KingBods 10 Geschrieben 22. Februar 2017 Melden Teilen Geschrieben 22. Februar 2017 Ja wo fange ich an, ich versuche erst einmal die Situation zu beschreiben bzw. meine Erkenntnisse dazu und dann stelle ich die Fragen. Situation: Domäne Fileserver mit Abteilungsordnern. Jede Abteilung hat einen Eigenen Ordner und in diesem Ordner sind dann wieder Unterordner nach dem Schema Festplatte |-- Abteilung 1 |-- Abteilung 1 Ablage |-- Abteilung 1 Mitarbeiter |-- usw. Bis dahin ist alles klar, der Standardnutzer mit dem Recht Ordner Abteilung 1 zu benutzen, kommt drauf und kann halt was machen. Diese Struktur ist von uns vorgegeben und der Standardnutzer kann die Rechte nicht ändern. Jetzt legt der Standardnutzer aber in seinem Unterordner einen neuen Ordner an und ist somit Besitzer von diesem Ordner. Er kann über den Reiter Rechte die Berechtigungen jetzt neu setzten bis hin zum Verweigern. Das ist natürlich nicht im Sinne des Erfinders und auch nicht gewollt. Es sollen nur die Berechtigungen die von oben vererbt wurden zählen. Wenn ich als Administrator den Besitz des Ordners übernehme kann der Standardnutzer jetzt zwar noch die Rechte in seinem neuen Ordner sich anzeigen lassen, aber er kann Sie nicht mehr ändern. Ich zerbreche mir schon seit Tagen den Kopf wie das elegant gelöst werden kann. Dem Standardnutzer soll natürlich weiterhin die Möglichkeit gegeben werden eigene Ordner in „seinem“ Verzeichnis zu erstellen, als Grundaussage „ab der 3 Ebene können die Nutzer/Abteilung machen was sie wollen in ihren Verzeichnissen. Aber sie dürfen nicht an den Rechten rumschrauben. Lösungsansatz 1: Täglich den Besitzer der Ordner und Dateien auf dem Fileserver als Administrator übernehmen. Ist aber irgendwie doof, da dort ja schon unter Umständen die Berechtigungen verbogen sind. Lösungsansatz 2: Wenn jemand einen neuen Ordner erstellt, diesen sofort und automatisch zum Besitz des Administrators machen. Hab ich aber noch nichts dazu gefunden und ich glaube ist auch nicht wirklich so vorgesehen. Lösungsansatz 3: Domänenweit der Gruppe Standardnutzer die spezielle Berechtigung „Berechtigung ändern“ sperren. Ich denke das ist die eleganteste Art, aber ich habe keinen Plan wo ich das machen kann. Also die Frage ist einfach, wie kann ich verhindern das ein Standardnutzer ab der dritten Ebene an den Rechten rumschrauben kann, wenn er einen neuen Ordner erstellt. Vielleicht ist ja auch noch ein ganz anderer Lösungsansatz der Bringer und ich hab das nur noch nicht betrachtet. Für Eure Hilfe bin ich wie immer dankbar. KingBods PS: Sollte es doch nicht ins Security Forum passen, dann bitte verschieben. Danke. Zitieren Link zu diesem Kommentar
testperson 1.692 Geschrieben 22. Februar 2017 Melden Teilen Geschrieben 22. Februar 2017 Hi, das einfachste dürfte sein, den Nutzern keinen NTFS Vollzugriff zu geben sondern maximal Ändern. Ebenfalls dann "ERSTELLER-BESITZER" aus den Berechtigungen entfernen. Du könntest ebenfalls noch überlegen einen Ordner "Daten" zu erstellen und diesen per Freigabe mit ABE bereitzustellen. Darunter dann die Abteilungs-Ordner mit den entsprechenden Berechtigungen anlegen. So hast du nur eine Freigabe für alle und jeder sieht nur das was für ihn gedacht ist. Gruß Jan Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.940 Geschrieben 22. Februar 2017 Beste Lösung Melden Teilen Geschrieben 22. Februar 2017 Moin, erteile auf der übergeordneten Freigabe nur das Recht "Ändern", nicht "Vollzugriff". Dann können Benutzer die Berechtigungen auf keinen Fall ändern, auch wenn sie Besitzer sind. [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]http://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/ Dort insbesondere ganz unten unter "Die eine Ausnahme". Gruß, Nils 1 Zitieren Link zu diesem Kommentar
KingBods 10 Geschrieben 23. Februar 2017 Autor Melden Teilen Geschrieben 23. Februar 2017 Danke für die Antworten, werd das mal in Ruhe durcharbeiten und dann berichten Zitieren Link zu diesem Kommentar
KingBods 10 Geschrieben 13. März 2017 Autor Melden Teilen Geschrieben 13. März 2017 So, hab es mal auf "Herz und Nieren" geprüft und es funktioniert :D Danke für die Hilfe Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 13. März 2017 Melden Teilen Geschrieben 13. März 2017 Moin, prima, danke für die Rückmeldung! Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.