Ordner, in dem Benutzer schreiben, aber nicht Rechte ändern darf

[Gast Iehova]

Hi,

 

gibt es eine Möglichkeit, einen Ordner bereitzustellen, in dem ein Benutzer ganz normal Dateien anlegen, löschen, aber nicht die Rechte für seine Dateien/Ordner ändern darf? Es sollen die übergeordneten Berechtigungen unverändert geerbt werden.

 

(Erste Versuche haben bei mir nicht geklappt: als Ersteller/Besitzer der Dateien hatte der Benutzer immer volle Rechte und konnte andere aussperren.)

 

Danke schonmal

[Hubert N 10]

So wie du dir das vorstellst wirds wohl nicht gehn. Deshalb mal die Frage, weshalb du an der Vererbung nichts ändern willst ?!

Deaktiviere die Vererbung, setze die Verzeichnisrechte so, dass der Benutzer das Recht zum ändern hat.

[Gast Iehova]

In den vererbten Rechten steht zB drin, dass der Admin noch reinschauen darf. Als Besitzer der Dateien kann er dieses Recht natürlich einfach rauslöschen. :-\

 

Auch wenn ich die Verzeichnisrechte ändere, ist der User immer noch Besitzer der Dateien und kann, soweit ich grizzly früher mal verstanden hab, tun und lassen, was er will.

 

Oder? Bin für alles offen..

[Hubert N 10]

Nicht ganz. Du musst dem User das Recht zum Schreiben geben. Ändern darf er nicht können. Ich habs hier gerade zur Sicherheit noch mal eben probiert :)

[Finanzamt 76]

Hi!

Wenn die Vererbung aktiv ist und die übergeordneren Berechtigungen einem User X das Ändern der (erweiterten*) Attribute verbieten, dann kann er da auch nichts dran ändern. Selbst wenn er eine Datei aus seinem HomeDir, auf die er dort Vollzugriff hat, in dieses Verzeichnis einkopiert, gehen seine Vollzugriffsrechte zugunsten den übergeordneten in der Verzeichnis-/Vererbungsstruktur verloren. Wenn Du das so eingestellt hast und der User X dennoch die erweiterten Attribute ändern kann, dann ist an Deinem System was oberfaul.

Gegrüßt!

* Sicherheitseinstellungen->Button "Erweitert"->Berechtigungseintrag User/UserGruppe doppelklicken->Feineinstellungen vornehmen.

[Gast Iehova]

Hi,

 

in der Windows-Hilfe steht: "Der Besitzer einer Datei oder eines Ordners kann jederzeit die zugehörigen Berechtigungen ändern, unabhängig von anderen Berechtigungen, mit denen die Datei oder der Ordner geschützt ist."

 

Das erfahre ich auch so. Ich kann ruhig "Jeder" den Vollzugriff _verweigern_ - man kann dann als Besitzer nichtmal öffnen. ABER man kann die Berechtigungen ändern.

 

Lösung wäre also den Benutzer nicht zum Besitzer zu machen. Aber mir ist nicht bekannt, wie das möglich wäre, wenn man NTFS benutzen will.

[Kette 10]

Nimm mal die Vererbung für den Ersteller/Besitzer raus, bzw beschneide mal diese Rechte. Also es gibt eine Gruppe, die heist Ersteller-Besitzer. Wenn ein User ein Document erstellt, dann gehört er dieser Gruppe an, wenn er das Document erstellt hat.

[grizzly999 11]

Diese Rechte sind IMHO hardcodiert und können nicht geändert werden.

 

grizzly999

[Kette 10]

Wenn die vererbung für den Ornder weg ist, kann man diese Rechte auch editieren und den Zugriff wegmachen. Man kann auch ohne Vererbung den Vollzugriff (der Vollzugriff gewährt zugang zur Rechtesteuerung) Verweigern und die anderen Rechte lassen.

[grizzly999 11]

Es ist so, wie ich es Iehova bestätigt habe: Der Besitzer hat immer die Berechtigung, die Berechtigung zu ändern, und dies kannst du ihm nicht nehmen, auch nicht mit NTFS-Berechtigungen. Und wenn er ein Objekt erstellt ist er Besitzer davon.

Man kann jetzt ständig versuchen auf alle Dateien und Ordner den Besitz zu übernehmen, damit ist die Berechtigung für den User weg, aber ansonsten ...

 

 

grizzly999

[Kette 10]

Also mein MCT hat mir da anderes gelehrt. Ich werde es morgen einfach mal testen. Will mich da nicht streiten, weil ich ja auch noch am Anfang zum MCSE stehe und du mit Sicherheit mehr Erfahrung hast, als ich ;-)

[Gast Iehova]

Werde mir Abmeldeskript mit cacls .... tippen. Das wird dann ja vom Besitzer ausgeführt. Mal gucken, was so geht.

 

Danke für eure Infos!

[raisu_de 10]

die vorherigen Post stimmen insofern, dass allein mit NTFS- Berechtigungen eine Lösung nicht möglich ist. Aber gab es da nicht noch was anderes ?

 

Ja genau !!! Die Berechtigung auf der Freigabe: Wenn hier als maximales Recht Ändern eingetragen ist, können selbst die Ersteller / Besitzer keinen Vollzugriff mehr erlangen.

 

Das ganze funktioniert nur dann wenn man über die Freigabe auf die Dateien zugreift. Haben die Benutzer die Möglichkeit auch noch lokal auf die Daten zu zugreifen, dann können sie die Berechtigungen wieder ändern ... .

 

Aber bei einem Fileserver geh ich mal davon aus, dass über ein gemountetes Share zugegriffen wird ...

 

schöne Grüße

[Gast Iehova]

@raisu: Kaum zu glauben, es klappt.. So einfach, und doch so effektiv.

 

Sehr sehr gute Idee, danke!

[raisu_de 10]

keine Ursache. Gern geschehen ... .

 

schöne Grüße