Verschil tussen NTFS en Share permissies* - Serversoftware en clouddiensten

dinsdag 6 november 2007 20:06

Acties:

Verwijderd

Topicstarter

Hallo,

Ik ben me aan het verdiepen in Permissies, nu probeer ik informatie te zoeken, maar dit is helaas alleen in het engels te vinden.. Hoop dat jullie me een beetje kunnen aansturen...

NTFS Permissies

Alleen mogelijk op een ntfs partitie
Kent meer mogelijkheden qua rechten dan share permissies
Te gebruiken op losse files
Gaat voor de share permissies
Rechten gelden ook op lokale login, Dus wanneer sjaak op de server inlogt ipv de admin

Share permissies

Weinig mogelijkheden qua rechten,
Gelden alleen voor de map
Helpt niet bij lokaal inloggen
NTFS permissies staan boven de share permissies

ik hoop dat jullie me iets kunnen aanvullen of wijzigen

dinsdag 6 november 2007 20:11

Acties:

elevator

Officieel moto fan :)

Dit klinkt verdacht veel als een huiswerk opdracht met als inhoud: "Lijst de verschillen op tussen NTFS en share permissies" en aangezien huiswerk niet de bedoeling is op deze manier wil ik je toch eens vragen wat precies het doel is van dit topic?

dinsdag 6 november 2007 20:30

Acties:

Mexxwelll

Misschien heb je hier wat aan?

http://www.sip.be/cursus/winnt/winnt7.htm

ik heb het zelf ervaren, is eerst chaos om door te prikken, maar als je eenmaal aan het testen bent komt het vanzelf

woensdag 7 november 2007 20:33

Acties:

Verwijderd

Topicstarter

het is geen huiswerk opdracht, al ben ik wel een ict student, ben nu bezig met een server installatie en probeer deze voor het thuisfront in te richten, Maar het is wel handig dat ik weet wat ik doe, in het 2003 boek staat ook niet bijzonder veel.

woensdag 7 november 2007 21:48

Acties:

alt-92

ye olde farte

Verwijderd schreef op dinsdag 06 november 2007 @ 20:06:

NTFS permissies staan boven/gaan voor de share permissies

Dat klopt ook niet

Denk maar eens na: je hebt een directory geshared, met de volgende settings:

Share permission met RO en een NTFS ACL met Full Control.

Kan je daar schrijven over het netwerk?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 7 november 2007 22:10

Acties:

Zwelgje

alt-92 schreef op woensdag 07 november 2007 @ 21:48:
[...]

Dat klopt ook niet

Denk maar eens na: je hebt een directory geshared, met de volgende settings:

Share permission met RO en een NTFS ACL met Full Control.

Kan je daar schrijven over het netwerk?

zeker, via de C$ share

_{of moet het echt via die share. dan had je de vraag beter moeten formuleren meester alt-92}

[ Voor 12% gewijzigd door Zwelgje op 07-11-2007 22:11 ]

A wise man's life is based around fuck you

woensdag 7 november 2007 22:18

Acties:

alt-92

ye olde farte

* alt-92 ziet geen mieren lopen hier?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 8 november 2007 17:24

Acties:

Ranja_Ranja

Je kan toch je NTFS permissies op full control zetten en met je Share permissies de boel dichttimmeren. Zo doe ik het altijd iig.

donderdag 8 november 2007 20:10

Acties:

Turdie

Ranja_Ranja schreef op donderdag 08 november 2007 @ 17:24:
Je kan toch je NTFS permissies op full control zetten en met je Share permissies de boel dichttimmeren. Zo doe ik het altijd iig.

Ik zou het net andersom doen. Share permissies op Full Control en alles dichtimmeren met NTFS Permissies.

Hier het antwoord op de centrale vraag (in het engels)

Bron

Share permissions are the permissions you set for a folder when you share that folder. The share permissions determine the type of access others have to the shared folder across the network. There are three types of share permissions: Full Control, Change, and Read.
NTFS permissions determine the action users can take for a folder or file both across the network and locally. Unlike share permissions, NTFS permissions offer several other permissions besides Full Control, Change, and Read that can be set for groups or individually. The most restrictive permission applies when share and NTFS permissions conflict.

[ Voor 52% gewijzigd door Turdie op 08-11-2007 20:12 ]

vrijdag 9 november 2007 02:56

Acties:

alt-92

ye olde farte

Ranja_Ranja schreef op donderdag 08 november 2007 @ 17:24:
Je kan toch je NTFS permissies op full control zetten en met je Share permissies de boel dichttimmeren. Zo doe ik het altijd iig.

Daarmee zet je dus ook de achterdeur open voor de manier die Powershell aangeeft :
Als je NTFS permissies correct gebruikt heeft zelfs een Admin share geen effect.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 9 november 2007 21:49

Acties:

downtime

Everybody lies

Ranja_Ranja schreef op donderdag 08 november 2007 @ 17:24:
Je kan toch je NTFS permissies op full control zetten en met je Share permissies de boel dichttimmeren. Zo doe ik het altijd iig.

Rare manier. Elke fatsoenlijke beheerder die ik ooit heb gezien zet de share vol open en regelt z'n rechten vervolgens op NTFS niveau. Ik ben er redelijk zeker van dat Microsoft ook adviseert om het zo te doen.

vrijdag 9 november 2007 22:16

Acties:

sanfranjake

Computers can do that?

alt-92 schreef op vrijdag 09 november 2007 @ 02:56:
[...]

Daarmee zet je dus ook de achterdeur open voor de manier die Powershell aangeeft :
Als je NTFS permissies correct gebruikt heeft zelfs een Admin share geen effect.

Maar om de systeemshares te benaderen moet je toch nog steeds Administrator zijn?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 9 november 2007 22:22

Acties:

alt-92

ye olde farte

downtime schreef op vrijdag 09 november 2007 @ 21:49:
Ik ben er redelijk zeker van dat Microsoft ook adviseert om het zo te doen.

Klopt.
Alleen zijn ze iets te ver doorgeschoten met de secure by default settings door share permissions standaard op RO te zetten

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 9 november 2007 22:44

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Ranja_Ranja schreef op donderdag 08 november 2007 @ 17:24:
Je kan toch je NTFS permissies op full control zetten en met je Share permissies de boel dichttimmeren. Zo doe ik het altijd iig.

Vrij gevaarlijk. Met NTFS permissions wil je juist aangeven wat je wel en niet met de bestanden wilt doen. Share permissions zijn slechts een subset die je alleen gebruikt tijdens toegang tot de share. Normaliter gebruik je altijd NTFS permissions om de security te zetten, en share permissions alleen op RO of Full, afhankelijk van wat je wilt bereiken. Je kan dan een directory aanmaken waar je zelf (of een bepaalde groep) NTFS full rights heeft, maar waar een andere groep via de share alleen kan lezen. Da's makkelijker dan het andersom doen. Je voorkomt hiermee een achterdeurtje.

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

zaterdag 10 november 2007 12:25

Acties:

djluc

Ik zag toevallig gisteren een adviesje waarin niet everyone maar users full control kreeg op de share. Is dat nog een verbetering die de moeite is in vergelijking tot het geven van everyone full control op de share?

Dit dus even afgezien van het feit dat je de NTFS rechten zoveel mogelijk minimaliseert natuurlijk.

zaterdag 10 november 2007 13:06

Acties:

alt-92

ye olde farte

djluc schreef op zaterdag 10 november 2007 @ 12:25:
Ik zag toevallig gisteren een adviesje waarin niet everyone maar users full control kreeg op de share. Is dat nog een verbetering die de moeite is in vergelijking tot het geven van everyone full control op de share?

Zonder bronvermelding is natuurlijk niet precies te zeggen wat daarmee bedoeld wordt.

Maar als ik mag gokken:
Er wordt waarschijnlijk de Authenticated Users groep bedoeld.
En onder Windows 2000 en eerder was er ook nog zoiets als "Everyone_Includes_Anonymous" wat sinds die tijd al weer veel verder restricted is.
Everyone Group Does Not Include Anonymous Security Identifier

quote: http://www.microsoft.com/...lumns/secmgmt/sm1105.mspx
Several times I have faced an argument that if you have to change the default value of "Everyone includes anonymous" to allow Everyone to include anonymous users then you have a legitimate reason to perform blanket replacement of Everyone with Authenticated Users. However, such reasoning is flawed. First, allowing Everyone to include anonymous opens up a very large set of holes, not all of which can be closed using ACL replacement on the file system and in the registry. Second, if you have a reason to do this kind of replacement, it is often with the intent of deliberately turning off some security. Selectively turning security back on by changing ACLs is essentially taking a position counter to that which forced you to open up the holes in the first place. Finally, if anonymous access is what you need, then grant access to the user ANONYMOUS. Doing so achieves very granularly controlled anonymous access without opening unnecessary holes.

One final thought on Everyone before moving on: Up through Windows XP the default DACL on shares was for Everyone with Full Control. This caused great consternation with many users who believe that this means anyone can do anything to all the data in that share. That is not actually true. The permissions the user has on objects in a share is the most restrictive combination of the permissions on the share and the permissions on the objects themselves. In other words, if the DACL on the share says "Everyone:Full Control" what it really means is "I don't want to manage permissions here." (Meaning "I'll be using NTFS permissions").

De laatste aanvulling tussen haakjes heb ik er even bijgezet ter verduidelijking

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 12 november 2007 12:10

Acties:

djluc

Maakt dus geen snars uit eigenlijk, danku voor de verheldering. Ik ga voor everyone, scheelt weer elke keer een groep opzoeken enzo