussenwelt.
Das ist so nicht ganz richtig.

Wenn ich in einem Rechner1 die "Erweiterte Freigabe" für Laufwerk C: einrichte, muß ich beim Zugriff darauf von einem anderen Rechner2 aus den Benutzernamen und das Passwort von Rechner1 eingeben (Menü "Netzwerkanmeldeinformationen eingeben"). Wenn wie angegeben Benutzernamen und Passwort auf beiden Rechnern gleich sind, entfällt die Eingabe der Netzwerkanmeldeinformationen - dieses Menü kommt gar nicht.
Ein Zugriff von Rechner3 aus, dessen Benutzer den Benutzernamen/Kennwort von Rechner1 nicht kennt, funktioniert nicht und erst Recht nicht ein Zugriff übers Internet.

1643449765218.png
1643449789841.png
 

Xandros

nicht mehr wegzudenken
Das ist so nicht ganz richtig.
Das ist so doch richtig.

Was den Unterschied macht: Die Netzwerkfreigabe für "Jeder" greift zuerst. Die von dir angesprochene "erweiterte Freigabe" setzt NTFS-Berechtigungen, die dann die Netzwerkfreigabe wieder einschränkt.
Wenn wie angegeben Benutzernamen und Passwort auf beiden Rechnern gleich sind, entfällt die Eingabe der Netzwerkanmeldeinformationen - dieses Menü kommt gar nicht.
Ist leider nicht immer der Fall. Und die Tatsache, dass dieses Anmeldefenster auf geht, sagt ja schon, dass der entfernte Rechner mit dem angemeldeten Benutzer nichts anfangen kann.
 

DonUwe

bekommt Übersicht
@PeteM92 & @Xandros

Vielen Dank für die Diskussion der Zusammenhänge bei Freigaben. "Jeder" hatte ich erstmal gewählt, um beim Verständnis der NTFS-Berechtigungen auf dem Backup-Server nicht in Schwierigkeiten zu kommen. Später wollte ich mir dann Gedanken machen, wie ich das hin bekomme, dass nur der Rechner eine Verbindung aufbauen kann, der vorgesehen ist.

Mein aktuelles Problem ist, dass meine Backup-Software beim anlegen eines Backups der Benutzer vom Backup-Server beim Anlegen des Verzeichnisses Users (s. O.) und der Benutzer mit einem Fehler scheitert. Daraufhin habe ich per Hand die Ordner angelegt und die Zugriffsrechte eingestellt, wie ich sie haben will. Dann lief die Datensicherung.

Um das zu dokumentieren habe ich daraufhin alles ab Users gelöscht und den Rechner neu gestartet. Danach lief die Datensicherung problemlos durch.

Wie können die ursprünglich fehlenden Berechtigung nach meiner manuellen Aktion überleben? Das verstehe ich nicht.
 

DonUwe

bekommt Übersicht
Ich muss ergänzen, dass meine letzte Schlussfolgerung auf einen Fehler in der Diagnose zurück zu führen ist. Die Datensicherung lief nur problemlos durch, da die Vererbung für zusätzliche Berechtigungen sorgte. Darum passen auch die Zugriffsrechte nicht mehr. Warum das der Fall ist, hoffe ich, kann ich im Forum für die Datensicherungssoftware klären.
 

DonUwe

bekommt Übersicht
Die Diskussion im Forum für die Datensicherungssoftware hat keine Lösung hervor gebracht.

Im Zusammenhang mit Freigaben muss es einen Unterschied geben zwischen lokalen und entfernten Benutzern bei gleichen Benutzernamen und -passworten. Gleiche Zugriffsrechte (lokale SID wird entfernter SID hinzugefügt) führen nicht zu gleichen Fähigkeiten.

Auf dem Server:
<Laufwerk>:\Backup\<Client>\Users
..\Users wurde genau mit den gleichen Rechten wie C:\Users bzw. C:\Benutzer eingerichtet.
Freigabe: <Client> mit JEDER (Full control) und SYSTEM (Full control)

Auf dem Client:
"Netzlaufwerk verbinden" mit einem Benutzer (Admin.), den es auf <Server> auch gibt:
Z: -> Netzwerk\<Server>\<Client>

Ergebnis:
Sowohl auf <Client> als auch auf <Server> kann ein Administrator auf C:\Users ein Verzeichnis anlegen und löschen. Auf <Server> kann ein Administrator auf <Laufwerk>:\Backup\<Client>\Users ebenfalls ein Verzeichnis anlegen und löschen. Auf <Client> kann ein Administrator auf Z:\Users das nicht. Es kommt folgende Fehlermeldung:

1644592456632.png


Wiederholtes Drücken auf "Wiederholen" verändert die Meldung nicht.

Ich schließe daraus, dass das Windows auf <Server> merkt, dass der Benutzer kein lokaler Benutzer ist und deshalb weniger Rechte bekommt. Wie sage ich meinem <Server>, dass er den Benutzer wie einen lokalen behandeln bzw. die gleichen Rechte zugestehen soll?
 
Anzeige
Oben