Freigegebene Ordner konfigurieren mit dem Ordnerfreigabe-Assistenten

Der Ordnerfreigabe-Assistent kann freigegebene Ordner konfigurieren, man kann ihn z.B. im MMC als Snap-In lokale Computerverwaltung im Kontextmenü der Freigaben aufrufen.
Durch Freigeben von Ressourcen stellt man diese zur Verwendung durch andere Benutzer im Netzwerk zur Verfügung. Dabei muss man bei der Freigabe von Ordnern mit Systemdateien und -ressourcen vorsichtig sein, es ist sicher zu stellen, dass der angegebene Ordner oder die angegebene Ressource keine Informationen enthält, auf die Benutzer nicht zugreifen sollen.


Der Freigabename ist der Name, der für die freigegebene Ressource verwendet werden soll. Der Freigabename muss angegeben werden. Es ist ein kurzer und aussagekräftiger Name zu wählen, sodass Benutzer ihn auf einfache Art identifizieren können.


Benutzerdefinierte Freigabe- und Ordnerberechtigungen werden verwendet wenn man spezifischen Benutzern oder Gruppen den Zugriff erteilen oder verweigern möchten. Die erteilten Berechtigungen sollte man auf die unbedingt zum Ausführen erforderlicher Funktionen benötigten Berechtigungen beschränken. Insbesondere muss man beachten, dass die Gruppe "Jeder" in vielen Fällen entfernt werden muss!

Es macht auch Sinn, der Gruppe "Jeder" den Vollzugriff übers Netzwerk zu geben um die effektiven Zugriffsmöglichkeiten über NTFS-Berechtigungen zu steuern.

Mit einem $-Zeichen hinter dem Freigabenamen wird die Freigabe versteckt, die Freigabe kann nur mit Eingabe von "Freigabename$" verwendet werden. Es ist nicht möglich, eine existierende Freigabe nachträglich mit einem $-Zeichen zu versehen! Die Freigabe muss dann erst gelöscht und neu als versteckte Freigabe angelegt werden.

Zuweisen eines Managers zu einer Gruppe

Einer Gruppe kann ein Manager zugewiesen werden. Damit können die zuständigen Personen für eine Gruppe nachvollzogen werden und eine Berechtigung für Hinzufügen und Entfernen von Personen aus einer Gruppe delegiert werden. Den DL-Gruppen sollen (bei der A-G-DL-P-Strategie) natürlich keine (A-)Benutzer sondern G-Gruppen hinzugefügt werden.


Die Verwaltung von AD-Objekten kann auch mit einem Assistenten zur Zuweisung der Objektverwaltung erledigt werden:

Benutzer zu globalen Sicherheitsgruppen zuordnen

Die Benutzer der Abteilung "Accounting" werden in diesem Beispiel im Standort "Miami" gesucht und dann markiert und einer globalen Gruppe zugeordnet.

Zugehörigkeit eines Benutzers als Mitglied einer Gruppe feststellen

Die MMC mit dem AD-SnapIn bietet eine einfach Möglichkeit sich anzeigen zu lassen zu welchen Gruppen ein Benutzer gehört. Dabei ist es auch möglich, weitere Einträge in der Liste weiter zu öffnen und so die Abhängigkeiten zu erfassen.


Um sich auf der Shell die komplizierte Eingabe des Benutzer-DN zu ersparen kann man den Pipe-Mechanismus ausnutzen.

Lokale, globale und universelle Gruppen

Globale Gruppen dienen der Gruppierung von Benutzern (korrekt: Benutzerobjekten). Abkürzung nach Microsoft ist "G_" vor dem eigentlichen Gruppennamen.


Domänenlokale Gruppen dienen der Berechtigungsvergabe. Vor dem Gruppennamen sollte ein "DL_" stehen um dies sofort erkennbar zu machen.

Universelle Gruppen werden über Domänen hinweg verwendet. Mit einem "U_" vor dem eigentlichen Gruppennamen kann man dies deutlich machen.

Man sollte Benutzerkonten nicht direkt zu einer domänenlokalen Gruppe hinzufügen. Stattdessen sollte man einzelne Benutzer mit gemeinsamen Merkmalen zu einer globalen Gruppe und diese globale Gruppe in eine domänenlokale Gruppe hinzufügen. So sind domänenlokale Gruppen einfacher zu verwalten.

Das ganze macht man, um nicht Benutzern Rechte geben zu müssen, es sollte immer ein Recht an eine Gruppe gegeben und der Benutzer dann der Gruppe zugeordnet werden!

Es gibt einen Unterschied zwischen Berechtigungen und Rechten! Berechtigungen beziehen sich auf Aktionen bei Objekten, z.B. Zugriff auf NTFS-Freigaben. Rechte sind Aktionen im System wie Ändern der Systemzeit oder Herunterfahren des Systems.
tweetbackcheck