Änderungen in den Freigabeberechtigungen von XP zu 2000?

[StyloThilo 10]

Hallo! Aufgrund einer Frage in meiner 70-290 Prüfung habe ich festgestellt, dass es offensichtlich in XP Änderungen in den Freigabeberechtigungen im Vergleich zu 2000 gibt!

 

In 2000 konnte man einem User die Freigabeberechtigung ÄNDERN Verweigern, Lesen wurde dadurch nicht automatisch auch verweigert. In XP wird das Feld LESEN automatisch auch verweigert, wenn man ÄNDERN verweigert!!!

 

Die Problemstellung in der Frage war:

Ein User ist Mitglied einer Gruppe, die auf eine Freigabe änderrecht hat. Dieser eine User soll aber NUR lesen haben! Ja da denkt man sich doch, verweigere ich dem das Änderrecht und gut is! Geht aber bei XP net! Da musste ich mit den speziellen Berechtigungen das Problem lösen, da kann man nämlich z.B. Dateien lesen erlauben, auch wenn die anderen Punkte(abgesehen von Vollzugriff) verweigert sind!

 

Jetzt ist die Frage: Soll das in XP so sein, und wenn dann warum????

[Perin 10]

Hi StyloThilo,

 

Die Verweigerung von Berechtigungen hat immer Vorrang und sollte nur in Ausnahmefällen eingesetzt werden. Die Berechtigung "Ändern" setzt sich aus den rechten "lesen" und "schreiben" zusammen. Wenn einem Benutzer "Ändern" verweigert wird, kann er weder lesen noch schreiben. Das war auch schon bei NT4 und W2K so.

 

Wenn ein Benutzer/eine Gruppe auf der Freigabe nur lesen soll, dann gibt man ihm die Berechtigung "Lesen". Wenn eine Gruppe die Berechtigung "Ändern" hat und ein Mitglied dieser Gruppe nur lesen soll, dann sollte man seine Gruppenstruktur überdenken ;) oder diesem Benutzer das schreiben verweigern (das geht natürlich nur bei den NTFS- nicht bei den Freigabeberechtigungen)

 

cu,

 

Perin

[StyloThilo 10]

Ja klar, aber bei 2000 wird das häkchen "LESEN" NICHT wie bei XP automatisch auch auf "Verweigern" gesetzt, wenn man "Ändern" auf Verweigern setzt.(Freigabeberechtigung) So kann man bei 2000 dann auch mit verweigerten Änderrecht in der Freigabe zumindest noch die ordner und dateien auflisten, solange man nicht auch das häkchen "Lesen" mit verweigert.

 

Naja is dann doch eher ein kleiner Unterschied, wirklich LESEN kann man auch bei 2000 dann ja nicht mehr! Alles klar!

 

Aber nocheinmal eine ganz allgemeine Frage die mir bisher noch niemand konkret beantworten konnte: Was ist bei der FREIGABEBERECHTIGUNG der Unterschied zwischen Änderrecht und Vollzugriff?

 

In meiner 70-290 habe ich die Simulation ja natürlich auch dadurch gelöst, dass ich dem User auf NTFS Ebene eingeschränkt habe, denn die Gruppenstruktur konnte man da natürlich nicht ändern!

[Christoph35 10]

Hi,

 

guck mal hier:

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/ee26f971-c9d4-444f-9622-d5d756229e5e.mspx

 

Full Control heißt, dass man auch die Berechtigungen ändern kann, das geht mit change (ändern) nicht.

 

Christoph

[StyloThilo 10]

Aja, jetzt hab ichs mal ausprobiert.

Wenn man in der Freigabe Vollzugriff hat, kann man für untergeordnete Ordner in der Freigabe die NTFS Berechtigungen ändern(sofern man NTFS mäßig die Rechte auch hat, is ja klar)

Man könnte ja denken, dass man durch Vollzugriff bei der Freigabe, die Berechtigungen der Freigabe ändern könne, aber das geht ja nun nich, is klar!

Eigentlich logisch! ;-)

[Christoph35 10]

Aja, jetzt hab ichs mal ausprobiert.

Wenn man in der Freigabe Vollzugriff hat, kann man für untergeordnete Ordner in der Freigabe die NTFS Berechtigungen ändern(sofern man NTFS mäßig die Rechte auch hat, is ja klar)

Man könnte ja denken, dass man durch Vollzugriff bei der Freigabe, die Berechtigungen der Freigabe ändern könne, aber das geht ja nun nich, is klar!

Eigentlich logisch! ;-)

 

 

Hast Du dir den Artikel genau durchgelesen?

 

Freigabe Vollzugriff->Ändern an den Shareberechtigungen möglich.

NTFS Vollzugriff->Ändern der NTFS-Berechtigungen möglich.

 

Wozu sollte es Vollzugriff auf die Freigabe geben, wenn damit das ändern der Freigabeberechtigungen nicht möglich sein sollte

 

Christoph

[StyloThilo 10]

Wenn man die Freigabeberechtigung VOLLZUGRIFF erteilt UND die NTFS-Berechtigung VOLLZUGRIFF hat, dann kann man auch über das Netz(also nicht lokal) die NTFS-Berechtigungen der Ordner in dieser Freigabe ändern!

[Christoph35 10]

Jo, das ist ja korrekt, aber das war nicht der Sinn meiner Frage ;). Ich hatte dich so verstanden, dass du meintest man könne mit ShareBerechtigung Full Access nicht die Share-Berechtigungen ändern. Du hattest Dich aber damit auf die NTFS Berechtigungen bezogen, was mir nicht so ganz klar war. :)

 

Christoph

[StyloThilo 10]

Also in meinen Tests konnte ich auch nicht die Share-Berechtigung ändern!

[Christoph35 10]

Jo, das ist richtig, habe das grad auch noch mal getestet.

 

Es sieht so aus, dass wenn die Freigabe- und die NTFS Berechtigungen sich unterscheiden, die restriktivere der beiden zieht. Deshalb brauchst du auch NTFS Full Access um Share-Berechtigungen zu ändern.

 

Zum Beispiel beim Windows 2003 Server ist die Default-Share Permission "everyone Read" (statt wie bei W2K everyone Full access). Wenn da nicht dran gedacht wird das zu ändern, können die User nur lesend auf einen Share zugreifen.

 

Christoph

[StyloThilo 10]

 

Es sieht so aus, dass wenn die Freigabe- und die NTFS Berechtigungen sich unterscheiden, die restriktivere der beiden zieht.

 

 

Jaja, das is klar!

 

 

Deshalb brauchst du auch NTFS Full Access um Share-Berechtigungen zu ändern.

 

 

Du meinst wohl eher, man braucht auch Share Full Access um NTFS-Berechtigungen zu ändern!

[Christoph35 10]

Das auch, aber du brauchst auch NTFS Full Permissions um Share Permissions ändern zu können (habs vorhin probiert).

 

Christoph

[StyloThilo 10]

Also ich kann auch mit NTFS-Vollzugriff die Freigabeber. NICHT ändern.(als ein Benutzer) Das Recht dazu wird wohl eher in den Sicherheitsrichtlinien definiert.Admins dürfen das z.B.

[Christoph35 10]

Ok, muß wohl irgendwie falsch getestet haben. Du hast recht :)

 

Christoph

[StyloThilo 10]

Also man sollte schon zumindest Hauptbenutzer sein um Freigaben zu machen! :)