Jump to content

Zugriffsrechte


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich habe eine Frage bezüglich der Berechtigungen auf dem lokalen Rechner in einer AD.

 

- Server 2008 R2 Enterprise

- ServerA ist DC

- UserA ist in der AD des ServersA

- UserA ist in der AD Gruppe Domänen-Benutzer

- ClientA ist in der AD angemeldet mit UserA

- ClientA Lokale Gruppen und Benutzer Mitglied von Administratoren ist u.A. Domänen-Benutzer

- Per GPO User Adminrechte auf den lokalen Maschinen erteilt (brauchen sie wegen Installationen)

 

Die Clients waren vorher nicht in einer AD und somit sind sämtliche Installationen bereits vorgenommen.

Wenn ich jetzt mit dem UserA auf dem ClientA in den Verzeichnissen z.B. Programme bestimmte Dateien verändern möchte, dann wird mir der Zugriff verweigert. Z.B. ich öffne einen Ordner und versuche dort eine Date zu bearbeiten und abzuspeichern, dann erscheint eine Meldung: Zugriff verweigert.

Lösche ich diese datei, dann funktioniert das. Ich kann sie auch ausschneiden, auf dem Desktop einfügen, bearbeiten und wieder auf den Ursprungsplatz zurückkopieren. Nur nicht in dem Verzeichnis ändern.

 

Dieses Verhalten beobachte ich auch bei Neuinstallationen von Programmen.

 

Die Berechtigung für den Ordner Programme sieht wie folgt aus:

 

Ersteller/Besitzer: spezielle Berechtigung

alterHostname/alter User: lesen

alterHostname/lokaler Administrator: Voll

System: (ich glaube): voll

 

Sollte ich für solche Verzeichnisse die Berechtigung von Hand vergeben, ist dieses Verhalten normal und gewünscht oder ist hier irgend etwas nicht richtig konfiguriert?

Link zu diesem Kommentar

Es handelt sich hier um das Client Betriebssystem WIndows 7 Pro.

 

Die User haben lokale Adminrechte (per GPO), funktioniert auch.

Ich habe ebenfalls eine Folder Redirection eingerichtet (Desktop, Eigene Dateien)

Wenn ich einen neuen Ordner auf dem Desktop anlege oder auf eigene Dateien, dann sind die Berechtigungen in Ordnung.

 

Die User müssen im Programmverzeichnis in einer eigen entwickelten Software bestimmte Dateien von Hand bearbeiten. Dies geht z.Z. nur, wenn sie diese Dateien aus dem Programmverzeichnis herausnehmen, bearbeiten und wieder einfügen.

 

 

Bisher habe ich dieses Verhalten nur in diesem Ordner feststellen können.

 

Ist dieses Verhalten normal im Programmverzeichnis?

Wenn ja, dann möchte ich daran auch nichts ändern, denn die User können diese Dateien auch wie oben beschrieben bearbeiten.

Link zu diesem Kommentar

Moin,

 

Die User haben lokale Adminrechte (per GPO), funktioniert auch.

 

das ist überhaupt keine gute Idee. Es sei denn, das Funktionieren der Umgebung und die Sicherheit deines AD sind dir egal.

 

Die User müssen im Programmverzeichnis in einer eigen entwickelten Software bestimmte Dateien von Hand bearbeiten. Dies geht z.Z. nur, wenn sie diese Dateien aus dem Programmverzeichnis herausnehmen, bearbeiten und wieder einfügen.

 

Schlechte Software, würde ich sagen.

 

Beste Alternative: Auf eine andere Software umsteigen, die mit dem Sicherheitssystem von Windows (seit 1993 bekannt) funktioniert.

 

Workaround: Gib den Usern Schreibrechte auf die betreffende Datei und nimm sie aus den lokalen Admins wieder raus.

 

Gruß, Nils

Link zu diesem Kommentar

Die User müssen im Programmverzeichnis in einer eigen entwickelten Software bestimmte Dateien von Hand bearbeiten. Dies geht z.Z. nur, wenn sie diese Dateien aus dem Programmverzeichnis herausnehmen, bearbeiten und wieder einfügen.

 

UAC lässt grüßen. Benutzerkontensteuerung ? Wikipedia Die selbst programmierte SW sollte angepasst werden. Sie ist Windows98 tauglich, aber nicht für das 21. Jahrhundert gemacht. Programmdateien die von Benutzern ständig geändert werden müssen, sollen in %PROGRAMDATA% abgelegt werden.

 

Ein Benutzer hat per Standard keine Schreibrechte in %programfiles%. Das kannst Du auch selbst recht schnell herausfinden, indem Du einen Rechtsklick auf %programfiles% machst und dir dort die NTFS-Berechtigungen anzeigen lässt.

 

Bisher habe ich dieses Verhalten nur in diesem Ordner feststellen können.

 

Versuch das mal in %windir%.

 

Ist dieses Verhalten normal im Programmverzeichnis?

Wenn ja, dann möchte ich daran auch nichts ändern, denn die User können diese Dateien auch wie oben beschrieben bearbeiten.

 

Ja, das ist normal.

 

BTW: Ist das eine reale Umgebung oder sind das Schulungsszenarien?

Link zu diesem Kommentar

Es ist eine Testumgebung.

 

Ich meine aber die Ordner Programme usw. auf der lokalen Maschine, nicht die auf dem Server. Nicht, dass ich da falsch verstanden wurde.

 

 

Gut, dann nehme in der GPO die berechtigung für die Adminrechte auf der lokalen Maschine heraus. Bedeutet doch aber dann, dass jeder einzelne User noch nicht einmal mehr Software installieren kann, oder kann man dies wiederrum über die GPO steuern, dass die eingeschränkte Gruppe an den lokalen Maschinen bestimmte Dinge dürfen?

 

Ich habe mir die NTFS Berechtigungen von Programme angeschaut und die User hatten tatsächlich nicht die Berechtigungen.

Kann ich einfach die AD user eintragen, die Schreibrechte auf diese Ordner haben sollen?

Link zu diesem Kommentar
Es ist eine Testumgebung.

 

Dachte ich mir schon.

 

Ich meine aber die Ordner Programme usw. auf der lokalen Maschine, nicht die auf dem Server. Nicht, dass ich da falsch verstanden wurde.

 

Schon klar.

 

Gut, dann nehme in der GPO die berechtigung für die Adminrechte auf der lokalen Maschine heraus. Bedeutet doch aber dann, dass jeder einzelne User noch nicht einmal mehr Software installieren kann, oder kann man dies wiederrum über die GPO steuern, dass die eingeschränkte Gruppe an den lokalen Maschinen bestimmte Dinge dürfen?

 

Es gibt kein Recht SW zu installieren. Softwareinstallation als Benutzer

 

Ich habe mir die NTFS Berechtigungen von Programme angeschaut und die User hatten tatsächlich nicht die Berechtigungen.

Kann ich einfach die AD user eintragen, die Schreibrechte auf diese Ordner haben sollen?

 

Auch das macht man mittels GPO: Eingeschränkte Gruppen Aber man trägt auch nicht die AD-Benutzer stur auf %PROGRAMFILES% ein, sondern wirklich nur auf dem Ordner/Datei, die es unbedingt sein muß.

 

Noch ein wirklich gut gemeinter Tipp, lies dir die HowTos auf Gruppenrichtlinien.de vollständig und sorgfältig durch. Beginne bei den Grundlagen, so kannst Du viel lernen, denn jetzt dokterst Du nur an Fehlern rum ohne wirklich etwas zu lernen oder zu verstehen. Auch kannst Du viele der HowTos dort selbst in einer Testumgebung nachbauen und wirst bestimmt auch viel dabei lernen.

Link zu diesem Kommentar

Ich habe mir das Thema mal angeschaut.

Bedeutet, dass ich eigentlich nur unter dem beschriebenem Punkt in der GPO den Pfad des Ordners angebe und zugleich die User, die auch Schreibrechte darauf bekommen.

 

Ist es empfehlenswert dafür die Gruppe Domänen-Benutzer und Administratoren zu nehmen?

 

 

ich würde jetzt die Rechte "ändern" vergeben auf den folgenden Pfad:

 

c:\programme\Eigene Software Ordner

 

Das ist soweit ok nehme ich an?

 

 

Wenn ein User ein neues Programm braucht, dann kann ich das ja als Administrator auf seiner Kiste installieren. Oder reicht es einen User bei den lokalen Gruppen und Benutzern in die Gruppe der Administratoren zu stecken? Wahrscheinlich genauso **** wie das Ganze per GPO zu steuern.!?

 

Wie sieht es mit USB Sticks aus?

Link zu diesem Kommentar
Ich habe mir das Thema mal angeschaut.

Bedeutet, dass ich eigentlich nur unter dem beschriebenem Punkt in der GPO den Pfad des Ordners angebe und zugleich die User, die auch Schreibrechte darauf bekommen.

 

Richtig.

 

Ist es empfehlenswert dafür die Gruppe Domänen-Benutzer und Administratoren zu nehmen?

 

Die Administratoren dürfen eh schon zugreifen und für allen Domänen Benutzer würde ich es nicht machen. So wenig wie möglich, so viel wie nötig. Du kannst eine eigene Gruppe erstellen und dort die Benutzer einfügen, die Zugriff auf den Ordner haben sollen.

 

ich würde jetzt die Rechte "ändern" vergeben auf den folgenden Pfad:

 

c:\programme\Eigene Software Ordner

 

Das ist soweit ok nehme ich an?

 

Sieht gut aus. Testest Du eigentlich auch mal selbst?

 

Wenn ein User ein neues Programm braucht, dann kann ich das ja als Administrator auf seiner Kiste installieren. Oder reicht es einen User bei den lokalen Gruppen und Benutzern in die Gruppe der Administratoren zu stecken?

 

Entweder Du installierst Software via GPO im AD Service Pack Installation über die Softwareverteilung oder eben manuell. Wenn du die Benutzer in die Gruppe der lokalen Admins packst, hättest Du nichts ändern müssen.

 

Wahrscheinlich genauso **** wie das Ganze per GPO zu steuern.!?

 

Was genau willst Du mir damit sagen?

 

Wie sieht es mit USB Sticks aus?

 

Findest Du auch auf gruppenrichtlinien.de.

Link zu diesem Kommentar

Was genau willst Du mir damit sagen?

 

Genau das was du auch schon geschrieben hast. Das es einfach genauso unsinnig ist wie die User über die GPO als lokale Admins anzulegen. Ist ja im Prinzig genau das Gleiche.

 

Teste zwischendurch natürlich immer wieder.

 

Mich würde noch interessieren wie ich es hinbekomme, dass User in den Ordner auf dem Server die Berechtigungen nicht lesen können. Ist das der Punkt erweiterete Attribute lesen?

 

Habe jetzt einfach den Usern die lokalen Adminrechte entzogen. Bei Installationen muss ich mich eben als Administrator anmelden. Die Änderungen der Dateien werde ich jetzt ebenfalls über den Administratoraccount regeln. Habe jetzt mittlerweile viel von euch erfahren was mir weitergeholfen hat auch, wenn es manchmal nicht einfach für mich war. Aber wer lesen kann ist klar im Vorteil, da habt ihr Recht.

 

Danke an euch!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...