Berechtigungen - schreiben, aber nicht verändern...

[TheOmen 10]

Hallo,

 

die Berechtigungen auf dem Netz-Laufwerk sehen wie folgt aus - ich hab da schon probiert ohne Ende, aber leider ohne Erfolg...

 

 

IST Zustand:

Jeder kann Dateien erstellen, Dateien verändern, die er selbst erstellt hat (nach schließen/öffnen auch noch!), aber keine Dateien von wo anders hinkopieren.

 

SOLL Zustand:

Jeder soll Dateien erstellen und hinkopieren, aber danach NICHT mehr verändern können.

 

Grüße

Dominik

[NilsK 2.971]

Moin,

 

das wirst du so kaum hinbekommen. Ein User, der eine Datei erzeugt (oder von einem anderen Volume kopiert), ist Besitzer der Datei. Damit kann er sich immer Rechte daran verschaffen. Evtl. kannst du das mit der Beschränkung der Freigabeberechtigung auf "Ändern" statt "Vollzugriff" einschränken, aber ich denke, das wird nix.

 

Gruß, Nils

[Cybquest 36]

Nur das NTFS-Spezialrecht "Dateien erstellen / Daten schreiben" vergeben.

[NilsK 2.971]

Mag gehen, aber nicht mit jeder Applikation. Office-Programme sind da beliebte Kandidaten, bei denen sowas scheitern kann.

 

An dieser Stelle wäre es langsam sinnvoll, die Anforderungen zu kennen - was steht dahinter?

 

Gruß, Nils

[TheOmen 10]

"Ändern" statt "Vollzugriff" einschränken bringt nix, da die User ja nicht ändern sollen.

Sie können lesen und haben auch das NTFS-Spezialrecht "Dateien erstellen / Daten schreiben" - bringt aber auch nicht den gewünschten Erfolg.

Ja, Office-Programme sind der wesentliche Teil der Anwendungen mit denen die Dateien erzeugt werden...

[IThome 10]

Dateien reinkopieren und dann nicht mehr verändern, kein Problem. Aber Dateien erstellen dürfen und danach nicht mehr ändern, das wird nichts (man könnte leere Dateien erzeugen, dessen Namen man aber schon nicht verändern kann, geschweige denn, etwas reinzuschreiben). Wie Nils auch schon geschrieben hat, ist das mit den Officedateien wegen der immer erzeugten Temp-Dateien in dem Ordner, wo sich auch die Datei befindet, meistens nicht möglich, gewisse Anforderungen an die Sicherheit (mittels NTFS-Berechtigungen, z.B. nicht löschen dürfen) zu erfüllen . Dein IST-Zustand ist ein wenig verwirrend: Jeder kann Dateien erstellen und auch verändern, aber dort hinkopieren kann er nicht ? :suspect:

@Nils

Das mit dem Verringern der Freigabeberechtigung von Vollzugriff auf Ändern bewirkt bei Nicht-Administratoren, dass sie trotz Besitz die Berechtigungen nicht verändern können.

[substyle 20]

Ich hatte mal das selbe Problem,

 

wir haben es so gelöst, das ein Script am Server alle 30 Sekunden erstelle Dateien in einen 2. Ordner verschiebt wo die Rechte entsprechend auf nur lesen geändert wurden.

 

Holzhammer, geht aber.

 

subby

[NilsK 2.971]

Moin,

 

"Ändern" statt "Vollzugriff" einschränken bringt nix, da die User ja nicht ändern sollen.

 

wie ich schon schrieb, ist das ja auch nur eine Hilfsmaßnahme. Auf Freigabeebene den Vollzugriff wegzunehmen ist die einzige Mögloichkeit, den Erzeuger einer Datei daran zu hindern, sich zusätzliche Rechte zu verschaffen.

 

(@IThome: Genau das ist ja der Witz daran.)

 

Ja, Office-Programme sind der wesentliche Teil der Anwendungen mit denen die Dateien erzeugt werden

 

Dann hast du da wenig Chancen. Viele Office-Programme (nicht nur die von Microsoft) führen beim Bearbeiten oder Erzeugen viele zusätzliche Aktionen durch, die mit deinem Berechtigungsset u.U. nicht klappen würden.

 

Du hast übrigens immer noch nicht deine Anforderungen benannt. So können wir dir dann auch schlecht Alternativen vorschlagen.

 

Gruß, Nils

[IThome 10]

Evtl. kannst du das mit der Beschränkung der Freigabeberechtigung auf "Ändern" statt "Vollzugriff" einschränken, aber ich denke, das wird nix.

Nicht nur eventuell, das wird was ... ;)

Der eigentliche Witz ist der, dass Administratoren trotz fehlender effektiven Berechtigung trotzdem die Berechtigungen ändern dürfen, Benutzer dagegen nicht ...

[Stoni 10]

@ITHome

aber in dem Fall nur Domadmins, oder.

 

Stoni

[NilsK 2.971]

aber in dem Fall nur Domadmins, oder.

 

ein beliebtes Missverständnis. Domänenadmins können auf einem Server oder Client nicht mehr als "einfache" lokale Admins. Mehr als lokaler Admin kann man nicht sein.

 

Administratoren können /immer/ den Besitz an einer Datei übernehmen. (@IThome: Wenn ein Admin über die beschränkte Freigabe zugreift, kann er das auch nicht. Er müsste dann über einen Adminshare kommen. Aber im Prinzip hast du natürlich Recht.)

 

Gruß, Nils

[IThome 10]

(@IThome: Wenn ein Admin über die beschränkte Freigabe zugreift, kann er das auch nicht. Er müsste dann über einen Adminshare kommen. Aber im Prinzip hast du natürlich Recht.)

Ich spreche natürlich nicht von Adminshares (wo wäre da der Witz), ich spreche von beschränkten Shares, wo er eigentlich die effektiven Berechtigungen nicht hat ... Hab´s natürlich auch noch mal probiert. Freigabe auf nem DC, Freigabe - Jeder - Ändern, NTFS - Jeder - Vollzugriff. Effektiv also Ändern bei Zugriff über die Freigabe. Erzeugt der User eine Datei oder einen Ordner, kann er die Berechtigungen nicht verändern (ausgegraut). Erzeugt ein Admin einen Ordner oder eine Datei, kann er die Berechtigungen ändern (auch die des vom Benutzer erzeugten Ordners) ...

[Stoni 10]

@Nils

Da has Du schon Recht. aber wer setzt sich schon lokaler Admin hin und macht das.

 

Stoni

[NilsK 2.971]

IErzeugt ein Admin einen Ordner oder eine Datei, kann er die Berechtigungen ändern (auch die des vom Benutzer erzeugten Ordners) ...

 

über den Share? Wow. Das ist mir neu.

 

Gruß, Nils

[IThome 10]

Probier´s mal aus, ich habe das auch irgendwann mal zufällig herausgefunden (beim Probieren von irgendwas) und war auch ziemlich erstaunt ...