Berechtigungen W2K AD

[erichert 10]

Moin!

 

Habe das Problem, dass in einem Verzeichnis jeder Benutzer schreiben, erstellen und ändern können soll. Das Löschen soll aber nur den Administratoren und dem Geschäftsführer möglich sein.

 

Ich habe sämtliche Beiträge seit einigen Stunden (bin schon früh auf) durchgeforstet und habe sie teilweise ausprobiert, aber W2K-Server machen das irgendwie nicht so richtig mit.

 

Was ist in den Details der Berechtigungen der Unterschied zwischen "Löschen" und "Unterordner und Dateien löschen"?

 

Ich kann selbst bei einer Verweigerung dieser Berechtigung keine passen Lösung realisieren. Irgendwie funktioniert die Microsoft-Logik anders als meine...

 

Für Hilfe wäre ich sehr dankbar...

 

mfg,

 

E. Richert

[deubi 10]

Verweigerungen solltest Du möglichst vermeiden. Das sollte auch ohne Verweigerungen zu machen sein.

 

Du hast 2 Ebenen zu kontorllieren:

die Freigabeebene (Sharing)

und die Dateiberechtigungen (NTFS)

Beides Kannst Du über die Eigenschaften des betreffenden Ordners / Datei kontrollieren oder ändern, sofern Du dazu die Berechtigung hast.

 

Bei Zugriff auf Shares nehme ich an, dass Änderungen der Berechtigungen erst greifen, wenn die Benutzer neu connectet haben....

 

Die aktuellen Connections siehst Du, wenn Du:

 

rechtsklick auf "my computer" -manage

dann "shared folders \ session"

hier kannst Du die verbundenen User nötigenfalls auch "rauskicken".

[erichert 10]

Das Problem ist, das auf einem übergeordneten Ordner die Freigabe liegt.

 

Dies ist ein untergeordneter Ordner mit einer Vollzugriff-Freigabe. Die Nicht-Löschen-Option wollte ich über die Sciherheitseinstellungen und Zugriffsberechtigungen auf NTFS-Dateiebene vergeben.

 

 

E. Richert

[deubi 10]

Original geschrieben von erichert

... Die Nicht-Löschen-Option wollte ...

 

E. Richert

 

das klappt so nicht. Wenn jeder Vollzugriff hat, kann auch jeder den Schreibschutz aufheben. Oder habe ich was falsch verstanden...?

 

Die User brauchen vermutlich nur schreib-und leserecht?

"Deny" brauchts so eigentlich nirgends

[erichert 10]

Nee, nicht verstanden!

 

Auf Freigabe-Ebene habe ich den Vollzugriff. Das heißt ja dann, entsprechend den Berechtigungen auf Dateiebene (NTFS) sind dann auch die Zugriffsmöglichkeiten.

 

Oder verstehe ich Microsoft nicht? Wäre nicht das erste mal...

 

E. Richert

[deubi 10]

Du liegst schon richtig. Die Freigabe- und NTFS-Berechtigungen wirken zusammen; NTFS-Vollberechtigung würde nichts helfen, wenn Share-Berechtigung nur "readonly" wäre. Andersrum:

Wenn Du auf beiden Vollzugriff konfiguriert hast, dann hast Du... Vollzugriff.

 

Falls Du die NTFS-Berechtigung ändern willst, musst Du die Vererbung (Inheritance) auf dem übergeordneten Ordner deaktivieren. Ich nehme an, dass Dein Problem hier liegt?

[BABA 11]

Freigaberechte und NTFS Rechte wirken in der Summe so wie

deubi schon beschrieben hat.

 

Solltest Du die Untergeordneten Ordner verschieden mit Rechten versehen wollen geht dies nur in dem Du die Vererbung ausschaltest und dann explizit die NTFS Rechte auf Deine beiden Gruppen vergeben solltest.

 

Gruß

Baba

[erichert 10]

Habe ich auch gedacht. Aber ich habe dem betroffenen Ordner die Übernahme von übergeordneten Berechtigungen entzogen. Lt. MS-KB geht das genauso.

 

Die Vererbung vom übergeordneten Ordner muss bestehen bleiben, da sich eine Menge anderer Daten vorhanden ist. Eine Umstrukturierung wäre doof, da ein Handbuch per eMail schon verteilt wurde. Leider wurde nicht ausgiebig getestet (Mein Fehler!)

 

E. Richert

[deubi 10]

Original geschrieben von erichert

Die Vererbung vom übergeordneten Ordner muss bestehen bleiben, da sich eine Menge anderer Daten vorhanden ist. Eine Umstrukturierung wäre doof, da ein Handbuch per eMail schon verteilt wurde. Leider wurde nicht ausgiebig getestet (Mein Fehler!)

 

Daten?

das einzige, was auf diesem Weg vererbt wird, ist die ACL (access control List), also genau das, was Du anpassen willst. Wenn Du die Vererbung auf dem übergeordneten Ordner löschst, setzt er sie zurück. Dann vergibst Du explizit die Berechtigungen, die gebraucht werden.

[BABA 11]

Der Unterschied zwischen Löschen und Unterordner und Dateien löschen ist:

Löschen bezieht sich auf nur den Ordner

Unterordner und Dateien löschen bezieht sich auf die Struktur des Ordners

 

Wenn Du die Vererbung nicht deaktivieren willst kommt nur eine explizite Zuweisung von Rechten in Frage. Was aber der schlechtere Weg ist, wenn es sich jedoch nicht vermeiden lässt mußt Du es so machen.

 

Gruß

Baba

[erichert 10]

Ich vererbe ja - innerhalb dieses Ordners!

 

Danke für Eure Tips - bei mir funktioniert's nicht!

 

Ich werde mal versuchen, diese Situation in einem anderen Netzwerk nachzustellen!

 

E. Richert

[grizzly999 11]

Vielleicht leigt dein Fehler in der Logik hier:

schreiben, erstellen und ändern

'Ändern' beinhaltet das Löschen. Wenn jemand nicht Löschen können soll, dann wie deubi schon sagte, Lesen(+Ausführen) und Schreiben, aber nicht Ändern

 

 

grizzly999

[erichert 10]

Das muss ich überflogen haben - das wird's bestimmt sein! Ich kann dann auch nicht ändern! :D

 

Wenn ich dann ausführen aktiviere, kann ich die Dateien auch geändert abspeichern?

 

Die User dürfen keine Dateien löschen! Das ist superwichtig!

 

E. Richert

[erichert 10]

So!

 

Ich habe das jetzt mit Ausführen probiert. Funktionierte auch im ersten Moment ganz gut. Jetzt, ein paar Tage später, habe ich aber ein anderes Problem festgestellt: Ich kann, wenn ich ein Word- oder Excel-Dokument geöffnet habe, es nicht mehr unter einem anderem Namen speichern.

 

Jetzt habe ich wieder Ändern aktiviert. Ich kann zwar auch löschen, aber irgendwie ist das meinem Kunden jetzt egal. Diese Logik versteht er auch nicht - und alle meine Versuche, es zu erklären sind daneben gegangen.

 

Vielleicht hat irgend jemand noch eine Möglichkeit.

 

E. RIchert