aqua57

Ja, aber eben nur die Berechtigungen, die ich alle zusammen auf diesem Ordner über mein Konto oder Gruppenmitgliedschafen direkt vergeben oder verweigert bekomen habe. Dieser Spezialfall mit dem Unterordern löschen werten die effektiven Berechtigungen nicht aus, weil da eben kein Häkchen bei "Löschen" nach unten gegeben wird.

 

Im Prinzip dient die Anzeige "Effektive Berechtigungen" dazu, mir die Arbeit zu vereinfachen, wenn da mehrere ACEs am Ordner selber eingetragen sind, und es etwas aufwendig wäre, jetzt alle Gruppenitgliedschaften eines User zusammenzusuchen, eine ACE-Matrix für ihn zu erstellen, und dann zu kumulieren was er letztlich darf oder nicht. Dabei werden eben nur die an dem Ordner gesetzte Häkchen ausgewertet ;)

 

Ich meinte dort nur die entsprechende Berechtigung und was Microsoft dazu schreibt. Ist nur das, was ich als Zitat zwei Beiträge weiter oben in Quotes gesetzt habe ....

 

 

grizzly999

Danke für deine Hilfe, nun ja die anderen Erklärungen wären auch ganz interessant, z.B. was mit "Daten anhängen" gemeint ist. Aber die Frage hier ist ja nun geklärt.

Nein, die effektiven Berechtigungen werden nicht falsch angezeigt, weil ich keine direkte Löschen-Berechtigung auf den Unterordner habe ;) ;)

 

Du hast im anderen thread den von mir verlinkten Artikel gelesen?

 

 

Ich darf den Unterordner/Datei löschen auch wenn ich ausdrücklich keine Löschberechtigung dort habe. Die effektiven Berechtigungen zeigen mir aber die vergebenen Berechtigungen auf DIESEM Ordner an (geerbt und explizit vergeben), und da habe ich kein Löschen, auch wenn ich ihn wegen der drüberliegenden Berechtigung löschen darf.

Ja, ich weiß, ein Anzeige-Spagat, den Microsoft hier macht :rolleyes:

 

grizzly999

Hm ok, ich hatte das so verstanden, dass die effektiven Berechtigungen mir zeigen sollen, welche Rechte ein Benutzer nun wirklich auf eine Datei/einen Ordner hat, egal, was für einen Wust man da angelegt hat :)

Also ist das dann so eine Art Ausnahme, nicht? Wenn ich z.B. in einem Ordner mit Vollzugriff wieder einen Unterordner mit Leseberechtigung und in diesem wieder Dateien mit Leseberechtigung erstelle, dann kann ich diese nicht löschen! Die Ausnahme gilt also nur für Ordner und Dateien, die direkt in dem Ordner mit Vollzugriff liegen, korrekt?

Deinen Link lese ich mir jetzt mal durch... schade, dass das nicht auf Deutsch ist :(

Das hatten wir neulich schon mal. Siehe meinen Beitrag hier: http://www.mcseboard.de/windows-forum-lan-wan-32/ntfs-recht-andern-man-dateien-unterordner-loeschen-93311.html

 

 

grizzly999

Also ich sehe das jetzt so: Habe ich auf den obersten Odner das Recht "Ändern" kann ich die in dem Ordner enthaltenen Dateien und Unterordner nicht löschen, wenn deren eigenen Berechtigungen dieses untersagen.

Habe ich aber auf den obersten Ordner Vollzugriff, dann kann ich die direkt in dem Ordner mit dem Vollzugriff liegenden Dateien und Ordner löschen, nicht aber Ordner/Dateien, die noch tiefer in dem Verzeichnis liegen und einem anderen Ordner als dem mit Vollzugriff untergeordnet sind.

Die effektiven Berechtigungen werden falsch angezeigt :thumb1:

Edit: Das Problem in dem von dir zitierten Thread ist offensichtlich ein anderes. Zwar beinhaltet "Ändern" nicht, dass man untergeordnete Dateien und Ordner Löschen darf, wenn die Berechtigung "Ändern" aber für jeden einzelnen Ordner und alle Dateien gilt, die in dem Ordner liegen, ist es klar, dass man sie löschen kann oder?

So habe ich das zumindest verstanden.

Wäre schon ganz gut, wenn mir jemand helfen könnte. :rolleyes:

Tja, habe das hier in der Hilfe gefunden:

Gruppen und Benutzer mit Vollzugriff können alle Dateien und Unterordner in dem Ordner löschen, unabhängig von den Berechtigungen für die einzelnen Dateien und Unterordner.

Komisch nur, dass unter effektive Berechtigungen dann steht, dass ich nicht löschen könnte... :suspect:

Also wenn ich einem Benutzer auf einen Ordner Vollzugriff gebe, kann er genau in dem Ordner alle Unterordner und Dateien löschen, unabhängig davon, ob es für die Dateien und Unterordner selbst erlaubt ist. Sind aber in einem der Unterordner weitere Dateien oder Unterordner, gilt dieses Recht für diese nicht mehr.

Die effektiven Berechtigungen für die Dateien und Ordner, die sich direkt im Ordner mit Vollzugriff befinden, werden falsch angezeigt.

Ist das so korrekt? Ist das eine Art Sonderregel?

Lass Chechdisk drüberlaufen da stimmt was nicht.

Hab das schon an nem anderen PC genau so getestet, da ist es genau das gleiche. :mad: Selbst wenn ich beim Recht "Löschen" bei den speziellen Dateiberechtigungen "Löschen verweigern" anhake, löscht er es :) Liegt das daran, dass der Vollzugriff auf den Ordner Ordner das Recht enthält, untergeordnete Ordner und Dateien zu löschen? Und wieso zeigt er dann bei "Effektive Berechtigungen" an, dass ich nicht löschen darf?

Edit: Wenn ich dem übergeordneten Ordner auch nur das Recht "Lesen" gebe und das auf alles darunter liegenden Ordner und Dateien vererbe, kann ich die Datei nicht löschen. Verstehe das wer will...

Klick ma auf die Datei rechts. - Eigenschaften - Sicherheit.

Wenn da nun alles leer ist, dann steht in den effektiven Berechtigungen bei mir auch nichts drinnen.

Dann darfst du die Datei nicht löschen können.

 

Evtl. mal checkdisk drüberlaufen lassen. (Mit /f Fix Parameter) Hat bei mir auch was gebracht. Hier mein Thread:

http://www.mcseboard.de/windows-forum-allgemein-28/problem-verzeichnis-sicherheit-96071.html

Also, wenn ich kein Leserecht auf die Datei habe, dann kann ich sie auch nicht löschen, das stimmt, aber "Lesen" soll doch nicht auch das Recht "Löschen" implizieren. Wieso kann ich die Datei denn dann löschen, wenn ich das Recht "Lesen" vergebe?

Ich glaube, das einzige, was er dem Besitzer immer wieder zugesteht, auch wenn das Recht eigentlich entzogen ist, ist die Berechtigungen der Datei anzusehen und zu ändern.

Du musst Veerbbare Berechtigungen rausnehmen.

 

Und noch ein Tipp: Du solltest nicht der Owner der Datei sein. Denn der kann alles.

Das Vererben habe ich ja rausgenommen. Ich bin der Besitzer, ja. Aber wieso zeigt er dann bei effektiven Berechtigungen an, dass ich die Datei nicht löschen kann und ich kann es dann doch? Das soll doch anzeigen, was wirklich zählt.

Außerdem, wenn ich z.B. das Recht entziehe, bei der Datei die Dateiattribute anzusehen, dann entzieht er das auch, obwohl ich Besitzer bin.

Ich lese gerade so ein dickes Windows XP Buch, das ich mir vor geraumer Zeit mal gekauft habe. Nun habe ich das Kapitel NTFS-Berechtigungen erreicht und das will sich mir nicht so wirklich erschliessen.

Ich lege meinentwegen einen Ordner an, z.B. C:\Ordner und in diesem einen Unterordner (C:\Ordner\Unterordner) und in diesen Unterordner erstelle ich eine Datei. Zunächst vererbt Windows allen angelegten Ordner die Rechte, die standardmäßig für die einzelnen Benutzer auf "C:" gelten, richtig? Da ich ja testen will, habe ich die Vererbung für den Ordner entfernt und nur meinem eigenen Benutzer Vollzugriff auf den obersten Ordner gegeben.

Angeblich soll ich ja jetzt individuelle Berechtigungen auf die Dateien und Unterodner geben können. Auch den Vollzugriff haben Unterordner und Datei geerbt.

Jetzt zu dem Problem, bzw, was ich nicht verstehe: Wenn ich z.B. auf die Datei in dem Unterordner jetzt nur das Recht "Lesen" vergebe, kann ich die danach trotzdem problemlos löschen, obwohl "Lesen" ja nicht das Recht zu löschen enthält!

Selbst bei den effektiven Berechtigungen der Datei, zeigt er mir an, dass ich sie nicht löschen können soll. Wieso geht es denn trotzdem?

Eigentlich nicht. Nicht schlecht das das geholfen hat, war zwar nur ein Schuss ins Blaue von mir, aber jetzt wissen wir ja, das das geht.

Ja ich hatte auf deinen Tipp hin folgendes Posting gefunden, für alle die das interessiert:

das Grundlegende Problem liegt im SMB-Protokoll des Windows2003 Server. Es verlangt beim anmelden vom Client ein SMB signing. SMB signing ist standardmässig bei Windows2003 aktiviert. Das schliesst aus, dass sich ältere Betriebssysteme (z.B. MS-DOS, Win3.11/WFW, Win95,... oder eben osx) anmelden können.

 

Standardmässig sind die Sicherheitseinstellungen bei Domänencontrollern so konfiguriert, dass die domaincontroller-basierte Kommunikation nicht beeinflusst oder von boshaften Nutzern gestört bzw. abgefangen werden kann. Um eine erfolgreiche Kommunikation mit einem Windows2003 Domaincontroller aufzunehmen, verlangen die Standardsicherheitseinstellungen, dass die Client Rechner sowohl Server-Message-Block (SMB) signing also auch -Verschlüsselung benutzen.

 

Kurz gesagt unterstützt meines Wissens osx kein SMB signing. Somit kann das Problem nur durch Deaktivierung des selbigen in den windows2003 Servereinstellungen behoben werden.

 

Und dies bewerkstelligt ihr am besten so:

 

1. Deaktivierung des SMB-Signing für Server und Clients via GPO

 

Unter Start > Programme > Verwaltung > Sicherheitsrichtlinien für Domänen

und Start > Programme > Verwaltung > Sicherheitsrichtlinien für Domänencontroller jeweils zu Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen navigieren und die Einträge:

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)

Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)

Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)

alle auf "Deaktiviert" setzen.

 

Wenn ihr diese Einstellungen ändert, sollte der zugriff mittels osx auf Windows2003 kein Problem mehr darstellen. Wenn der Zugriff auf die Sicherheitsrichtlinien trotz vorhandener Berechtigung verweigert wird, hilft die Änderung von HKLM > System > CurrentControlSet > Services > lanmanserver >parameters > requiresecuritysignature von "1" auf "0".

Hm, also vom DOS-basierten Unattended Setup kenn ich sowas in der Art, wenn SMB-Signing an ist. Probehalber kannst du das ja mal auf dem Server abschalten, vielleicht hilft das ja schon weiter.

Jetzt funktioniert es, danke! :)

Hat das irgendwelche Konsequenzen, dass das nun aus ist?

Guten Tag,

ich habe auf einem Windows 2003 Server einen Ordner, auf den ich gerne von einem Powerbook mit Mac OS-X zugreifen würde.

Von dem Powerbook kann ich auch auf Freigaben der anderen Rechner im Netzwerk (PCs) zugreifen, nur auf die Freigabe des Servers leider nicht, da sagt er immer, dass er den Alias nicht öffnen kann, da das Original nicht existiere oder so etwas ähnliches. Ich kann die Freigabe nicht mal sehen, nur den Server selbst unter "Netzwerk".

An der Netzwerkverbindung kann es nicht liegen, vom Server auf den Mac kann ich auch zugreifen, nur nicht umgekehrt. Sind die Freigaben auf dem Server denn standardmäßig besonders vor dem Maczugriff "geschützt" oder woran könnte das liegen?

Viele Grüße

aqua57

Hab den Server neu aufgesetzt. Wie bekomme ich denn die alten Benutzerprofile möglichst unbeschadet wieder? Es sind keine servergespeicherten Profile. Unter Eigenschaften von Arbeitsplatz, Erweitert, Benutzerprofile, Eigenschaften sehe ich ja das alte Profil, Schaltfläche "Kopieren nach" ist aber deaktiviert.

Ich kann mich natürlich mit einem anderen Profil anmelden und das alte Profil im Explorer wegkopieren und später, wenn ich das neue in der neuen Domäne erstellt habe, das alte über das neue drüber kopieren.

Aber wie macht man sowas denn richtig?

Hallo aqua57,

 

probier einmal zum entfernen des AD

 

dcpromo /forceremoval

 

http://support.microsoft.com/kb/332199/de

 

ob es allerdings im abgesicherten Modus geht habe ich noch nicht probiert.

 

thorgood

Hi thorgood,

funktioniert leider auch nicht im abgesicherten Modus, die Meldung ist die gleiche wie die, die ich oben schon zitiert habe :(

Werd dann wohl am besten neu aufsetzen...

Das ist ja ein Ärger. Also ADS löschen und neu machen geht nicht so leicht? Ansonsten scheint ja alles ok zu sein. Wie sichert man denn eigentlich die ADS und wie spielt man es zurück, falls das gleiche nochmal passiert?

Funktioniert leider nicht, hab ich schon probiert. Moment, ich starte den Server mal und berichte, was er genau dazu sagt...

"Der Computer befindet sich im abgesicherten Modus. Starten Sie zur Installation von Active Directory den Computer neu."

Aber im normalen Modus startet der Computer ja nicht.

Hi,

bei meinem Windows 2003 Server kam nach einem Stromausfall beim Booten folgende Fehlermeldung: "Die Sicherheitskontenverwaltung konnte nicht initialisiert werden, da folgender Fehler aufgetreten ist: Fehlerstatus 0xc00002e1 ..." Man kann nur "OK" klicken, daraufhin startet der Rechner neu und das Spiel wiederholt sich. :(

Habe schon einige Threads darüber gelesen. Also der Rechner startet nur noch im abgesicherten Modus, nachdem ich mit F8 den Punkt "Verzeichnisdienst Wiederherstellung" gewählt habe. Habe schon versucht, das irgendwie zu reparieren. Mit ntdsutil und einigen Befehlen, aber es kommt die Meldung, dass die Datei korrupt ist. Der Befehl hier 'ntdsutil "sem d a" go' funktionierte nicht.

Der Server war der einzige DC und ich habe kein Backup der ADS. Jetzt habe ich gelesen, dass man bevor man den ganzen Server neu aufsetzt, besser einfach die ADS neu macht. Aber dazu muß ich ja irgendwie die alte löschen, die er ja irgendwie aber ja nicht mehr finden kann.

Ihr merkt schon, ich kenne mich nicht besonders gut aus. Wäre nur schön wenn ich den Rechner nicht komplett neu aufsetzen müsste und mir jemand Tipps geben könnte. :)

Dankeschön, hat geklappt :)

Genau das ist der Name der Freigabe zu dem Pfad, den ich versucht habe zu beschreiben.

Muß ich dann im Reiter Profil nur noch den Namen des Scripts eintragen (test.bat) oder wie schauts aus?

Danke schonmal für deine schnelle Antwort! :)

Ich habe einen 2003 Server und wollte, dass sich mein Client hier oben automatisch Netzlaufwerke mappt. Das Loginscript habe ich im Ordner Sysvol nach mehreren Unterordnern in den freigegebenen Ordner Scripte gelegt.

Wenn ich es manuell von meinem Rechner über die Fragabe da unten starte funktioniert es auch. Aber wie bringe ich meinen Client dazu das Script beim Starten auszuführen?

Ich habe den Pfad zu dem Script in dem Profil unter dem Reiter Profil bei Anmeldescript eingetragen. Kann ja irgendwas nicht richtig sein. Hab auch schon die Suchfunktion bemüht, aber nichts zu solche grundlegenden Vorgängen finden können.

Soll aber nicht auf die herkömmliche Art und Weise geschehen, sondern per Kommandozeile. :(

Hat da einer ne Idee, wie das zu realisieren ist?