jsydfhg 10 Geschrieben 9. Dezember 2007 Melden Teilen Geschrieben 9. Dezember 2007 Hallo, ich habe 2 Benutzer 1x "Maier" und 1x "Schmidt". - "Maier" gehört zur Gruppe "Büro" und "Domänenbenutzer" - "Schmidt" gehört nur zur Gruppe "Domänenbenutzer" Nun habe ich 2 Freigaben (Test1 / Test2) erstellt. Bei "Test1" hat der Benutzer "Jeder" in den Freigabeberechtigungen "Nur lesen". In den Sicherheiteinstellungen besitzt die Gruppe "Büro" die Berechtigung "Ändern" und die Gruppe "Benutzer" die Berechtigung "Lesen" auf dieses Verzeichnis. --> Egal mit welchem User ich auf das Verzeichnis Test1 zugreife, ich darf mit beiden keine Dateien ändern. Nach meiner Auffassung müsste "Maier" jedoch die Dateien ändern dürfen. Bei "Test2" hat der Benutzer "Jeder" in den Freigabeberechtigungen "Ändern". In den Sicherheiteinstellungen besitzt die Gruppe "Büro" die Berechtigung "Ändern" auf dieses Verzeichnis. --> Egal mit welchem User ich auf das Verzeichnis Test1 zugreife, ich darf mit beiden Dateien ändern. Nach meiner Auffassung müsste jedoch nur "Maier" die Dateien ändern dürfen. Entweder ich bringe da was durcheinander oder da liegt ein Fehler vor! Die Berechtigungen auf Verzeichnisse, sollten doch über die Sicherheitseinstellungen und nicht über die Freigabeberechtigungen geregelt werden, oder? Was muss ich in der Freigabeberechtigung einstellen, damit nur Mitglieder der Gruppe "Büro" mit "Ändern" in den Sicherheitseinstellungen Dateien im Verzeichnis ändern dürfen. Da "Schmidt" kein Mitglied der Gruppe "Büro" ist, soll er nur lesen dürfen. Helft mir mal weiter... bin grad etwas verwirrt und seh glaub den Wald vor lauter Bäumen nicht mehr! Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 9. Dezember 2007 Melden Teilen Geschrieben 9. Dezember 2007 Hallo Share Permission kommen vor NTFS Permisison d.h. wenn der Share (im ersten Beispiel) auf nur lesen steht, kannst du selbst mit dem Domänen Admin nichts in diesen Share schreiben. Das ist eben dann ein readonly Share. Beispiel 2 müsste gehen wie Du sagst, allerdings musst Du evtl. überprüfen ob versehentlich die Berechtiungen vererbt sind oder die "Domain User" Gruppe ist Mitglied der Gruppe Büro. Grundsätzlich sollte innerhalb einer Domain den User Domain User verwendet werden und nicht "jeder". Denn jeder ist nicht jeder :D . Dies gilt für NTFS Berechtigungen. Bei "beschreibbaren" Shares werden (meist) die "Jeder" Gruppe mot modify Rechten eingetragen. Gruss & Viel Erfolg Matthias Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Dezember 2007 Melden Teilen Geschrieben 9. Dezember 2007 Genauer gesagt gilt bei Freigabe- und NTFS-Berechtigungen, dass die am meisten einschränkende Berechtigung die effektive Berechtigung ist und das ist, wie Gysinma1 schon geschrieben hat, die Freigabeberechtigung ... Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 9. Dezember 2007 Melden Teilen Geschrieben 9. Dezember 2007 @Ithome Danke, so wollt ichs sagen ... :-) Gruss Matthias Zitieren Link zu diesem Kommentar
jsydfhg 10 Geschrieben 10. Dezember 2007 Autor Melden Teilen Geschrieben 10. Dezember 2007 Beispiel 2 müsste gehen wie Du sagst, allerdings musst Du evtl. überprüfen ob versehentlich die Berechtiungen vererbt sind oder die "Domain User" Gruppe ist Mitglied der Gruppe Büro Das ist ja das Verrückte! Ich habe die Sicherheitsgruppe "Büro" neu angelegt und zum Test lediglich 2 Benutzern direkt zugewiesen, ansonsten ist niemand Mitglied dieser Gruppe. Auf dem Client-Notebook habe ich mir eben die lokalen Benutzer / Gruppen angeschaut. Dort ist im Administrator der Domänenadmin drin, im Benutzer die Domänen-Benutzer und beim Hauptbenutzer niemand. Beide User dürfen dennoch Dateien in der Freigabe ändern und neuanlegen. Habe das Share nun unter "Jeder" mit "Ändern" freigeben und in den Sicherheitseinstellungen darf - Administratoren - Vollzugriff - Benutzer - Lesen / Spezielle Berechtigungen (Dateien erstellen / Ordner erstellen) - Büro - Ändern - Ersteller - Vollzugriff - System - Vollzugriff Ich vermute das Problem liegt an der Berechtigung vom Benutzer "Benutzer". Möchte ich diesen jedoch entfernen, erhalte ich die Sicherheits-Warnung "Benutzer" kann nicht entfernt werden, da dieses Objekt übergeordnete Berechtigungen übernimmt. Wenn Sie "Benutzer" entfernen möchten, müssen Sie verhindern, dass diesem Objekt Berechtigungen vererbt werden. Deaktivieren Sie die Option zur Übernahme von Berechtigungen, und versuchen Sie dann, "Benutzer" zu entfernen. Erscheint diese Meldung standardmässig? Konsequenzen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 10. Dezember 2007 Melden Teilen Geschrieben 10. Dezember 2007 Sie erscheint, weill von oben geerbt wurde. Entferne in den erweiterten Sicherheitseinstellungen den oberen Haken, womit Du die Vererbung unterbrichst. Ob Du dabb kopierst oder entfernst bleibt Dir überlassen. Konfiguriere in den Berechtigungen nur die Gruppen, die Du benötigst, zusätzlich aber Administratoren und System mit Vollzugriff (sofern die Firmen-Policy so etwas erlaubt) ... Zitieren Link zu diesem Kommentar
jsydfhg 10 Geschrieben 10. Dezember 2007 Autor Melden Teilen Geschrieben 10. Dezember 2007 Ich habe nun die vererbaren Berechtigungen deaktiviert, in den Freigabeberechtigungen dem User "Jeder" Vollzugriff gegeben und in den Sicherheitseinstellungen nur dem Administrator "Vollzugriff" und der Gruppe "Büro" "ändern" zugewiesen. Nun funktioniert alles wie gewünscht! face-smile Einziges Problem waren die bereits im Verzeichnis vorhandenen Dateien, die musste ich erst nocheimal ausschneiden und erneut in die Freigabe kopieren, damit die Berechtigungen korrekt übernommen wurden. Funktioniert nun anscheinend korrekt! face-smile Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 10. Dezember 2007 Melden Teilen Geschrieben 10. Dezember 2007 Hättest Du nicht machen brauchen, dafür ist der untere Haken in den erweiterten Sicherheitseinstellungen ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.