Frage zu Freigabeberechtigung "Ordner"

[marzli2 10]

hi,

 

im prinzip sind die freigabberechtigungen relativ simpel, aber jetzt kam ich doch ins trudeln

 

 

--------------------------

beispiel:

 

GRUPPE:

fileADMINS

enthält user01-user05

 

ich habe jetzt eine freigabe auf einem server. berechtigungen:

fileadmins - vollzugriff

user05 - lesen verweigern

--------------------------

 

user05 hat jetzt logischerweise keinen zugriff?!

korrekt?

 

1. frage (ist es da egal, was ich verweigere? wenn er nicht lesen kann, kann er ja auch nicht ändern.....)

2. frage - wenn fileADMINS in die domänenadmin gruppe reinkommt. ist dies dann noch genauso oder kann user05 trotz lesen verweigern? hat die domänenadminzugehörigkeit solche auswirkungen?

[TriplexXx 10]

Hallo.

Soweit ich weiss addieren sich die Rechte bei Ordnerfreigaben.

Also ist eine Verweigerung das Prioriesierende und dein User kann nicht mehr drauf zugreifen.

Auch als Domänen-Admin dürfte dies meines Wissens nach nicht gehen. (man muss ja auch der Gruppe Domänen-Admins was verweigern können)

 

Gruß

Andreas

[marzli2 10]

noch jemand, der aufschluss bestätigen oder geben kann?

[Martina 10]

du müsstest testen - ich geh mal davon aus, dass dein user keinen zugriff hat, weil ja zugriffsverweigerung meines wissens immer erstrangig ist

LG

Martina

[IThome 10]

Verweigern kommt normalerweise vor erlauben. Wird einem User etwas verweigert, ist es egal, in wievielen Gruppen er sich befindet, denen der Zugriff erlaubt wird. Im NTFS-System zum Beispiel gilt aber auch , dass ein explizites Erlauben ein ererbtes Verweigern überschreibt.

[Alphaville2000 10]

Moin,

 

es gelten die restrektiven Zugriffsberechtigungen.

In diesem Fall wird User1 seine vollen Zugriffsrechte behalten.

User5 hingegen wird das Lesen und alle "übergeordneten" Berechtigungen (Ändern, Schreiben etc.) verweigert. Hier gilt: Verweigern hat vorrang vor Zulassen.

Das einzige wo ich mir nicht ganz sicher bin, sind die "untergeordneten" Berechtigungen wie

Ordnerinhalt auflisten. Ich denke...weiss es allerdings nicht genau...dürfte User5 z.B. den

Ordnerinhalt auflisten. Würde ich mal testen. Oder hat jemand auf anhieb eine Antwort.

[IThome 10]

Wenn er über eine Freigabe zugreift, gelten in diesem Fall die Berechtigungen der Freigabe (ausgehend vom "Einprungspunkt"), weil sie am restriktivsten sind. Hat er also Lesen Verweigern, hat er im gesamten Baum unterhalb der von ihm angesprungenen Freigabe Lesen verweigern, egal was im NTFS konfiguriert wurde . Grundsätzlich gilt (auch bezogen auf NTFS)

1. Gruppenberechtigungen sind kumulativ

2. Verweigern kommt vor Erlauben

3. Die am meisten restriktive Berechtigung ist die effektive (Freigabe/NTFS)

4. Eine explizite Berechtigung überschreibt eine ererbte Berechtigung (NTFS)

War da noch was ?

[marzli2 10]

m.E. ist das alles

[IThome 10]

Und deswegen ist es klüger, die Freigabeberechtigung auf "Authentifzierte Benutzer - Vollzugriff" z.B. zu stellen und den Rest ausschliesslich über NTFS zu regeln, da es sehr viel flexibler ist und man nur noch an einer Stelle suchen muss, wenn es nicht klappt. Bei FAT32 bleibt einem ja nichts anderes übrig, als die Berechtigungen via Freigabeberechtigungen zu konfigurieren.

[marzli2 10]

stimmt. und bevorzugt besser keine gruppen bzw. user in die ntfs rechte eintragen als einzutragen und mit beschränkungen zu versehen . nur falls nicht anders möglich

 

ich sehe das jetzt so richtig: wer nicht in den ntfs rechten steht, hat auch keinen zugang. von daher besser als einzufügen und dann zu beschränken ;)