phatair 39 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 Hallo zusammen, ich bin gerade dabei das Dynamisches Erstellen von sichereren umgeleiteten Ordnern mit der Ordnerumleitung zu erstellen. Soweit habe ich mich an folgender Microsoft Anleitung gehalten. Die NTFS Berechtigungsstruktur die MS dort angibt habe ich 1:1 so übernommen: ◦Ersteller-Besitzer - Vollzugriff (Übernehmen für: Nur Unterordner und Dateien) ◦System - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) ◦Domänen-Admins - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) ◦Jeder - Ordner erstellen / Daten anhängen (Übernehmen für: Nur diesen Ordner) ◦Jeder - Ordner auflisten / Daten lesen (Übernehmen für: Nur diesen Ordner) ◦Jeder - Attribute lesen (Übernehmen für: Nur diesen Ordner) ◦Jeder - Ordner durchsuchen / Datei ausführen (Übernehmen für: Nur diesen Ordner) Für die SMB Freigabe habe ich jeder Vollzugriff gegeben. Nun habe ich einen Testuser genommen und mich angemeldet. Es wird auch automatisch der Ordner erstellt aber als Domänen Admin habe ich keinen Zugriff auf diesen. Ich kann nur mit dem User an sich den Sicherheits Tab anschauen und auch so habe ich keinerlei Berechtigung auf den "automatisch" erstellten Ordner. Besitzer ist der Testuser und auch hat nur das System und der Testuser (Besitzer) Berechtigung auf den Ordner. Das verstehe ich nicht, da in der oben genannten NTFS Berechtigung ja auch die Domänen Admins durchvererbt werden sollten und somit Berechtigung auf den Ordner haben. Kann mir jemand Helfen, ich sehe den Wald vor lauter Bäumen nicht mehr... Vielen Dank schon mal. Gruß Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 Ersteller und Besitzer setzt aber die Berechtigungen beim erstellen neu. ;) dazu ist das da. Bye Norbert Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 30. August 2012 Autor Melden Teilen Geschrieben 30. August 2012 Ok, aber dann habe ich als Admin ja keine Chance mehr den Ordner einzusehen, zu löschen oder sonstiges Arbeiten daran vorzunehmen. Ist es wirklich so gewollt das die Admins komplett ausgeschlossen sind? Bzw. was müsste ich ändern damit die Ordner weiterhin automatisch erstellt werden, die Berechtigung für den Benutzer gesetzt wird aber die Admins trotzdem Zugriff drauf haben? Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 Hi, als Admin kannst du dir immer den Besitz übernehmen, und danach die Berechtigungen für dich selbst setzen. Wieso willst du in diese Ordner per default reinschauen? lg Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 30. August 2012 Autor Melden Teilen Geschrieben 30. August 2012 Naja eigentlich war der Wunsch das wir diese Ordner gar nicht mehr anfassen müssen. Es gibt eigentlich keinen Grund warum wir jetzt reinschauen müssen. Aber es kommt doch öfter mal vor das wir dort mal reinschauen müssen weil z.B. der User eine Frage zu der Datei hat. Bevor wir uns dann bei ihm aufschalten, schauen wir die Datei direkt mit an. Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 Der Wunsch sollte ja somit erfüllt sein, oder irre ich mich? Draufschalten erweist sich generell als hilfreicher, da der User dann zeigen kann, was er meint. aber wie gesagt, wenn es sich um einzelfälle handelt, kannst du dir mit dem übernommenen Besitz den Zugriff gewähren. lg Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 30. August 2012 Melden Teilen Geschrieben 30. August 2012 Meines Wissens nach musst du in der Ordnerumleitung einfach den Haken entfernen, die dem User exklusiven Zugriff gewähren. Hast du dir die Einstellungen vorher nicht mal angeschaut? Bye Norbert Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 31. August 2012 Autor Melden Teilen Geschrieben 31. August 2012 Der Wunsch sollte ja somit erfüllt sein, oder irre ich mich? Draufschalten erweist sich generell als hilfreicher, da der User dann zeigen kann, was er meint. aber wie gesagt, wenn es sich um einzelfälle handelt, kannst du dir mit dem übernommenen Besitz den Zugriff gewähren. lg Hi Sweigl, Jain :) Ein weiteres Problem ist, dass bei uns die Roaming Profiles von den Terminalservern auch in dem "Home" Verzeichnis liegen. Es wäre einfach sehr umständlich jedes mal erst den Besitzer zu wechseln, so das auch wir Admins den Inhalt sehen können. Vor allem verstehe ich nicht warum Microsoft dann die Struktur so aufbaut: ◦Domänen-Admins - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien) Das ist ja die NTFS Berechtigung für den Freigabe Ordner der Home Verzeichnisse. Warum soll man dann den Domänen-Admins überhaupt Vollzugriff mit Vererbung geben wenn es sowieso wieder entfernt wird.... Meines Wissens nach musst du in der Ordnerumleitung einfach den Haken entfernen, die dem User exklusiven Zugriff gewähren. Hast du dir die Einstellungen vorher nicht mal angeschaut? Bye Norbert Hi Norbert, ja das hatte ich mir schon angeschaut, der Haken ist nicht gesetzt. Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 31. August 2012 Melden Teilen Geschrieben 31. August 2012 (bearbeitet) Das ist ja die NTFS Berechtigung für den Freigabe Ordner der Home Verzeichnisse. Warum soll man dann den Domänen-Admins überhaupt Vollzugriff mit Vererbung geben wenn es sowieso wieder entfernt wird.... Beim Anlegen des Ordners wird, meine ich, die Vererbung deaktiviert, und neue Einträge in die ACL reingepackt. Hi Norbert,ja das hatte ich mir schon angeschaut, der Haken ist nicht gesetzt. Da es doch einige Haken gibt, welchen GENAU meinst du - vl meint Norbert ja einen anderen ;-) bearbeitet 31. August 2012 von Stefan W Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 31. August 2012 Autor Melden Teilen Geschrieben 31. August 2012 Beim Anlegen des Ordners wird die Vererbung deaktiviert, und neue Einträge in die ACL reingepackt. Ok, wenn das so ist dann ist das so. Aber warum sagt dann MS man soll den Domänen-Admins Vollzugriff auch für alle Unterordner und Dateien geben, wenn die sowieso nicht übernommen wird. Das finde ich irgendwie unlogisch, da kann ich den Eintrag für die Domänen-Admins ja gleich entfernen. Da es doch einige Haken gibt, welchen GENAU meinst du - vl meint Norbert ja einen anderen ;-) ich meine den Haken in der Ordnerumleitung GPO -> Tab Einstellungen "Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen." EDIT: Screenshot angehängt. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 31. August 2012 Melden Teilen Geschrieben 31. August 2012 Hmm lieber den Artikel hier, dann wird auch klar, dass adminsdholder nicht benötigt werden. ;) Security Recommendations for Folder Redirection: Group Policy Bye Norbert Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 31. August 2012 Autor Melden Teilen Geschrieben 31. August 2012 Ok, schade. Dann müssen wir wohl doch weiterhin die Verzeichnisse manuell anlegen. Es ist wichtig das die Admins Zugriff haben und wenn ich jedes mal wenn ich dort reinschaue erst die Berechtigung anpassen muss, kann ich auch gleich den User Ordner selber erstellen. Schade, wäre eine gute Erleichterung gewesen. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 31. August 2012 Autor Melden Teilen Geschrieben 31. August 2012 Noch mal ich :) Also ich glaube das nicht, dass kann von MS nie und nimma so gedacht sein. Wenn ich mit Testuser1 angemeldet bin und manuell einen Ordner auf der Test-Home Freigabe erstelle wird die Berechtigung richtig vererbt. Das heißt ich kann als Admin weiterhin in den Ordner schauen. Alle anderen User können das nicht, sind aber fähig in ihren eigenen erstellten Ordner reinzuschauen. Genau so sollte es auch sein wenn die Home Verzeichnisse durch die Ordner Umleitung erstellt werden. Leider ist das nicht so, laut eurer Theorie ist das so gewollt. Aber warum sollte ich dann in der Ordnerumleitung GPO die Option "Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen." aktivieren können wenn es sowieso auch ohne die Option schon so ist. Hier die Erklärung von MS für die Option: Dem Benutzer exklusive Zugriffsrechte erteilen. Diese Einstellung ist standardmäßig aktiviert und wird empfohlen. Mit dieser Einstellung wird angegeben, dass der Administrator und andere Benutzer keine Berechtigungen für den Zugriff auf diesen Ordner haben. Genau dieses Verhalten ahbe ich ja auch ohne die angehakte Option. Das ergibt für mich keinen Sinn und deutet für mich auf einen Fehler in der Berechtigungsstruktur hin... Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 31. August 2012 Melden Teilen Geschrieben 31. August 2012 Genau dieses Verhalten ahbe ich ja auch ohne die angehakte Option. Das ergibt für mich keinen Sinn und deutet für mich auf einen Fehler in der Berechtigungsstruktur hin... Dann kontrolliere sie anhand meines geposteten Artikels. ;) Vielleicht sind da ja Unterschiede. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.