e2e4 10 Geschrieben 18. April 2007 Melden Teilen Geschrieben 18. April 2007 Salut, in der Domäne sind erzwungenermaßen ein paar User in der Gruppe "Administratoren" (gesteuert über Eingeschränkte Gruppen). Soweit lässt sich dennoch alles regulieren, aber die Übernahme von "Besitzrechten an Dateien und Objekten" bereitet mir Kopfzerbrechen. Ich habe in "Sicherheitsrichtlinie für Domänen" auf dem DC in der Richtlinie Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Übernahme des Besitzes von Dateien und Objekten nur die Domänen-Administratoren mit diesem Recht versehen. Prüfe ich dann einen NTFS-Ordner auf seine effektive Berechtigung für einen User mit Admin-Rechten ist kein Haken bei "Besitzrechte übernehmen", auch nicht für die Gruppe "Administratoren". Dennoch ist dieser User in der Lage sich Berechtigungen zu einem Ordner auf dem Fileserver zu verschaffen (er war vorher nicht in der Liste eingetragen). Wie kann man das unterbinden und warum greift o.g. Einstellung nicht? Hinweis: Bitte keine Kommentare nach dem Motto: saubere Software verwenden, damit die User nicht im Admin-Modus arbeiten müssen. Es handelt sich hier um diverse Programmier-IDE-Schnittstellen mit Entwicklungssoftware. Grüße, e2e4 Zitieren Link zu diesem Kommentar
Wurzelzwerg 10 Geschrieben 18. April 2007 Melden Teilen Geschrieben 18. April 2007 Reicht es nicht, wenn du den Usern lokale Adminrechte vergibst? Meines Erachtens sollten die User dann nicht mehr die Möglichkeit haben, auf dem Fileserver Besitzrechte zu übernehmen. Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 18. April 2007 Autor Melden Teilen Geschrieben 18. April 2007 Die lokalen Adminrechte übergebe ich mittels "Eingeschränkte Gruppen" in einer GPO - oder was meinst Du? Grüße, e2e4 Zitieren Link zu diesem Kommentar
Wurzelzwerg 10 Geschrieben 18. April 2007 Melden Teilen Geschrieben 18. April 2007 Ok die Funktion hatte ich gerade nicht vor Augen, deswegen bin ich davon ausgegangen, dass Du mit eingeschränkten Gruppen = Verweigerungen im Dateisystem meinst. Dementsprechend kann ich dir dann noch nicht tiefergehend weiterhelfen, weil ich die genaue Funktionsweise nicht kenne. Nichts desto trotz scheinen deine User Domänen-weite Adminrechte zu haben, als lokale Admins dürften sie eigentlich auf dem Fileserver keine Rechte haben. Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 18. April 2007 Autor Melden Teilen Geschrieben 18. April 2007 Nichts desto trotz scheinen deine User Domänen-weite Adminrechte zu haben, als lokale Admins dürften sie eigentlich auf dem Fileserver keine Rechte haben. Lokale Admins haben standardmäßig das Recht zur "Übernahme des Besitzes von Dateien und Objekten" - also nicht nur Domänen-Admins. Dies kannst Du überprüfen, indem Du Dir einen Testuser mit Adminrechten anlegst und danach mal eine NTFS-Einstellung/Sicherheit des Dateiservers verändern möchtest ... ich war selbst überrascht. :eek: Andere Domänen-Adminbezogene Aufgaben können die User aber nicht machen, die Gruppenzugehörigkeiten etc. habe ich auch schon mehrfach geprüft. Mein Ziel ist es das Default-Recht für den Admin auf den Domänen-Admin zu setzen, was mir aber bislang nicht gelungen ist. Grüße, e2e4 Zitieren Link zu diesem Kommentar
Wurzelzwerg 10 Geschrieben 19. April 2007 Melden Teilen Geschrieben 19. April 2007 Dies kannst Du überprüfen, indem Du Dir einen Testuser mit Adminrechten anlegst und danach mal eine NTFS-Einstellung/Sicherheit des Dateiservers verändern möchtest ... ich war selbst überrascht. :eek: Habe meinen AD User (Mitglied in Domänen-Benutzer) in die lokale Admingruppe hinzugefügt. Dabei konnte ich deinen oben beschriebenen Sachverhalt nicht nachvollziehen. Weder konnte ich mir Berechtigungen auf ein Verzeichnis geben, wo der User überhaupt keine Rechte besaß (Register "Sicherheit" wurde gar nicht angezeigt), noch konnte ich Rechte auf einem Verzeichnis übernehmen, auf dem der Test User lediglich Leserechte hatte ("Sie besitzen nicht die Berechtigung, die Besitzrechte zu übernehmen" o.ä.). Das ganze natürlich mit Dateien auf einem Fileserver. Habs zwar nicht ausprobiert, aber ich gehe davon aus, dass der Testuser auf dem lokalen Computer alle NTFS Rechte übernehmen kann. Ich nehme an, deine Problematik hängt mit dem Weg der eingeschränkten Gruppen zusammen. Da fehlt mir allerdings das Wissen zu. Zitieren Link zu diesem Kommentar
Wurzelzwerg 10 Geschrieben 19. April 2007 Melden Teilen Geschrieben 19. April 2007 Ich muss mich korrigieren. Zwar kann ich die Besitzrechte nicht übernehmen, aber als lokaler Admin vorhandene Leserechte auf Vollzugriff ausweiten. :shock: :eek: Man lernt nie aus... Bloß - warum ist das so?? [Edit] Erst denken, dann schreiben. Lag natürlich daran, dass der Testuser auch Besitzer der Verzeichnisse war. Ist das bei dir auch der Fall? Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 20. April 2007 Autor Melden Teilen Geschrieben 20. April 2007 Salut, Zwar kann ich die Besitzrechte nicht übernehmen, aber als lokaler Admin vorhandene Leserechte auf Vollzugriff ausweiten. Man lernt nie aus... Bloß - warum ist das so?? Standeinstellung für "Übernehmen des Besitzes von Dateien und Objekten" auf den Ebenen Workstation / Server / Domänencontroller: Administratoren. Lag natürlich daran, dass der Testuser auch Besitzer der Verzeichnisse war.Ist das bei dir auch der Fall? Nein, der Besitzer des Verzeichnisses ist ein andere Account mit administrativen Rechten. Grüße, e2e4 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.