Jump to content
Dieses Thema

NTFS-Berechtigungshierarchie beginnend mit Datenträger

letsencrypt
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

letsencrypt Rookie

letsencrypt   0

Geschrieben
Geschrieben (bearbeitet)

Hallo zusammen,

 

ich erstelle zur Zeit ein neues Berechtigungs-/Sicherheitskonzept für das interne Windows-Netzwerk. Folgendes möchte ich auf einem Domänen-Server (stellt u.A. Netzwerkfreigaben bereit) realisieren:

 

Auf dem Datenträger (somit 1. Hierarchieebene, nicht die Systemfestplatte) sollen nur noch die absolut notwendigsten NTFS-Berechtigungen gelten. Vorhanden sind aktuell noch

- System (Vollzugriff)

- Domänen-Administratoren (Vollzugriff)

- Authentifizierte Benutzer (Vollzugriff)

 

Authentifizierte Benutzer würde ich gern entfernen - tue ich dies, so habe ich (als Domänen-Admin) keinen Zugriff mehr auf den Datenträger. Wieso? Muss der Eintrag bleiben?

 

Was empfehlt ihr, auf der obersten Hierarchieebene für NTFS-Berechtigungen zu setzen? Alle Unterverzeichnisse sollen erben und nur bei Bedarf zusätzliche NTFS-Berechtigungen erhalten.

 

Edit: Ich vergaß: Kennt einer die Standard NTFS-Berechtigungen, die ein frisch eingebundener Datenträger (auf einem Serversystem) erhält?

 

Danke und viele Grüße

letsencrypt

bearbeitet von letsencrypt
NilsK Grand Master

NilsK   2.991

Geschrieben
Geschrieben

Moin,

 

Domänen-Administratoren willst du da nicht haben. Die sollen die Domäne administrieren und keine Fileserver.

 

Lass die lokale (!) Gruppe Administratoren in der Liste. Effektiv entfernen kannst du sie ohnehin nicht, denn sie wird sich den Zugriff immer verschaffen können. Also lass sie gleich drin, das macht es klarer. Das System sollte auch zugreifen können.

 

Alles Weitere hängt dann schon von den Anforderungen des Unternehmens ab. Wenn etwa "Authentifizierte Benutzer" (oder die lokale Gruppe "Benutzer") keine Leserechte hat, können normale Anwender nicht durch die Verzeichnisse navigieren. Das kann aber auch gewünscht sein - also Anforderungen definieren, dann auf Testsystemen prüfen, wie man diese sinnvoll umsetzt. Empfehlung dazu: Haltet das simpel und plant nichts, was über "Lesen", "Ändern" und "Vollzugriff" hinausgeht, auch wenn NTFS das theoretisch ermöglichen würde.

 

Das von dir beobachtete Verhalten liegt an UAC.

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Gruß, Nils

 

letsencrypt Rookie

letsencrypt   0

Geschrieben
  • Autor
Geschrieben
  Am 11.7.2019 um 13:40 schrieb NilsK:

Moin,

 

Domänen-Administratoren willst du da nicht haben. Die sollen die Domäne administrieren und keine Fileserver.

 

Lass die lokale (!) Gruppe Administratoren in der Liste. Effektiv entfernen kannst du sie ohnehin nicht, denn sie wird sich den Zugriff immer verschaffen können. Also lass sie gleich drin, das macht es klarer. Das System sollte auch zugreifen können.

 

Alles Weitere hängt dann schon von den Anforderungen des Unternehmens ab. Wenn etwa "Authentifizierte Benutzer" (oder die lokale Gruppe "Benutzer") keine Leserechte hat, können normale Anwender nicht durch die Verzeichnisse navigieren. Das kann aber auch gewünscht sein - also Anforderungen definieren, dann auf Testsystemen prüfen, wie man diese sinnvoll umsetzt. Empfehlung dazu: Haltet das simpel und plant nichts, was über "Lesen", "Ändern" und "Vollzugriff" hinausgeht, auch wenn NTFS das theoretisch ermöglichen würde.

 

Das von dir beobachtete Verhalten liegt an UAC.

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Gruß, Nils

 

Mehr  

Moin und danke, Die Domänen-Administratoren habe ich entfernt. Stattdessen habe ich eine Gruppe "Dateiserver Administration" erstellt und dieser Vollzugriff erteilt. Das mit der UAC ist interessant und mithilfe der Gruppe "Dateisystem Administration" wird entsprechend das Explorer Problem umgangen. Danke dafür.

 

Aktuell sieht die oberste Ebene (der Datenträger) wie folgt aus bezügl. NTFS:

SYSTEM - Vollzugriff

Administratoren (Domäne\Administratoren) - Vollzugriff

Dateiserver Administration - Vollzugriff

 

Das einfache User nicht durch die Verzeichnisstruktur navigieren können, ist gewollt. Lediglich auf die tatsächlichen Freigaben erhalten diese NTFS-Rechte.

  Am 11.7.2019 um 14:22 schrieb MurdocX:

Bist du Dir im Klaren was "Vollzugriff" bedeutet? Dürfen Benutzer Berechtigungen ändern?

Mehr  

Vollzugriff ermöglicht die Besitzübernahme von Ordnern/Dateien. Das ist mir bekannt und wird für einfache Benutzergruppen anders gehandhabt - hier werde ich dedizierte Berechtigungen vergeben. Danke. 

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...