Benutzer daran hindern, den Administrator auszusperren

[antares 10]

Auf einem Quota-relevanten Fileshare soll verhindert werden, dass auf der Dateirechtsebene Besitzer ihrer Dateien den Administrator ausperren können. Da der Besitzer immer Vollmacht hat und die Sicherheitseinstellungen seiner Dateien nach seinem Gusto gestalten kann, frage ich hier nach Möglichkeiten sowas zu erreichen.

 

Auch auf der Suche bin ich nach einem (command line) Tool, welches einem Serveradmin den Besitzer einer Datei anzeigt, auch wenn das GUI meldet, dass er nicht angezeigt werden könne. (evlt würde auch nur die SID reichen, die kann man sicherlich mit Standard-Tools auflösen.)

[IThome 10]

Wenn Du die Freigabeberechtigung nur auf Ändern setzt, können die Benutzer, die über die Freigabe die Dateien auf dem Server ablegen, die Berechtigungen nicht mehr ändern (wenn sie keine Administratoren auf dem Server sind) ...

[PAT 10]

Grundsätzlich solltest Du den Benutzern NIE "Vollzugriff" geben, es sei denn, Benuter müssen Berechtigungen setzen können.

 

Der einzige gravierende Unterschied zwischen "Vollzugriff" und "Ändern", wie es IThome beschrieben hat, ist dass die User selber Berechtigungen setzen können. Von daher ist es gar nicht nötig, den Benutzern Vollzugriff zu geben.

 

Und irgendwelche Tools brauchst Du auch nicht dafür.

[antares 10]

Stimmt, daran habe ich noch gar nicht gedacht! Gibt es mögliche 'side effects', oder verlieren die User beim Downgrade der FREIGABE Rechte von "Vollzugriff" auf "Ändern" noch sonst etwas, neben der Möglichkeit auch bei Vollzugriff unter den Dateirechten "Berechtigungen zu ändern" ?

(Eine Desktop Umleitung ist betroffen und die angebundenen HomeDirDrives) Diese werden bei neuen Usern erstmalig erzeugt. Dies wird mit Dateirechten im übergeorneten Folder erreicht und sollte vom diesem Downgrade eben hoffentlich nicht betroffen sein..)

 

 

Und falls zur Frage zwei (Tool) noch jemand eine Idee hat, wäre ich sehr dankbar ;) .

 

antares

 

edit: PAT, ich habe dein Post zu spät gesehen, danke! Dann bleibt wohl nur noch die Frage nach dem Tool für die Anzeige eines Besitzers, wenn der Admin schon ausgesperrt ist.

[IThome 10]

Das mit dem Ändern hat den Nachteil, dass man unter Umständen an zwei Stellen suchen muss, wenn Berechtigungen sich nicht so verhalten, wie sie sollen. Das ist der Grund, warum oft Jeder -Vollzugriff eingestellt wird, damit man eben nur noch auf NTFS-Ebene nach Berechtigungsfehlern suchen muss, denn dort kann es nur entweder gleichwertig oder restriktiver sein. Der Unterschied zwischen Vollzugriff und Ändern auf Freigabeebene ist nicht nur das Berechtigungen verändern, sondern auch Besitz übernehmen (vorausgesetzt, die NTFS-Berechtigungen sind entsprechend eingestellt) ...

[antares 10]

Vielen Dank ;) Hat geholfen.

[PAT 10]

Noch eines: Wenn der Admin schon ausgesperrt ist, ist es wohl am Einfachsten, den Besitz der betroffenen Dateien/Verzeichnisse zu übernehmen und dann die Berechtigungen entsprechend zu setzen.

[blub 115]

Hi,

Ich habe seit NT40-Zeiten keinen Fileservice mehr gemacht. Das Problem war, wenn User einen neuen Ordner anlegen, dass sie dann als Creator automatisch FullControl haben. Hat sich hier etwas veraendert?

 

cu

blub

[PAT 10]

Wenn ein User einen Ordner anlegt, erbt er normalerweise automatisch die Berechtigungen des übergeordneten Ordners.

[blub 115]

ich kann's momentan nicht ausprobieren. Mir war aber, dass man als Owner des Verzeichnisses einiges mehr machen kann, als die puren Berechtigungen hergeben

[grizzly999 11]

Nein, der Besitzer hat nur die "eingebaute" Berechtigung, die Berechtigung zu ändern, auch wenn er sonst keine NTFS-Berechtigung hat, bzw. diese ihm sogar explizit verweigert wurde. Allerdings ist es so, wie IThome sagte, mit der Freigabeberechtigung "Ändern" ist in Summe die effektive Berechtigung max. Ändern, und zwar das NTFS-Ändern. Also auch als Besitzer nicht "Berchtigung ändern"

[IThome 10]

Aber Administratoren können trotzdem Berechtigungen verändern, trotz der nur "Ändern" Berechtigung ...

[PAT 10]

Das hat weniger mit dem Besitzer zu tun.

 

Beispiel:

 

Verzeichnis A: Admin -> Vollzugriff, User (nur Benutzer-Rechte) -> Ändern, Vererbung ist standardmäßig gesetzt, der Admin ist der Besitzer

 

Der User erstellt nun in Verzeichnis A ein Unterverzeichnis und eine Datei.

Im Unterverzeichnis bleibt der Besitzer der Admin, die Datei bekommt als Besitzer den User.

ABER: Sowohl das Unterverzeichnis als auch die Datei erben die Berechtigungen des Verzeichnisses A. Der User kann auch die Berechtigungen der Datei nicht ändern, obwohl er der Besitzer ist.

[IThome 10]

Auf welchen vorherigen Post bezieht sich Deine Aussage ?

[PAT 10]

Auf Beitrag Nummer 10.

 

Habe übersehen, dass Du und grizzly999 auch schon geantwortet haben.