Benutzerrechte über Gruppenrichtlinie

[Meenzer 10]

Hallo,

ich habe eine Problemstellung, welche ich gerne über die Gruppenrichtlinien lösen würde, ich weiss aber nicht ob's geht:

ich möchte gerne verhindern, dass Benutzer in unserem Netzwerk die Berechtigungen auf Ordner ändern können.

Der Hintergrund:

die Benutzer haben eigene Ordner, auf welche in Ihrer Organisationseinheit nur sie Zugriff haben (abgesehen von den Admins). Auf einem übergeordneten Ordner haben die User der OU alle Vollzugriff. Leider beinhaltet der Vollzugriff die Rechte Berechtigung lesen / ändern / Besitzrechte übernehmen. Dies war uns bei der Einrichtung damals nicht so bewusst bzw. wir haben nicht erwartet, dass ein User auf die Idee kommt Berechtigungen zu ändern, Fehler!!!! Wenn ein User der übergeordneten OU die Rechte weitervererbt hab ich natürlich auf den benutzereigenen Ordnern ein Problem, nämlich dass jetzt jeder der OU Vollzugriff auf die Ordner hat.

Meine Frage: ich möchte mir ersparen alle Berechtigungen aller OU's und Benutzer auf Ordner und Dateien manuell zu bearbeiten um zumindest Berechtigungen ändern/Besitz übernehmen zu verhindern. Kann ich das über eine Gruppenrichtlinie zentral machen????

 

Vielen Dank im Voraus für eure Antworten

[Operator 10]

Ich bin bezüglich deiner Wortwahl ein wenig irritiert.

Der Ort eines Benutzers im AD (also die zugehörige OU) hat normalerweise nichts zu tun mit effektiven NTFS Berechtigungen auf einem Fileserver. Dazu gibts es Sicherheitsgruppen. Höchstwahrscheinlich hast Du die Gruppierung der Benutzer in OU's und Sicherheitsgruppen gleichlautend erledigt.

 

Hast Du Deinen Usern Ordnern auf einem Fileserver Vollzugriff gewährt oder Vollzugriff auf OU's deines AD?

 

Am Fileserver reicht die Berechtigung Ändern statt Vollzugriff.

Ändern impliziert: Lesen, Schreiben, Dateien ändern, Neue Dateien erstellen, Dateien löschen

Also eigentlich alles, was ein Benutzer braucht, um seine tägliche Arbeit zu verrichten.

 

Im AD haben Benutzer generell nichts verloren (außer lesend).

 

Gruß

Andre

[Meenzer 10]

Hallo,

sorry wegen der Wortwahl, ist wohl wirklich missverständlich.

Meine Frage lässt sich eigentlich wie folgt auf den Punkt bringen:

kann ich Benutzern oder Gruppen (nicht OU's) per GPO Berechtigungen verweigern?

Konnte mich leider erst jetzt melden, war im Stress.

Danke

[Hirgelzwift 10]

mir ist kein weg bekannt das per GPO zu machen aber ich weis auch nicht alles. meiner meinung nach wirst du dich aber mit cacls vertraut machen müssen um die rechte von vollzugriff auf ändern zu setzen.

[IThome 10]

Du kannst schon Berechtigungen auf Ordner via GPO vergeben. Allerdings hat ein Benutzer, der einen Ordner oder eine Datei erzeugt, das Besitzrecht auf diese/n Datei/Ordner.Er kann, selbst wenn er eigentlich keine Berechtigungen vergeben darf, Berechtigungen auf Ordner und Dateien, die sich in seinem Besitz befinden, wahllos vergeben ...

[Hirgelzwift 10]

auch wenn du besitzer/ersteller aus den NTFS berechtigungsschema entfernst?

[lefg 276]

:dass Benutzer in unserem Netzwerk die Berechtigungen auf Ordner ändern können.

Wo befinden sich denn diese Ordner, auf den WS der Benutzer oder auf einem Fileserver?

[IThome 10]

auch wenn du besitzer/ersteller aus den NTFS berechtigungsschema entfernst?

Ja, auch dann ... Hat der Benutzer "Ändern"-Berechtigung, kann er erzeugen (ist also auch Besitzer)

[Hirgelzwift 10]

Ja, auch dann ... Hat der Benutzer "Ändern"-Berechtigung, kann er erzeugen (ist also auch Besitzer)

 

ändern ja, aber auch vollzugriff? kann er dann noch rechte auf andere setzen?

[IThome 10]

Ja, das kann er sogar, wenn der Administrator ihm sämtliche Berechtigungen verweigert ... Er hat den vollständigen Zugriff auf alles , wofür er Besitzer ist ...