Probleme mit NTFS-Rechten

[fudelsut 10]

Hallo zusammen,

 

ich habe folgendes Problem mit einer Freigabe auf einem W2K3-Server:

Ein sogenanntes "Austauschverzeichnis" soll so mit Rechten versehen werden, dass eine Gruppe namens "Austausch" lesen, schreiben und löschen kann. Sicherheitseinstellungen soll die Gruppe jedoch nicht ändern können. - Wie kann ich das aber verhindern? Wenn ein Mitglied der Gruppe Austausch im Verzeichnis einen neuen Ordner anlegt, wird dieser als Besitzer eingetragen und kann somit auch die Sicherheitseinstellungen ändern!

 

Wie kann ich dies unterbinden?

Kann man einen Besitzer vorgeben, der eingetragen wird, wenn neue Ordner in dem Verzeichnis erstellt werden?

[grizzly999 11]

Du gibst der Gruppe "Jeder! (oder "Benutzer" ode wem auch immer) auf der Freigabeebene nur Ändern, dann ist das für die Gruppenmitglieder mit "Besitzer hat immer die Berechtigung "Berechtigung ändern" Makulatur. ;)

 

grizzly999

[!aN 10]

Gib dem "Ersteller-Besitzer" doch einfach NICHT das Recht "Berechtigungen ändern" ...

[grizzly999 11]

Der Besitzer eines NTFS Objekts hat IMMER die Berechtigung, die Berechtigung zu ändern. :wink2:

(Über eine Freigabe aber nicht mit meinem oben beschrieben Weg)

 

grizzly999

[IThome 10]

Solange er kein Administrator ist, die dürfen es auch trotz nur Ändern-Freigabeberechtigung ... :)

[fudelsut 10]

Schonmal danke für die Antworten! - Auf den Trick mit der Freigabe wäre ich nicht gekommen... Die stehen nämlich bei mir standardmäßig auf Jeder = Vollzugriff, da ich alles mit NTFS einschränken wollte.

 

Aber sehe ich das jetzt richtig? - Im Prinzip ist es egal, ob man dem Ersteller-Besitzer die Rechte nimmt oder Jeder über die Freigabe einschränkt, das Ergebnis ist das gleiche, oder?

--> Administratoren können die Sicherheitseinstellungen ändern (uA auch Ownership übernehmen) alle anderen nicht?

 

Aber ich habe noch eine weitere Frage, wo wir grad beim Thema Rechtevergabe sind :) :

Ich habe eine GPO, die ausgewählte Domänen-Mitglieder zu lokalen Administratoren aufwertet. Diese werden scheinbar in die Gruppe DOMÄNE\Administratoren gesteckt (oder am Server so authentifiziert). Nun ist es bei den Freigaben so, dass die Gruppe Administratoren immer mit Vollzugriff in jeden neu erstellen Ordner geschrieben wird. Dadurch können eben diese User (die ja nur lokale Admins sein sollen) auf alle Shares zugreifen!

 

Stimmt da etwas mit meiner GPO nicht, oder sind nur die Rechte ungeschickt gesetzt???

[grizzly999 11]

Aber sehe ich das jetzt richtig? - Im Prinzip ist es egal, ob man dem Ersteller-Besitzer die Rechte nimmt oder Jeder über die Freigabe einschränkt, das Ergebnis ist das gleiche, oder?

Nein, das ist nicht das gleiche. Standardmäßig hat der Besitzer eines Objektes immer die Berechtigung "Berechtigung ändern", selbst wenn man ihm den Zugriff explizit verweigern würde. Das ist von den NTFS-Berechtigungen der Gruppe Ersteller-Besitzer unabhängig. Mit der Freigabeberechtigung Jeder-> Ändern hat er aber diese "serienmäßig eingebaute" Berechtigung nicht mehr (außer er ist lokaler Admin) ;)

 

 

--> Administratoren können die Sicherheitseinstellungen ändern (uA auch Ownership übernehmen) alle anderen nicht?

Yep, aber siehe oben.

 

 

Ich habe eine GPO, die ausgewählte Domänen-Mitglieder zu lokalen Administratoren aufwertet. Diese werden scheinbar in die Gruppe DOMÄNE\Administratoren gesteckt (oder am Server so authentifiziert). Nun ist es bei den Freigaben so, dass die Gruppe Administratoren immer mit Vollzugriff in jeden neu erstellen Ordner geschrieben wird. Dadurch können eben diese User (die ja nur lokale Admins sein sollen) auf alle Shares zugreifen!

Dann stimmt doch was mit deiner GPO nicht. wenn ein User in die lokale Administratorengruppe kommt, ist er auch nur lokaler Admin, kein Domänen-Admin. Hast du die GPO etwas auf Domänenebene gemacht? Dann würde sie auch auf die OU Domänen-Controller wirken, das wäre schlecht, dann wären die User auch Admins auf den DCs.

 

grizzly999

[fudelsut 10]

Dann stimmt doch was mit deiner GPO nicht. wenn ein User in die lokale Administratorengruppe kommt, ist er auch nur lokaler Admin, kein Domänen-Admin. Hast du die GPO etwas auf Domänenebene gemacht? Dann würde sie auch auf die OU Domänen-Controller wirken, das wäre schlecht, dann wären die User auch Admins auf den DCs.

 

grizzly999

 

Ist scheinbar wirklich so, dass die GPO nicht in Ordnung ist. Aber was habe ich falsch gemacht?

[grizzly999 11]

Keine Ahnung, wie sollen wir das wissen, wenn wir nicht wissen, was du alles wo und wie eingestellt hast :rolleyes:

Oder war das nur eine rhetorische Frage

 

grizzly999

[fudelsut 10]

Keine Ahnung, wie sollen wir das wissen, wenn wir nicht wissen, was du alles wo und wie eingestellt hast :rolleyes:

Oder war das nur eine rhetorische Frage

 

grizzly999

 

Es war wohl doch eher eine rhetorische Frage... Habe den Fehler nämlich bereits behoben:

Eine Eingabe bei den eingeschränken Gruppen war vertauscht, sodass alle lokalen Admins Mitglieder der Gruppe DOMÄNE\Administratoren geworden sind.

[fudelsut 10]

Ich wollte nochmal zur Info posten, dass es sehr wohl möglich ist, den Besitzer eines Dokumentes / Ordners so mit Rechten auszustatten, dass er keine Sicherheitseinstellungen tätigen darf:

 

Auf der Freigabeebene zu operieren ist unnötig. Dem Benutzer "Jeder" / "Everyone" nur Ändern-Rechte zu geben hilft nicht...

 

Man muss auf NTFS-Ebene agieren. Dadurch dass man den "Ersteller-Besitzer" / "Creator-Owner" aus den Sicherheitseinstellungen löscht, das ganze dann auf alle untergeordneten Objekte vererbt, ist es möglich die Besitzer der Objekte auszusperren. Bei neuen Objekten werden zwar entsprechende Besitzer eingetragen, diese haben dann aber nur Benutzerrechte (sofern vorher so definiert).