Fileserver Berechtigung

[KingBods 10]

Ja wo fange ich an, ich versuche erst einmal  die Situation zu beschreiben bzw. meine Erkenntnisse dazu und dann stelle ich die Fragen.

Situation:

Domäne Fileserver mit Abteilungsordnern.

Jede Abteilung hat einen Eigenen Ordner und in diesem Ordner sind dann wieder Unterordner nach dem Schema

 

Festplatte

  |-- Abteilung 1

        |-- Abteilung 1 Ablage

        |-- Abteilung 1  Mitarbeiter

        |-- usw.

Bis dahin ist alles klar, der Standardnutzer mit dem Recht Ordner Abteilung 1 zu benutzen, kommt drauf und kann halt was machen. Diese Struktur ist von uns vorgegeben und der Standardnutzer kann die Rechte nicht ändern.

 

Jetzt legt der Standardnutzer aber in seinem Unterordner einen neuen Ordner an und ist somit Besitzer von diesem Ordner. Er kann über den Reiter Rechte die Berechtigungen jetzt neu setzten bis hin zum Verweigern. Das ist natürlich nicht im Sinne des Erfinders und auch nicht gewollt. Es sollen nur die Berechtigungen die von oben vererbt wurden zählen.

 

Wenn ich als Administrator den Besitz des Ordners übernehme kann der  Standardnutzer jetzt zwar noch die Rechte in seinem neuen Ordner sich anzeigen lassen, aber er kann Sie nicht mehr ändern.

 

Ich zerbreche mir schon seit Tagen den Kopf wie das elegant gelöst werden kann.

Dem Standardnutzer soll natürlich weiterhin die Möglichkeit gegeben werden eigene Ordner in „seinem“ Verzeichnis zu erstellen, als Grundaussage „ab der 3 Ebene können die Nutzer/Abteilung machen was sie wollen in ihren Verzeichnissen. Aber sie dürfen nicht an den Rechten rumschrauben.

 

Lösungsansatz 1:

Täglich den Besitzer der Ordner und Dateien  auf dem Fileserver  als Administrator übernehmen. Ist aber irgendwie doof,  da dort ja schon unter Umständen die Berechtigungen verbogen sind.

 

Lösungsansatz 2:

Wenn jemand einen neuen Ordner erstellt, diesen sofort und automatisch zum Besitz des Administrators machen. Hab ich aber noch nichts dazu gefunden und ich glaube ist auch nicht wirklich so vorgesehen.

 

Lösungsansatz 3:

Domänenweit der Gruppe Standardnutzer die spezielle Berechtigung „Berechtigung ändern“ sperren.

Ich denke das ist die eleganteste Art, aber ich habe keinen Plan wo ich das machen kann.

 

Also die Frage ist einfach, wie kann ich verhindern das ein Standardnutzer ab der dritten Ebene an den Rechten rumschrauben kann, wenn er einen neuen Ordner erstellt.

 

Vielleicht ist ja auch noch ein ganz anderer Lösungsansatz der Bringer und ich hab das nur noch nicht betrachtet.

 

Für Eure Hilfe bin ich wie immer dankbar.

KingBods

 

PS: Sollte es doch nicht ins Security Forum passen, dann bitte verschieben. Danke.

 

[testperson 1.677]

Hi,

 

das einfachste dürfte sein, den Nutzern keinen NTFS Vollzugriff zu geben sondern maximal Ändern. Ebenfalls dann "ERSTELLER-BESITZER" aus den Berechtigungen entfernen.

Du könntest ebenfalls noch überlegen einen Ordner "Daten" zu erstellen und diesen per Freigabe mit ABE bereitzustellen. Darunter dann die Abteilungs-Ordner mit den entsprechenden Berechtigungen anlegen. So hast du nur eine Freigabe für alle und jeder sieht nur das was für ihn gedacht ist.

 

Gruß

Jan

[NilsK 2.934]

Moin,

 

erteile auf der übergeordneten Freigabe nur das Recht "Ändern", nicht "Vollzugriff". Dann können Benutzer die Berechtigungen auf keinen Fall ändern, auch wenn sie Besitzer sind.

 

[Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
http://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

 

Dort insbesondere ganz unten unter "Die eine Ausnahme".

 

Gruß, Nils

[KingBods 10]

Danke für die Antworten, werd das mal in Ruhe durcharbeiten und dann berichten

[KingBods 10]

So, hab es mal auf "Herz und Nieren" geprüft und es funktioniert :D

Danke für die Hilfe

[NilsK 2.934]

Moin,

 

prima, danke für die Rückmeldung!

 

Gruß, Nils