letsencrypt 0 Geschrieben 11. Juli 2019 Melden Teilen Geschrieben 11. Juli 2019 (bearbeitet) Hallo zusammen, ich erstelle zur Zeit ein neues Berechtigungs-/Sicherheitskonzept für das interne Windows-Netzwerk. Folgendes möchte ich auf einem Domänen-Server (stellt u.A. Netzwerkfreigaben bereit) realisieren: Auf dem Datenträger (somit 1. Hierarchieebene, nicht die Systemfestplatte) sollen nur noch die absolut notwendigsten NTFS-Berechtigungen gelten. Vorhanden sind aktuell noch - System (Vollzugriff) - Domänen-Administratoren (Vollzugriff) - Authentifizierte Benutzer (Vollzugriff) Authentifizierte Benutzer würde ich gern entfernen - tue ich dies, so habe ich (als Domänen-Admin) keinen Zugriff mehr auf den Datenträger. Wieso? Muss der Eintrag bleiben? Was empfehlt ihr, auf der obersten Hierarchieebene für NTFS-Berechtigungen zu setzen? Alle Unterverzeichnisse sollen erben und nur bei Bedarf zusätzliche NTFS-Berechtigungen erhalten. Edit: Ich vergaß: Kennt einer die Standard NTFS-Berechtigungen, die ein frisch eingebundener Datenträger (auf einem Serversystem) erhält? Danke und viele Grüße letsencrypt bearbeitet 11. Juli 2019 von letsencrypt Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 11. Juli 2019 Melden Teilen Geschrieben 11. Juli 2019 Moin, Domänen-Administratoren willst du da nicht haben. Die sollen die Domäne administrieren und keine Fileserver. Lass die lokale (!) Gruppe Administratoren in der Liste. Effektiv entfernen kannst du sie ohnehin nicht, denn sie wird sich den Zugriff immer verschaffen können. Also lass sie gleich drin, das macht es klarer. Das System sollte auch zugreifen können. Alles Weitere hängt dann schon von den Anforderungen des Unternehmens ab. Wenn etwa "Authentifizierte Benutzer" (oder die lokale Gruppe "Benutzer") keine Leserechte hat, können normale Anwender nicht durch die Verzeichnisse navigieren. Das kann aber auch gewünscht sein - also Anforderungen definieren, dann auf Testsystemen prüfen, wie man diese sinnvoll umsetzt. Empfehlung dazu: Haltet das simpel und plant nichts, was über "Lesen", "Ändern" und "Vollzugriff" hinausgeht, auch wenn NTFS das theoretisch ermöglichen würde. Das von dir beobachtete Verhalten liegt an UAC. [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß, Nils Zitieren Link zu diesem Kommentar
MurdocX 950 Geschrieben 11. Juli 2019 Melden Teilen Geschrieben 11. Juli 2019 Bist du Dir im Klaren was "Vollzugriff" bedeutet? Dürfen Benutzer Berechtigungen ändern? Zitieren Link zu diesem Kommentar
letsencrypt 0 Geschrieben 12. Juli 2019 Autor Melden Teilen Geschrieben 12. Juli 2019 vor 22 Stunden schrieb NilsK: Moin, Domänen-Administratoren willst du da nicht haben. Die sollen die Domäne administrieren und keine Fileserver. Lass die lokale (!) Gruppe Administratoren in der Liste. Effektiv entfernen kannst du sie ohnehin nicht, denn sie wird sich den Zugriff immer verschaffen können. Also lass sie gleich drin, das macht es klarer. Das System sollte auch zugreifen können. Alles Weitere hängt dann schon von den Anforderungen des Unternehmens ab. Wenn etwa "Authentifizierte Benutzer" (oder die lokale Gruppe "Benutzer") keine Leserechte hat, können normale Anwender nicht durch die Verzeichnisse navigieren. Das kann aber auch gewünscht sein - also Anforderungen definieren, dann auf Testsystemen prüfen, wie man diese sinnvoll umsetzt. Empfehlung dazu: Haltet das simpel und plant nichts, was über "Lesen", "Ändern" und "Vollzugriff" hinausgeht, auch wenn NTFS das theoretisch ermöglichen würde. Das von dir beobachtete Verhalten liegt an UAC. [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß, Nils Moin und danke, Die Domänen-Administratoren habe ich entfernt. Stattdessen habe ich eine Gruppe "Dateiserver Administration" erstellt und dieser Vollzugriff erteilt. Das mit der UAC ist interessant und mithilfe der Gruppe "Dateisystem Administration" wird entsprechend das Explorer Problem umgangen. Danke dafür. Aktuell sieht die oberste Ebene (der Datenträger) wie folgt aus bezügl. NTFS: SYSTEM - Vollzugriff Administratoren (Domäne\Administratoren) - Vollzugriff Dateiserver Administration - Vollzugriff Das einfache User nicht durch die Verzeichnisstruktur navigieren können, ist gewollt. Lediglich auf die tatsächlichen Freigaben erhalten diese NTFS-Rechte. vor 22 Stunden schrieb MurdocX: Bist du Dir im Klaren was "Vollzugriff" bedeutet? Dürfen Benutzer Berechtigungen ändern? Vollzugriff ermöglicht die Besitzübernahme von Ordnern/Dateien. Das ist mir bekannt und wird für einfache Benutzergruppen anders gehandhabt - hier werde ich dedizierte Berechtigungen vergeben. Danke. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.