gruml 10 Geschrieben 28. Mai 2005 Melden Teilen Geschrieben 28. Mai 2005 Hi, ich bin gerade dabei AD und neue Fileserver in der Firma einzurichten. (Migration von Linux nach MS S2003, globale Vorgabe...). Eine Sache die mich bei den Freigaben etwas bedenklich stimmt, dass die User die NTFS Rechte auf den Freigaben nach Lust und Laune ändern können. Wir haben so ein paar Spezies die meinen dass ihre Daten so wichtig sind, dass sie unbedingt diese Schreibschützen müssten usw. Allerdings waren die Versuche früher unter Linux nicht sehr erfolgreich ;) Wie geht Ihr damit um? Lasst Ihr Eure User nach Lust und Laune an den Rechten schrauben? Das gibt im Laufe der Zeit doch ein vollkommen undurchsichtige Rechtestruktur. Ich habe als Test mal bei den NTFS Rechten den Haken bei "Berechtigung ändern bzw. erweiterten Atribute schreiben" rausgenommen, das hat aber nichts geändert. Der normale User darf immer noch auf der Freigabe Daten als schreibgeschützt markieren und ganze Zugriffsberechtigungen entfernen. Eine Idee wie man das erreichen kann? Handelt man sich damit evtl. andere Probleme ein (von technischer Seite) wenn User die Rechte nicht mehr ändern können? Das Archivbit muss ja meines Wissens von den Usern gesetzt werden können, oder? (Backupsoftware ist Veritas 9.1) Danke! Grüße gruml Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Mai 2005 Melden Teilen Geschrieben 28. Mai 2005 Wenn du die NTFS-Berechtigungen auf ÄNDERN setzt, dann können sie das nicht mehr auf alle Dateien und Ordner, sondern nur noch auf die Dateien und ordner, bei denen sie Besitzer sind. Diese Berechtigung lässt sich auch nicht ändeen, das ist hardcodiert. grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 28. Mai 2005 Melden Teilen Geschrieben 28. Mai 2005 Ich habe als Test mal bei den NTFS Rechten den Haken bei "Berechtigung ändern bzw. erweiterten Atribute schreiben" rausgenommen, das hat aber nichts geändert. Das stimmt soweit schon. Ich vermute mal, dass du die Option "Berechtigungen für alle untergeordneten Objekte durch die Angezeigten Einträge, sofern anwendbar, ersetzen" nicht ausgewählt und angewandt hast. Ausserdem werden Backup Programme vorzugsweise mit einem Dienstkonto ausgeführt. Ist das Dienstkonto mitglied der Gruppe Backup Operators oder der lokalen Administratoren Gruppe auf dem Fileserver, dann klappt's. @Grizzly Ähm sorry für die Frage, aber ich habe gerade einen Knoten im Kopf... Ist es nicht so, das wenn man "Ändern" für eine Grupp XYZ setzt, dann kann jeder in dieser Gruppe die Files ändern, auch wenn man nicht gerade Besitzer des Files ist. Für solche Vorhaben gibt es ja die vordefinierte Gruppe Owner/Creator.... Gruss Velius P.S.: @gruml Unter "Erweitert" musst du die Optionen "Berechtigungen ändern", "erweiterte Atribute schreiben" und "Besitzrechte übernehmen" rausnehmen, evtl. noch "Attribute schreiben", dann müsste das funktionieren. Das Archiv Bit wird übrigens vom Filesystem gesetzt, nicht vom User, allerdings gibt's da ja auch nichts zu setzen, wenn er nicht ändern darf. ;) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 29. Mai 2005 Melden Teilen Geschrieben 29. Mai 2005 @Grizzly Ähm sorry für die Frage, aber ich habe gerade einen Knoten im Kopf... Ist es nicht so, das wenn man "Ändern" für eine Grupp XYZ setzt, dann kann jeder in dieser Gruppe die Files ändern, auch wenn man nicht gerade Besitzer des Files ist. Für solche Vorhaben gibt es ja die vordefinierte Gruppe Owner/Creator.... Ja, mit Ändern kann man Ändern, aber nicht die Berechtigungen ändern, und darauf kam es ja an. grizzly999 Zitieren Link zu diesem Kommentar
gruml 10 Geschrieben 29. Mai 2005 Autor Melden Teilen Geschrieben 29. Mai 2005 Vielen Dank Euch beiden, dann weiss ich ja schon mal was nicht geht ;) Muss das ganze noch mal ein bischen durchtesten, bei 800GB Daten macht es keinen Spass die Rechte allzu oft zu ändern. Ist die Bearbietung der Rechte bei solchen Datenmengen über Kommandozeilentools eigentlich schneller? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.