vip 10 Geschrieben 23. Februar 2009 Melden Teilen Geschrieben 23. Februar 2009 Hi Leute ich habe Probleme mit meinen NTFS Berechtigungen wer kann mir helfen danke... System: 3x 2Wk SVR Adv Deu mit AD, 5x WKS XP SP3 Gruppe Firma mit 5 Usern (Domain-Benutzer) Ich habe eine Freigabe namens d:\Daten Freigabeberechtigung Jeder Vollzugriff für die Gruppe Firma Ich möchte das alle User der Gruppe Firma alles in diesem Verzeichnis machen können wie lesen schreiben kopieren löschen für Ordner und Dateien usw. aber sie sollen keine Sicherheitseinstellungen und Attribute ändern können auch nicht für die Ordner/Dateien die sie selber angelegt haben und das ist das Problem warum kann ein User die NTFS Berechtigungen ändern obwohl ich die Einstellungen für den User auf Diese Ordner, Unterordner und Dateien Attribute Erweiterte Attribute Attribute schreiben Erweiterte Attribute schreiben Berechtigungen Lesen Berechtigungen ändern Besitzrecht übernehmen steht alles auf Verweigern !!!! gesetzt habe und trotz alledem können die normalen Domain-Benutzer fleißig auf die von Ihnen erstellten Verzeichnissen administrative Tätigkeiten wie Sicherheitseinstellungen ändern auf Vollzugriff und dann auch noch den Besitz übernehmen Benutzer hinzufügen wie kann so etwas gehen ??? bin Ratlos Verstehe es auch nicht warum Benutzer überhaupt in den Rechten rumfummeln sollen ??? Kann es sein das die AD einen Defekt hat wie kann ich das überprüfen ?? Danke an euch Profis Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 23. Februar 2009 Melden Teilen Geschrieben 23. Februar 2009 Ich möchte das alle User der Gruppe Firma alles in diesem Verzeichnis machen können wie lesen schreiben kopieren löschen für Ordner und Dateien usw. aber sie sollen keine Sicherheitseinstellungen und Attribute ändern können auch nicht für die Ordner/Dateien die sie selber angelegt haben Hallo! Überprüfe mal, ob ggf. Berechtigungen vom übergeordneten Objekt vererbt werden. Die Berechtigungen für die genannten User alle auf zulassen setzten, außer den "Vollzugriff" - damit sollte das Ändern von NTFS-Berechtigungen verhindert werden. Gruß Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Februar 2009 Melden Teilen Geschrieben 23. Februar 2009 Der Ersteller hat immer vollen Zugriff auf die von ihm erstellten Dateien und Ordner, selbst wenn auf nur "Ändern" konfiguriert wurde ... Stelle die Freigabe auf "Ändern", nicht auf "Vollzugriff" und entferne die Verweigerungen. Wenn das keine Administratoren auf dem freigebenden Rechner sind, können sie die Berechtigungen nicht mehr ändern ... Zitieren Link zu diesem Kommentar
vip 10 Geschrieben 23. Februar 2009 Autor Melden Teilen Geschrieben 23. Februar 2009 Der Ersteller hat immer vollen Zugriff auf die von ihm erstellten Dateien und Ordner, selbst wenn auf nur "Ändern" konfiguriert wurde ...Stelle die Freigabe auf "Ändern", nicht auf "Vollzugriff" und entferne die Verweigerungen. Wenn das keine Administratoren auf dem freigebenden Rechner sind, können sie die Berechtigungen nicht mehr ändern ... Jo Super das erste Problem ist behoben Danke !!! KEIN USER KANN MEHR DIE SICHERHEITSEINSTELLUNGEN ÄNDERN Problem 2:cry: Die User können die Einstellungen noch sehen Problem 3 :shock: Die User können immer noch den Ordner komprimieren usw Problem 4 :confused: Ich versteh jetzt nicht mehr wie NTFS funzt ist das voller Bugs ? ich denke Verweigerung auf alles Ordnder und Dateien Unterordner sollte vorrang vor allen anderen haben so war doch mal die Aussage von MS oder ?? und jetzt kann der User wilde Sau spielen mit Berechtigungen und Attributen gibt es über die Funktionsweise eine Übersicht ? Dann haben die NTFS Berechtigungen also nur begrenzt auswirkungen ?? Gibt es irgendwelche links zu diesen Thema um die Sache wirklich komplex nach zu vollziehen:suspect: Schönen Dank für die schnelle Antwort Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Februar 2009 Melden Teilen Geschrieben 23. Februar 2009 Jo Super das erste Problem ist behoben Danke !!!KEIN USER KANN MEHR DIE SICHERHEITSEINSTELLUNGEN ÄNDERN Dann füge die User zur Freigabe- und NTFS-Berechtigung mit Vollzugriff, die es dürfen ... Verweigerungen wirken nicht in jeder Situation vorrangig. Weiterhin hat der Ersteller eines Objektes Zugriff auf dieses, auch wenn man es ihm verweigert ... Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 23. Februar 2009 Melden Teilen Geschrieben 23. Februar 2009 ...Verweigerungen wirken nicht in jeder Situation vorrangig. Weiterhin hat der Ersteller eines Objektes Zugriff auf dieses, auch wenn man es ihm verweigert ... Hallo! Wann wirken sie denn nicht? Ich dachte, Verweigerungen für den Objektzugriff ueberschreiben immer jegliche Erlaubnis - es sei denn, der genannte User hat Admin-Rechte, wovon hier aber wahrscheinlich nicht ausgegangen werden kann. :confused: Gruß Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Februar 2009 Melden Teilen Geschrieben 23. Februar 2009 Zum Beispiel überschreibt ein explizites Erlauben ein geerbtes Verweigern ... Zitieren Link zu diesem Kommentar
vip 10 Geschrieben 24. Februar 2009 Autor Melden Teilen Geschrieben 24. Februar 2009 Vielen Dank erst mal für eure Hilfen bin jetzt aber etwas Verwirrt !!! Zum Beispiel überschreibt ein explizites Erlauben ein geerbtes Verweigern ... Also MS meinte doch immer Verweigerungen haben immer Vorrang vor allen anderer Berechtigungen das stimmt also nicht Ja ?:shock: Versteh ich das jetzt richtig, jedes mal wenn ein User sich einen Ornder oder Datei anlegt hebelt er die vererbten Verweigerung aus richtig ? :confused: Also wenn ein User das Unternehmen verlässt und man weis nicht ob Berechtigungen irgendwo gesetzt sind an der obersten Verzeichnissebene eine vererbte Verweigerung für diesen User und das wars dann mit dem Zugriff so hatte ich es mal gelesen stimmt das :confused::suspect::cry: Danke ....:wink2: Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 24. Februar 2009 Melden Teilen Geschrieben 24. Februar 2009 Also MS meinte doch immer Verweigerungen haben immer Vorrang vor allen anderer Berechtigungen das stimmt also nicht Ja ?:shock: Nein, das hat Microsoft nie behauptet, stimmt ja auch nicht ... Versteh ich das jetzt richtig, jedes mal wenn ein User sich einen Ornder oder Datei anlegt hebelt er die vererbten Verweigerung aus richtig ? :confused: Nein, das stimmt ebenfalls nicht ... Ich habe geschrieben, dass ein explizites Erlauben ein geerbtes Verweigern überschreibt ... Also wenn ein User das Unternehmen verlässt und man weis nicht ob Berechtigungen irgendwo gesetzt sind an der obersten Verzeichnissebene eine vererbte Verweigerung für diesen User und das wars dann mit dem Zugriff so hatte ich es mal gelesen stimmt das :confused::suspect::cry: ??? Im Zweifel wird der Besitz übernommen und die Berechtigungen neu gesetzt ... Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 24. Februar 2009 Melden Teilen Geschrieben 24. Februar 2009 Also MS meinte doch immer Verweigerungen haben immer Vorrang vor allen anderer Berechtigungen das stimmt also nicht Ja ?:shock: Grundsätzlich ist das erstmal richtig Versteh ich das jetzt richtig, jedes mal wenn ein User sich einen Ornder oder Datei anlegt hebelt er die vererbten Verweigerung aus richtig ? :confused: Nicht, wenn du das Objekt "Ersteller=Besitzer" entfernst. Also wenn ein User das Unternehmen verlässt und man weis nicht ob Berechtigungen irgendwo gesetzt sind an der obersten Verzeichnissebene eine vererbte Verweigerung für diesen User und das wars dann mit dem Zugriff so hatte ich es mal gelesen stimmt das :confused::suspect::cry: Sämtliche Berechtigungen im AD lassen sich bequem auslesen. ;) Gruß Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 24. Februar 2009 Melden Teilen Geschrieben 24. Februar 2009 Also MS meinte doch immer Verweigerungen haben immer Vorrang vor allen anderer Berechtigungen das stimmt also nicht Ja ?:shock:[/Quote] Kannst du deine Behauptung belegen? ;) How inheritance affects file and folder permissions: User Rights; Security Policy If the check boxes appear shaded, the file or folder has inherited permissions from the parent folder. There are three ways to make changes to inherited permissions: Make the changes to the parent folder, and then the file or folder will inherit these permissions. Select the opposite permission (Allow or Deny) to override the inherited permission. Clear the Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here. check box. You can then make changes to the permissions or remove the user or group from the permissions list. However, the file or folder will no longer inherit permissions from the parent folder. In most cases, Deny overrides Allow unless a folder is inheriting conflicting settings from different parents. In that case, the setting inherited from the parent closest to the object in the subtree will have precedence. Versteh ich das jetzt richtig, jedes mal wenn ein User sich einen Ornder oder Datei anlegt hebelt er die vererbten Verweigerung aus richtig ? :confused: Nein. Man muß nur die Berechtigungen der Parents korrekt setzen. Ich würde vorschlagen, du setzt dich mal an ein paar Testverzeichnisse und exerzierst das durch. Insgesamt kann man sagen, dass man fast alles ohne ein einzigen Deny regeln kann. Also wenn ein User das Unternehmen verlässt und man weis nicht ob Berechtigungen irgendwo gesetzt sind an der obersten Verzeichnissebene eine vererbte Verweigerung für diesen User und das wars dann mit dem Zugriff so hatte ich es mal gelesen stimmt das :confused::suspect::cry: Man könnte auch einfach den User deaktivieren oder löschen oder "expiren" ;) Bye Norbert Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 24. Februar 2009 Melden Teilen Geschrieben 24. Februar 2009 Grundsätzlich ist das erstmal richtig Nein, das ist nicht grundsätzlich richtig, denn die Verweigerungen haben nicht immer Vorrang. Es gibt ja Fälle, in denen es nicht so ist ... Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 24. Februar 2009 Melden Teilen Geschrieben 24. Februar 2009 Grundsätzlich bedeutet ja auch nicht immer. Die Grundsätzlichkeit wurde ja im obigen Link erläutert. ;) Bye Norbert Zitieren Link zu diesem Kommentar
vip 10 Geschrieben 24. Februar 2009 Autor Melden Teilen Geschrieben 24. Februar 2009 Besten Dank für eure Hilfe !!!:wink2: Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 24. Februar 2009 Melden Teilen Geschrieben 24. Februar 2009 Grundsätzlich bedeutet ja auch nicht immer. Die Grundsätzlichkeit wurde ja im obigen Link erläutert. ;) Bye Norbert Ich bevorzuge meistens, nicht grundsätzlich ... ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.