Jump to content

Verzeichnisberechtigung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

 

habe eine Frage zur Verzeichnisberechtigung.

 

Serverbetriebssystem Windows Server SBS 2008.

 

 

Ich habe eine Freigabe:

 

Daten - Freigabeberechtigung: jeder=ändern, NTFS:jeder=lesen

 

Unterordner1: NTFS Berechtigung: Vererbung aus, Individuelle Berechtigungen

 

Unterordner von Unterordner1: Vererbung aktiv

 

 

 

Jetzt meine Fragen:

Liege ich richtig, dass ich in der Freigabeberechtigung (jeder=ändern) einstellen muss damit User in den Unterordner schreiben dürfen?

 

Wenn ich in den effektiven Berechtigungen schaue, dann habe User, die Leseberechtigungen bekommen haben das Recht die Berechtigungen zu ändern??

 

 

Habe ABE auf das verzeichnis aktiviert.

Link zu diesem Kommentar

Die Berechtigungen auf der Freigabe haben die höchste Priorität, in Deinem Fall ("Ändern") hat der User kein Recht zum Ändern der NTFS-Rechte. Bei der Anzeige der effektiven NTFS-Rechte sind die Rechte der Freigabe aber nicht relevant. Woher sollte das Tools wissen, über welche Freigabe der User zugreift (es könnte ja mehr als Eine geben) ?

 

Wenn der Üser irgendwo in einer Freigabe schreiben können soll, muss er dort das Recht "Schreiben" oder "Ändern" bekommen. Die NTFS-Rechte entscheiden dann die Details.

Link zu diesem Kommentar
Die Berechtigungen auf der Freigabe haben die höchste Priorität, in Deinem Fall ("Ändern") hat der User kein Recht zum Ändern der NTFS-Rechte. Bei der Anzeige der effektiven NTFS-Rechte sind die Rechte der Freigabe aber nicht relevant. Woher sollte das Tools wissen, über welche Freigabe der User zugreift (es könnte ja mehr als Eine geben) ?

 

Wenn der Üser irgendwo in einer Freigabe schreiben können soll, muss er dort das Recht "Schreiben" oder "Ändern" bekommen. Die NTFS-Rechte entscheiden dann die Details.

 

Das bedeutet doch aber auch das der User schon in der Freigabeberechtigung das Recht ändern bekommt damit der User überhaupt das Recht hat in der Freigabe in einem Unterverzeichnis schreiben zu dürfen.

 

Bsp: Freigabe: Freigabeberechtigung jeder=ändern, NTFS jeder lesen (da in oberster Instanz keiner schreiben soll!!)

Unterordner: NTFS jeder schreiben

 

So verstehe ich das richtig, oder?

 

Genau so habe ich das auch gemacht, es funktioniert ja auch normalerweise alles, nur gerade habe ich das Problem, dass der User unter dem Punkt effektive Berechtigungen auch das recht hat Berechtigungen auf Verzeichnissen zu ändern!!

 

Ich weiß nur nicht wo diese Berechtigungen herkommen!

 

Kann das etwas mit lokalen Administratorenrechte zu tun haben. Ich meine User bekommen per GPO lokale Adminrechte. Wenn Sie als lokale Admins arbeiten, bekommen Sie ja anhand der Berechtigungen der HDD (c, Administrator:Vollzugriff) Berechtigungen, die sie gar nicht haben solllen.

 

Stehe gerade echt mal wieder auf dem Schlauch!

Link zu diesem Kommentar

Was ich jetzt noch herausgefunden habe ist, dass alle User in oberster Instanz © Vollzugriff haben, obwohl sie diese rechte nicht haben dürften! Sie stecken auch nicht in einer Gruppe, die Vollzugriff hat (nur Domänen-Benutzer).??

 

 

 

EDIT:

Selbst wenn ich einen neuen User in der AD anlege hat dieser sofort Vollzugriff auf C.

 

Welche Ansätze sollte ich probieren?

Habe mir schon die Gruppen auf dem DC angeschaut, User sind aber lediglich in Domänen-Benutzer.

 

Jemand noch eine Idee?

bearbeitet von sfr
Link zu diesem Kommentar

Moin,

 

aber Domänen-Benutzer sind ja auch alle User ...

 

Die obige Angabe ist übrigens nicht ganz richtig. Freigabeberechtigungen haben keine höhere Priorität. Tatsächlich ist es so, dass Freigabeberechtigungen und NTFS-Berechtigungen unabhängig voneinander evaluiert werden (weil verschiedene OS-Komponenten dafür zuständig sind). Von beiden gilt dann das Restriktivere.

 

Beispiel: Freigabe effektiv Ändern, NTFS effektiv lesen --> User darf nur lesen

Freigabe effektiv lesen, NTFS effektiv Vollzugriff --> User darf nur lesen

 

In fast allen Situationen ist es am besten, auf Freigabeebene "Jeder: Vollzugriff" zu setzen (sog. Null-ACL), weil dann die NTFS-Berechtigungen immer 1:1 gelten. Spart erheblich Komplexität.

 

Zum Rest ist vielleicht dies von Interesse:

faq-o-matic.net » Windows-Gruppen richtig nutzen

 

Gruß, Nils

Link zu diesem Kommentar

HI Nils

 

Ich habe diese ganzen Szenarien schon durchgespielt und komme nicht auf die Lösung! Die Gruppe Domänen-Benutzer hat keinen Vollzugriff auf die Verzeichnisse, Jeder der User selbst auch nicht, dennoch wird ausgegeben, dass er diese hat. Ein paar Ebenen tiefer hat der User "nur" Leserechte, aber auch die Berechtigung "Berechtigung ändern". Ich vermute, dass diese Berechtigung durch die Berechtigung "Vollzugriff" auf der oberstenen Ebene C zustande kommt. Etwas ist definitiv nicht in Ordnung. So oft ich das auch schon gemacht habe so etwas ist mir noch nciht untergekommen.

 

Hast du vielleicht noch eine Idee? GPO vlt? Lokale Adminrechte? Kann doch dann aber auch nichts mit Verzeichnisrechte zu tun habe!

Link zu diesem Kommentar
Moin,

 

aber Domänen-Benutzer sind ja auch alle User ...

 

Die obige Angabe ist übrigens nicht ganz richtig. Freigabeberechtigungen haben keine höhere Priorität. Tatsächlich ist es so, dass Freigabeberechtigungen und NTFS-Berechtigungen unabhängig voneinander evaluiert werden

 

Ich habe nur versucht es etwas volkstümlich aus Sicht des Users zu beschreiben...

 

In fast allen Situationen ist es am besten, auf Freigabeebene "Jeder: Vollzugriff" zu setzen (sog. Null-ACL), weil dann die NTFS-Berechtigungen immer 1:1 gelten. Spart erheblich Komplexität.

 

Wenn die User dann anfangen die ACL bei ihren Dateien zu verstellen, siehst Du das anders. Empfehlung: Usern nicht merh als "Ändern" geben. Die Verstellerei der NTFS-Rechte hat dann ein Ende.

Link zu diesem Kommentar
Ich habe nur versucht es etwas volkstümlich aus Sicht des Users zu beschreiben...

 

 

 

Wenn die User dann anfangen die ACL bei ihren Dateien zu verstellen, siehst Du das anders. Empfehlung: Usern nicht merh als "Ändern" geben. Die Verstellerei der NTFS-Rechte hat dann ein Ende.

 

Die User bekommen auch eigentlich nicht mehr als ändern. Bei mir bekommen Sie in gar keinen Fall Vollzugriff. Aber den haben sie zumindestens auf C, wo das her kommt weiß ich nicht.

 

Ich gehe davon aus, dass sie daher auch das Recht haben die Berechtigung zu ändern, denn auf den Unterordnern bekommen sie maximal das Recht ändern.

Link zu diesem Kommentar
Die User bekommen auch eigentlich nicht mehr als ändern. Bei mir bekommen Sie in gar keinen Fall Vollzugriff. Aber den haben sie zumindestens auf C, wo das her kommt weiß ich nicht.

 

Ich gehe davon aus, dass sie daher auch das Recht haben die Berechtigung zu ändern, denn auf den Unterordnern bekommen sie maximal das Recht ändern.

 

Problem gelöst!

In der Gruppe Administratoren hat sich NT-Autorität eingeschlichen. Deshalb die merkwürdigen Berechtigungen..

 

 

Danke!

Link zu diesem Kommentar
Meinst Du mit "C:" ihr lokales Laufwerk ? Wie Nils schon schrieb, haben Freigaben hier nicht zu "sagen". In welchen Gruppen befinden sich denn die User lokal und in der Domäne ?

 

Mit c meinte ich das Laufwerk des Servers. Lokal sind die User in der Gruppe der Administratoren, da sie diese Rechte brauchen (blabla).

 

Von der Freigabe selbst habe ich nicht mehr geschrieben, habe das glaube ich schon verstanden wie das mit der Berechztigung läuft, die Freigabeberechtigung steht bei mir nach wie vor auf ändern, so habe ich das immer gemacht, mit ntfs gehe ich ins Detail..

 

 

In der Domäne befanden sich die User nur in der Gruppe der Domänen Benutzer.. Da aber in den NTFS Berechtigung des Servers auf c Authentifizierte Benutzer bzw. NT-Authorität Vollzugriff hatten, hatten die User Berechtigungen, die nicht nachzuvollziehen waren.

 

Denn Authentifizierte Benutzer waren in der Gruppe der Administratoren...

Nachdem ich sie entfernt habe, waren die Berechtigungen wieder in Ordnung und alles sieht wieder rosig aus..

Link zu diesem Kommentar
Und dann wundert es dich, dass sie Berechtigungen haben? Warum brauchen User denn lokale adminrechte?

 

Bye

Norbert

 

Ist nicht auf meinem Mist gewachsen Norbert! ;) Wenn der Chef das so haben will.. Mit lokal in der Gruppe der Administratoren meine ich lokal auf derem Rechner, nicht auf dem Server! Der Server hat keine lokalen User und Gruppen, da er DC ist!

Und die lokalen Adminrechte haben ja auch nichts mit den Verzeichnisrechten zu tun, oder etwa doch..

 

Lag ja letztendlich an der Gruppe authentifzierte Benutzer, die in der Gruppe Administratoren war.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...