Windows Server 2003 R2 - Standardbesitzer-

[zak1976 10]

Hallo zusammen,

 

dies ist mein erster Post in diesem Forum, ich bin Netzwerkadministrator und ERP Betreuer und hätte mal eine Frage zu den NTFS Berechtigungen unter dem Windows Server 2003.

 

Ich komme aus der Novell Ecke, habe dort vor Jahren mal meinen NCE für Netware 5.0 gemacht, das System ist bis heute bei uns im Einsatz und wird jetzt (leider) durch Win2003 ersetzt. Die Rechtevergabe unter Novell war sehr Administratorfreundlich und gut durchdacht, dass sieht meiner Meinung nach unter Win2003 deutlich (schlechter) anders aus, unter anderem habe ich das Problem, dass es sehr strenge Sicherheitsauflagen bei uns gibt (minimale Berechtigung) und deshalb sehr viele "Verweigerungsberechtigungen" gibt. Das konnte ich bis jetzt nach langem Testen gut umsetzten, jedoch habe ich es bis jetzt nicht geschafft, die Besitzrechte defautmäßig festzulegen.

Ein Beispiel hierzu:

 

Für den Ordner "Mein Test" und für den Inhalt (Unterordner und Dateien) bestehen folgende NTFS Berechtigungen:

 

- Gruppe Administratoren - Vollzugriff- (der User Sombetzki ist dort kein Mitglied)

- User Sombetzki - hat "Zulassen" für alle Berechtigungen außer "Berechtigungen ändern" und "Berechtigungen übernehmen" (diese haben das attribut "Verweigern")

- andere Berechtigungen gibt es auf dem Ordner nicht, die Std. Gruppen wurden dort entfern

 

Auf die bestehenden Objekte in diesem Ordner und in den Unterordnern passt das auch, da der Administrator diese Struktur erstellt hat und somit Besitzer ist.

Erstellt der Benutzer Sombetzki nun in diesem Ordner ein Objekt (egal ob Datei oder Ordner) ist er autom. als Standardbesitzer eingetragen und hat die Möglichkeit, die Berechtigung für diese selbsterstellte Objekte zu verändern und schlimmer noch, anderen Usern darauf Freigaben zu erteilen/NTFS Rechte zu ändern.

Genau das möchte ich verhindern, das wird doch wohl möglich sein, nur wo und wie mache ich das? Kommt das durch eine Gruppenrichtlinie ? Wenn ja, durch welche?

Am liebsten wäre mir eine Einstellung, so dass der Administartor oder die Gruppe Administratoren per Default Standardbesitzer sind und nicht der User, der das objekt erstellt/erstellt hat.

 

Hoffe Ihr könnt mir helfen.

[IThome 10]

Die Administratoren kannst Du nicht als Besitzer für alle Objekte eintragen lassen, Du kannst nur definieren, dass, wenn ein Mitglied der Administatorengruppe ein Objekt erstellt, der Objektersteller (Default bei XP-Professional) oder die Gruppe der Administratoren (Default bei 2003 Server) als Besitzer eingetragen werden. Wenn Du allerdings die Freigabe nicht auf Vollzugriff, sondern nur auf Ändern konfigurierst, kann ein Nicht-Administrator, der Objekte erstellt hat, die Berechtigungen nicht mehr verändern (er wird sich ja wohl übers Netzwerk verbinden und sich nicht lokal anmelden oder?) ...

[zak1976 10]

danke für den Tip, werde ich morgen gleich umsetzten und Rückmeldung geben.

Wie verhält es sich mit den Besitzrechten wenn sich der Benutzer über eine Terminalserver Sitzung Zugang erhält? Hier greifen ja eigentlich nur die NTFS Berechtigungen...

[IThome 10]

Sehe ich keinen Weg, der Besitzer hat immer Zugriff auf seine Dateien bzw. er kann sich die Berechtigungen wieder geben (allerdings etwas freigeben kann er nicht, sofern er nur Benutzer ist, er kann die Berechtigungen seiner Dateien/Ordner verändern) ...

[zak1976 10]

so habe das grad mal getestet, bei der Freigabe habe ich den Vollzugriff entfernt und der Besitzer kann keine Berechtigungen auf NFTS ebene verändern, so wollte ich das auch haben, vielen Dank für den Tip.