Jump to content

Win2008: Freigabe Schreibgeschützt trotz Vollzugriff

surfacing

Von surfacing
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

surfacing Rising Star

surfacing   32

Geschrieben
Geschrieben

Moin Moin,

 

Windows 2008 R2

 

man hat es heute sehr gut mit mir gemeint, und ein Spaßvogel meinte ALLE Berechtigungen auf unserem Fileserver zu löschen. Ich habe keine Ahnung wie er das geschafft hat, jedoch konnte ich über die normale Windows Freigabe keine Berechtigungen mehr setzen. Erst mit Hilfe von SetACL inkl. Besitzerwechsel und sonstige Änderungen, konnte ich den Abteilungen den Zugriff auf Ihre Daten geben.

 

Das Problem ist jedoch, dass die User dennoch keine Daten mehr speichern können. Laut SetACL haben die User in deren Ordner und Unterordner Vollzugriff und könnten theoretisch schalten und walten wie sie möchten. Auch im Reiter "Sicherheits" sind die richtigen Rechte gesetzt ( Vollzugriff, Ändern usw. ).

 

In den Eigenschaften habe ich auch den Haken bei "schreibgeschützt" mal deaktivert. Bringt auch nichts. Mit dem Domönenadmin kann ich in den Verzeichnissen die Daten verändern. Ich habe mich schon quer durch Google gelesen, bisher jedoch noch nicht das richtige gefunden.

 

Wenn jemand einen Tipp hat, wie ich das ganze noch lösen könnte. Bzw. vielleicht habe ich einen Gedankengang zuviel oder zu wenig gemacht.

 

Danke euch schon mal im voraus.

 

 

Link zu diesem Kommentar
surfacing Rising Star

surfacing   32

Geschrieben
  • Autor
Geschrieben

@Norbert: Sorry, ich dachte das wäre erst nur ein Witz gewesen ;). Die ernste Antwort lautet: Sowohl keine neuen Daten können erstellt werden, als auch bestehende verändert.

 

@Ara: Ich habe die Freigaben Berechtigungen überprüft, dort stehen sie auch drin mit "Lesen/schreiben".



Hat der Komiker eventuell noch ein 'Verweigern' hinterlassen?

Schau Dir mal ein paar beispielhafte Objekte mit 'Get-ACL ... | fl' an.

 

Die User bzw. Gruppen haben jeweils "Full Control". Ich mache morgen früh weiter. Habe mich heute schon genug über diese Überraschung geärgert. Ich sehe es positiv, ich habe SetACL kennengelernt was einen sehr guten Eindruck macht.

Link zu diesem Kommentar
surfacing Rising Star

surfacing   32

Geschrieben
  • Autor
Geschrieben (bearbeitet)

SetACL Studio habe ich mir bereits in Benutzung. Sau gutes Programm. Naja, was heißt kennen, ich dachte ich kenne Sie, nach gestern bin ich mir nicht mehr so sicher.

 

Ich versuch mal unsere Struktur etwas darzustellen.

 

Share ( Owner: Domainadministrator )

  • Einkauf ( Usergroup EInkauf hat Full Control inkl. alle Unterordner und Dateien )
  • Vertrieb ( Usergroup Vertrieb hat Full Control inkl. alle Unterordner und Dateien
  • Lager  ( Usergroup Lager hat Full Control inkl. alle Unterordner und Dateien )

 

Wenn ich mit einem Benutzer aus der jeweiligen Gruppe in die Ordner reingehe, sehe ich ein paar Ordner und Dateien. Jedoch nicht alle Ordner. Nach überprüfen auf dem Fileserver stellte ich fest, dass nicht jeder Ordner und Datei die rechte weitervererbt worden sind. Trotz das ich im SetACL Studio im Ordner "Einkauf"  auf Berechtigungen "zurücksetzen geklickt" habe. Was nach meinem Verständnis ALLE Ordner, Unterverzeichnisse und Dateien mit den Rechten versorgt welche ich im Hauptordner geggeben habe.

 

//Edit:

 

Mir ist noch eine Sache aufgefallen, wenn ich direkt auf dem Server bin. Hat mein Share Verzeichnis als einzige Freigabe ein Schloss im Ordnersymbol.

bearbeitet von surfacing
Link zu diesem Kommentar
surfacing Rising Star

surfacing   32

Geschrieben
  • Autor
Geschrieben

Die user waren in dem Fall nicht das Problem, sondern ein anderer Admin welcher sagen wir es postiiv, "unüberlegt" gearbeitet hat. Und mein Lieblingssatz war "Ich habe nichts gemacht, ich habe mir nur ein paar Rechte eingeräumt". Aber ich stimme dir zu, Full Control ist für den allerwertestens ;).

 

 

Ich habe zwei Große Freigaben, Firma 1 und Firma 2. Darunter befinden sich jeweils die Abteilungsordner. Den Abteilungsordner werden jeweils nur den Gruppen Zugriffsrechte gewährt.

Link zu diesem Kommentar
Daniel -MSFT- Veteran

Daniel -MSFT-   129

Geschrieben
Geschrieben

Mach mal ein chkdsk /f auf dem entsprechenden Laufwerk. Full Control würde ich von den Share-Rechten runternehmen. Das braucht nur die Usergruppe, die Rechte setzen können soll. Etwas, was Anwendet normalerweise nicht müssen.

 

Deinen anderen Admin fragst Du mal, was er gemacht hat, bevor er nichts gemacht hat.

 

Dann überlegst Du Dir die minimalen Rechte, die jede Usergruppe braucht, legst entsprechende Resourcen- und Usergruppen an und vergibst die Rechte von oben nach unten neu. Dazu musst Du die Vererbung auch einmal durchsetzen, damit die ACLs auf den Dateien und Verzeichnissen neu gesetzt werden. Stichwort AGDLP : http://en.m.wikipedia.org/wiki/AGDLP

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...