Jump to content

Berechtigungsproblem - grüne Ordner


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Folgendes Problem:

 

Unseren Administrator hat man zwei Wochen vor Ende seiner Probezeit rausgeschmissen - und nun steh ich hier mit dem Mist. Eigentlich bin bzw. war ich ja nur mit dem First-Level Support beauftragt, nun hab ich aber auch die ganze Systemadministration am Hals. Ich kenn mich zwar ein bischen aus, aber sobald ans Eingemachte geht steh ich meistens relativ schnell relativ doof da. So auch jetzt.

 

Auf unserem Fileserver hat jede Abteilung einen Ordner in dem die Daten ablegen können. Eine Abteilung ist mehr oder weniger aber eine externe Firma, deshalb haben die irgendwie spezielle Berechtigungen. Jedenfalls ist deren Ordner im Explorer schonmal grün gefärbt (also die Schrift). Das hat - soweit bin ich schon gekommen - irgendwas mit Datenverschlüsselung zu tun hat.

 

Wenn der User dieser Abteilung (die haben nur einen Sammeluseraccount mit dem sich alle anmelden) unter diesem Ordner einen weiteren Unterordner erstellt ist dieser auch grün. Ebenso alle darin erstellten Dateien. Dieser eine User kann die Dateien auch öffnen, soweit kein Problem.

 

Nun muss aber ein anderer User aus einer anderen Gruppe ebenfalls Zugriff auf diesen Ordner haben. Soweit auch kein Problem, den Zugriff auf die Ordner bekommt der User auch gewährt wenn ich die Berechtigungen dafür vergebe.

 

Nur wenn dieser andere User nun versucht Dateien in diesen grünen Ordnern zu öffnen (in diesem Fall war's ein PDF), dann gibt's eine Zugriff verweigert Meldung im Acrobat Reader und das war's. Auch ich mit meinem Benutzerprofil (u.a. bin ich auch in der Gruppe Domänen-Admins, sollte also relativ weitreichende Rechte haben) kann die Datei nicht öffnen. Mit dem Administrator geht's jedoch.

 

Komisch ist aber auch dass wenn ich mit dem Administrator in diesem Ordner einen Unterordner erstelle ist der auch sofort grün, also irgendwie verschlüsselt.

 

Was ist da vermurkst, kann mir da wer helfen?

Link zu diesem Kommentar
Folgendes Problem:

 

 

 

 

Nun muss aber ein anderer User aus einer anderen Gruppe ebenfalls Zugriff auf diesen Ordner haben. Soweit auch kein Problem, den Zugriff auf die Ordner bekommt der User auch gewährt wenn ich die Berechtigungen dafür vergebe.

 

 

Komisch ist aber auch dass wenn ich mit dem Administrator in diesem Ordner einen Unterordner erstelle ist der auch sofort grün, also irgendwie verschlüsselt.

 

Was ist da vermurkst, kann mir da wer helfen?

 

hi,

 

wie versucht denn der user, auf die datei zuzugreifen (lokal oder freigabe). letzteres geht nämlich nicht.

 

das mit der automatischen verschlüsselung des erstellten unterordners ist normal. das hängt von den attributen des übergeordneten ordners ab.

 

gruß

 

heinzelrumpel

Link zu diesem Kommentar

Der User greift direkt auf den Ordner bzw. auf die Datei auf dem Fileserver zu, sprich über eine Freigabe. Wieso geht denn das nicht? Irgendwie muss der ja Zugriff auf die Datei bekommen, das muss doch möglich sein.

 

Anders gefragt: Wie stellt man denn diese automatische Verschlüsselung von Ordnern ab? Das ist nämlich ziemlich ungünstig, ich kann die Datei unter meinem Profil (wie gesagt, theoretisch gesprochen mit Domänen-Admin Rechten) nicht einmal kopieren, da gibts auch sofort eine Fehlermeldung.

Link zu diesem Kommentar

Mit den Verschlüsselungen hab ich noch nicht gearbeitet, ausstellen kannste die am "obersten" Ordner der Struktur. Rechte Maustaste drauf und neben den Atributten Versteckt und Archiv auf "Erweitert" da kannste die Komprimierung und die Verschlüsselung an und ausstellen.

 

Mir fällt gerade nur ein Grund ein warum ein Admin eine Datei/Ordner nicht öffnen/verschieben kann und das ist wenn er nicht der "Besitzer" ist und keine Rechte drauf hat.

 

Unter den Sicherheitseinstellungen (wieder rechts auf den Ordner) kannst du (wieder) unter Erweitert den "Besitz übernehmen". Aber irgendwas sagt mir das klemmt bei dir woanders.

 

Gib doch mal der gesamten Ordner Struktur die Berechtigung "Authentifizierte Benutzer" das heißt jeder der Domäne bekannte User kann auf den Ordner und dessen Unterordner zugreifen WENN er den durch die "Freigabe Berechtigung" durchkommt. Hier würde ich steuern wer druff darf und wer nicht.

 

Das ganze funktioniert natürlich nicht wenn alle mit dem Ordner "freigabe" verbinden und dort in die jeweiligen Unterordner kommen müssen. Das funzt nur wenn du die Ordner selber Freigibst.

 

Ne Lösung ist das nicht aber vielleicht eine Gedankenanregung ? mehr Info ?

 

der Path

Link zu diesem Kommentar

hi,

 

verschlüsselte dateien können nicht freigegeben werden.

nur derjenige, der die datei verschlüsselt hat, kann sie auch wieder entschlüsseln. ausnahme: der wiederherstellungs-agent in der domäne, bzw. der admin lokal in einer arbeitsgruppe. zum lesen einer verschlüssleten datei ist der private schlüssel des verschlüsselers notwendig.

 

 

heinzelrumpel

Link zu diesem Kommentar

... erstens sei mal angemerkt, dass es schon seinen Grund haben wird, dass die

Ordner der Abteilungen verschlüsselt sind und irgendwelche Experimente mit

den Ordnern/Dateien würden das Sicherheitskonzept aufweichen, oder gar

zunichte machen.

 

Korrekt ist, dass ein neuer Ordner unterhalb eines verschlüsselten Ordners

ebenfalls verschlüsselt wird, weil hier die Vererbung greift - selbiges kann

man jedoch über die erweiterten Eigenschaften deaktivieren, wobei das

nicht viel nützt, denn der übergeordnete Ordner bleibt verschlüsselt und

somit haben externe keinen Zugriff darauf.

 

Als einfachste Lösung möchte ich anfügen, dass ein neuer Ordner angelegt

und freigegeben wird - nennen wir ihn exemplarisch Austausch. In selbigen

sind alle öffentlichen Dateien der User abzulegen und sie somit anderen,

externen Usern zur Verfügung zu stellen.

 

Des weiteren ... der Administrator ist automatisch RecoveryAgent und kann

daher die Dateien entschlüsseln. Jedoch kann man andere User auch die

Berechtigung, in Form eines Zertifikates, zuweisen.

 

Gruß

Marco

Link zu diesem Kommentar

*grinst nur zum Heinzel rüber*

 

@Marco der Kamerad schrieb ja zuvor der Admin wurde 2 Wochen vor Probezeitende gefeuert, das kann nur zwei Gründe haben:

 

a) der Cheffe hat gemerkt das nen Admin einfach zu teuer ist

b) der Admin hat nicht den gwünschten "effekt" erbracht, um es mal vorsichtig zu formulieren

 

Bleibt die Frage, müssen die Ordner nun verschlüsselt sein ? oder dachte sich der Admin Grün sieht toll aus, respektive Verschlüsselung hört sich "wichtig" an ???

 

Ich denke der gute Cypher hat nun soweit alles Infos die die eine oder andere Entscheidung belegen sollte ??

 

liebe Grüße, der Path

Link zu diesem Kommentar
Das ganze funktioniert natürlich nicht wenn alle mit dem Ordner "freigabe" verbinden und dort in die jeweiligen Unterordner kommen müssen. Das funzt nur wenn du die Ordner selber Freigibst.

 

Wie der Teufel es so will, genauso ist es bei uns :D

 

Ist aber auch nur halb so schlimm, denn...

 

Mit den Verschlüsselungen hab ich noch nicht gearbeitet, ausstellen kannste die am "obersten" Ordner der Struktur. Rechte Maustaste drauf und neben den Atributten Versteckt und Archiv auf "Erweitert" da kannste die Komprimierung und die Verschlüsselung an und ausstellen.

 

... dies hat schon geholfen. Auf dem einen Ordner hab ich einfach die Verschlüsselung rausgenommen und schon gehts.

 

Vielen Dank für die Tipps.

Link zu diesem Kommentar
Korrekt ist, dass ein neuer Ordner unterhalb eines verschlüsselten Ordners

ebenfalls verschlüsselt wird, weil hier die Vererbung greift - selbiges kann

man jedoch über die erweiterten Eigenschaften deaktivieren, wobei das

nicht viel nützt, denn der übergeordnete Ordner bleibt verschlüsselt und

somit haben externe keinen Zugriff darauf.

 

Sicher?

 

Genau das habe ich nämlich gerade gemacht und es geht doch. Den untergeordneten Ordner habe ich "entschlüsselt" und nun habe ich auch mit dem anderen User und meinem Account Zugriff auf die Daten. Der übergeordnete Ordner ist nach wie vor verschlüsselt.

 

Was das alles mit der Verschlüsselung soll - fragt mich bloß nicht. Kann gut sein dass mein Ex-Kollege die grünen Ordner cool fand. Sinn sehe ich da nämlich keinen drin. Die haben zwar Personalklamotten in ihrem Ordner auf die wir keinen Zugriff haben sollen, weil diese Abteilung im Grund eine externe Firma ist, aber wieso muss dann der gesamte Abteilungsordner verschlüsselt werden? Dann würde ja auch ein Ordner mit den Personalsachen reichen.

 

Ihr seht schon, ich steh hier vor nem ziemlichen Trümmerhaufen. Im übrigen trifft hiervon

a) der Cheffe hat gemerkt das nen Admin einfach zu teuer ist

b) der Admin hat nicht den gwünschten "effekt" erbracht, um es mal vorsichtig zu formulieren

eigentlich beides zu... offiziell war's die schlechte Auftragslage... naja... und inoffiziell eher Punkt B. Weshalb ich nun die Suppe auslöffeln muss und die Arbeit von zweien zu erledigen habe (für's alte Gehalt versteht sich natürlich von selbst) kapier ich momentan auch noch nich so ganz...

Link zu diesem Kommentar

@Path

Der Kamerad schrieb aber auch, dass es sich bei den Abteilungen

eigentlich um Firmen handelt und wenn ich meine Daten irgendwo ablege,

dann möchte ich ganz bestimmt nicht, dass andere Firmen evtl. Zugriff

auf sensitive Daten haben. Egal, ob der Admin eine Hupe, oder einfach

nur zu teuer ist! :D :D :D

 

Wie dem auch sei ... dem Cypher ist vorerst geholfen. That's it.

 

Gruß

Marco

Link zu diesem Kommentar

Kann man dir nur viel Glück wünschen *g* Wenn du fragen hast weißt du ja wo ^^

 

Kläre erstmal die Sicherheitsfrage ob sowas wie Verschlüsselungen überhaupt sein muss.

 

Oft ist weniger mehr und wenn ich ehrlich bin ... ist das sehr oft der Fall =)

 

Versuch dir vorher ein ordentliches Konzept zurechtzulegen was die Verzeichnisse und Berechtigungen angeht und setz das dann nach besten Gewissen um. Grundsätzlich müsstest du mit den Freigabe- Berechtigungen schon alles einschränken können was das saubere trennen von "externen" Firmen angeht. Außer du vermutetst einen Hacker in den eigenen Reihen *fg*

 

Ich denke mal das du mit den Standard- Bordmitteln am besten bedient bist.

 

mfg der Path

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...