nicht angemeldet
Hi,
auch dir empfehle ich ein Buch über MS Windows (NT-basierte) Systeme und deren Verwaltung. (Lesen schadet nie :-))
Betrachte folgende Situationen:
Windows 2000 Host (Host = Computer (in einem Netzwerk))
Der Rechner hat den Namen "PC1" (der netbios Name)
Der Ordner "C:\MeineDaten" ist mit einer Freigabe versehen.
Diese Freigabe trägt den Namen "Daten"
Die Berechtigungen auf der Freigabe lauten:
Benutzer/Gruppe "Jeder"
Allow Deny
Volle Kontrolle [ ] [ ]
Lesen und Ausführen [X] [ ]
Schreiben und Ändern [ ] [ ]
Die Sicherheitseinstellungen auf dem Ordner lauten:
Benutzer/Gruppe "Jeder"
Allow Deny
Volle Kontrolle [ ] [ ]
Ändern [ ] [ ]
Lesen und Ausführen [X] [ ]
Ordnerinhalt auflisten [X] [ ]
Lesen [X] [ ]
Schreiben [ ] [ ]
Benutzer/Gruppe "Administratoren" (Gruppe)
Allow Deny
Volle Kontrolle [X] [ ]
Ändern [X] [ ]
Lesen und Ausführen [X] [ ]
Ordnerinhalt auflisten [X] [ ]
Lesen [X] [ ]
Schreiben [X] [ ]
Benutzer/Gruppe "Hauptenutzer" (Gruppe)
Allow Deny
Volle Kontrolle [ ] [ ]
Ändern [X] [ ]
Lesen und Ausführen [X] [ ]
Ordnerinhalt auflisten [X] [ ]
Lesen [X] [ ]
Schreiben [X] [ ]
Benutzer/Gruppe "BenutzerA" (gehört zur Gruppe der Hauptbenutzer)
Allow Deny
Volle Kontrolle [ ] [ ]
Ändern [ ] [ ]
Lesen und Ausführen [X] [ ]
Ordnerinhalt auflisten [X] [ ]
Lesen [X] [ ]
Schreiben [ ] [X]
Loggt sich ein Administrator jetzt lokal (interaktiv) an dem Rechner ein, darf er in "C:\MeineDaten" beliebig wüten.
Greift er über das Netzwerk auf die Freigabe \PC1\Daten zu, darf er nur lesen, denn mit JEDER sind alle remote angemeldeten Benutzer gemeint, auch Admins, egal ob diese sich lokal austoben "könnten".
Es gilt die Regel der restriktivsten Einstellung.
Erweitern wir die Freigabe-Berechtigungen fix um zwei Benutzer:
Benutzer/Gruppe "Administratoren"
Allow Deny
Volle Kontrolle [X] [ ]
Lesen und Ausführen [X] [ ]
Schreiben und Ändern [X] [ ]
Benutzer/Gruppe "Hauptbenutzer"
Allow Deny
Volle Kontrolle [ ] [ ]
Lesen und Ausführen [X] [ ]
Schreiben und Ändern [X] [ ]
Jetzt könnte ein remote (nur über die Freigabe angemeldeter Admin) auch in der Freigabe beliebig wildern. Auch ein remote angemeldeter Hauptbenutzer (ein Benutzer, der dieser lokalen Gruppe zugeordnet ist) darf neue Dateien anlegen, bestehende verschieben, löschen usw. Er kann aber nie den Besitz der Datei übernehmen.
Meldet sich jetzt "BenutzerA" lokal am Rechner an, der zur Gruppe der Hauptbenutzer gehört, die in "C:\MeineDaten" lesen und schreiben (anlegen, ändern und löschen) können kann er selbst nicht schreiben (anlegen, ändern und löschen) in diesem Verzeichnis, denn ihm wurde es explizit verboten. Wieder: das restriktivste gilt.
Genau so wäre es, wenn er remote auf die Freigabe: \PC1\Daten zugreift: sie ist für ihn "read-only" obwohl Hauptbenutzer schreiben könnten. Er darf es aufgrund lokaler Sicherheitsbeschränkungen eben nicht.
Um deine Frage zu beantworten: Es gelten die Einschränkungen jenachdem wie er zugreift, auf die Freigabe (dann beide oder interaktiv=lokal. Bei einem Zugriff zwischen Windows-(NT)-Systemen wird zuerst versucht, sich bei der entfernten Freigabe zuerst mit den lokalen Anmeldedaten anzumelden. Haben beide dieselben Benutzernamen und Passwörter sollte der Zugriff ohne weiteres Zutun möglich sein. Für solche Zwecke wurden aber eigentlich Domänen mit Domänenkonten "erfunden" (was du evt. Netzwerkanmeldung nennst)
Dein letzter Satz, ist das eine Frage? Ich schätze, ja.
.. bedingt, es ist ein anderes physikalisches Gerät, du müsstest dazu Verzeichnisfreigaben auf deinem eigenen Rechner erstellen und dein Netzwerk-Benutzerkonto (bzw. dessen lokale Gruppe oder Domänengruppe) mit Berechtigungen auf die Freigaben versiehst. Jedem alles zu erlauben bei einer Freigabe halte ich für riskant, da sich dann u.U. jeder Netzwerkbenutzer auf deine Freigabe verbinden könnte und Daten ändern kann.
Wie ich schon sagte: Ein Buch wäre gut für dich.
So, ich hoffe, dieser Roman hat dir etwas Verständnis gebracht.
Ciao, schönen Abend noch,
Frank