Nutzer haben Schreibrechte obwohl es nicht erlaubt ist

[RalphT 15]

Hallo,

 

ich habe eine Umgebung mit zwei DCs und 20 Clients. Auf den Clients sind die Rechte auf der Festplattenpartition D so eingestellt, dass die Nutzer

 

- Administratoren

- Sytem

 

volle Rechte haben und der Nutzer

 

- Benutzer

 

nur Leserechte (Standard) haben.

 

Also können alle Nutzer, die keine administrative Rechte haben, keine Dateien auf Laufwerk D schreiben. Ich habe es mal mit einem Nutzer getestet und es funktioniert alles so, wie es sein soll.

 

Jetzt sehe bei einer Kontrolle auf den Rechnern, dass dort Ordner angelegt wurden. Ich habe mir den Besitzer der Ordner anzeigen lassen. Es war einer von den Schülern.

 

Ich staune etwas. Wie konnte man das umgehen? Ich schließe mal den Fall aus, dass ein Schüler irgenwo Admin-Passswörter kennt o.ä.

[lefg 276]

Moin,

 

schau dir mal die Sicherheitsgruppen an!

[RalphT 15]

Moin,

 

schau dir mal die Sicherheitsgruppen an!

 

Das habe ich natürlich. Administrative Rechte haben auf den Computer

 

- Administrator (Standard)

- Domänenadmins (Standard)

- Hilfadmin

 

Die Gruppe Hilfadmin enthält nur einen Lehrer.

Daran kanns eigentlich nicht liegen.

[lefg 276]

Welche Sicherheitsgruppen sind in den Einstellungennfür Laufwerk D eingetragen, welche Berechtigungen haben diese Gruppen, wer ist Mitglied?

 

Wurden Rechte auf Verweigert gesetzt, was hat Priorität?

[RalphT 15]

Also auf Laufwerk D ist es in der Root wie Folgt eingestellt:

 

- Administatroren (volle Rechte)

- System (volle Rechte)

- Benutzer (Lesen, ausführen - Ordnerinhalt auflisten - Lesen)

 

Das Laufwerk D ist in der Regel leer. Die beiden Ordner wurden unterhalb der Root angelegt.

 

Mit "Verweigern" arbeite ich nicht. Ist hier natürlich auch nicht gesetzt.

[IThome 10]

Schau Dir mal die speziellen Berechtigungen für "Benutzer" an ... welche Haken sind alle gesetzt ? Wer ist der Besitzer dieser Ordner ?

[RalphT 15]

Oh man wie peinlich! Dort hat jeder "Benutzer" das Recht Ordner erstellen und Dateien erstellen.

 

Jetzt aber doch die Frage: Wieso ist das da eingetragen?

[IThome 10]

Das ist eine Frage, die man kaum beantworten kann ... Möglicherweise, weil beim Konfigurieren der Berechtigungen ein Fehler gemacht wurde ... Von selbst jedenfalls erscheint so etwas nicht ...

[RalphT 15]

Von selbst jedenfalls erscheint so etwas nicht ...

 

Hm, ich habe das gerade mal eben bei einem PC getestet. Eine neue Partition erstellt und neu formartiert

Die Sicherheitsgruppen, die denn da standardmäßig erscheinen sind

 

- Administratoren

- Benutzer

- ERSTELLER-BESITZER

- Jeder

- SYSTEM

 

Ich habe dann die Gruppen Ersteller-Besitzer und Jeder gelöscht.

Auch wenn man hier garnichts verändert und gleich unter Erweitert nachsieht, stehen dort schon drei Einträge für die Gruppe Benutzer.

UNd zwei Einträge erlauben jeweils das Erstellen von Ordner und Dateien.

[IThome 10]

Diese 3 Berechtigungen wurden von der Root des Laufwerks geerbt ... Also hast Du bei der Unterbrechung der Vererbung für den neuen Ordner die Berechtigungen kopiert (das ist nicht von selbst, Du hast sie kopiert) und nicht entfernt und neu erstellt. Wenn kopiert wird, dann gelten diese Berechtigungen natürlich auch, wie sie es vererbt ja auch tun ...

Also entweder die Root-Berechtigungen VORHER anpassen, die Vererbung deaktivieren und die Berechtigungen entfernen und neu setzen oder im Nachhinein die Berechtigungen so anpassen, wie es sein soll ...

[RalphT 15]

Ja das ist schon richtig, aber ich sprach eben von den Rootberechtigungen. Ich hatte eben geschrieben, dass ich eine neue Partition erstellt habe. Wenn ich in einen PC eine neue Festplatte einbaue, und diesen unter Datenträgerverwaltung einbinde, dann werden doch per default immer die gleichen Sicherheitsgruppen mit den entsprechenden Rechten angelegt.

Und hier sind in den Rootberechtigungen schon diese beiden Einträge von der Gruppe Benutzer zu sehen.

[IThome 10]

Ja , das sind die Default-Rootberechtigungen für neue Laufwerke. Diese Werte werden automatisch vom System gesetzt ... Das ist bei meiner gerade neu erstellten Festplatte auch so ...

edit:

http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_scedefaultpols.mspx?mfr=true

[RalphT 15]

Was mich dabei nur etwas stutzig macht ist folgendes:

Unter Eigenschaften ist für die Gruppe Benutzer kein Schreibrecht vorgesehen (siehe Bild 1)

 

 

Aber unter den speziellen Eigenschaften hat die Gruppe Benutzer Rechte zum Erstellen von Dateien und Ordnern. (Siehe Bild 2 rot unterlegt)

 

 

Ich finde das etwas irreführend.

[Dukel 457]

Was kommt bei "effektive Berechtigungen" heraus, wenn du den User einträgst?

[RalphT 15]

Ich beschrannke mich hier auf zwei Zeilen, die wichtig sind:

 

Ordner erstellen / Daten anhängen ist erlaubt

Dateien erstellen / Daten schreiben ist nicht erlaubt