Exxodos

Okay, jetzt sitz ich hier ich armer Tor und bin so schlau als wie zuvor. Ich habe jetzt einfach mal alle Berechtigungen entfernt und will alle Gruppen neu aufsetzen. Jetzt steh ich allerdings völlig auf dem Schlauch, weil es irgendwie nicht so funktioniert wie ich denke. Ich habe einen Benutzer "Testuser" der Mitglied der "Standardbenutzer" Gruppe ist, den Hauptordner "Datenpool" und den Ordner "Testordner". Datenpool hat eine Lesefreigabe für die Gruppe "Standardbenutzer" (Ausschluss: Beinhaltete Ordner und Dateien) - "Testuser" kann also "Datenpool" öffnen und die beinhalteten Ordner und Dateien auflisten. Der "Testordner" hat ist als ebensolcher freigegeben mit "Ändern" Berechtigung für "Standardbenutzer" und hat in den Sicherheitseinstellungen ebenfalls die Einstellung "Ändern" mit Einschluss aller beinhalteten Dateien und Ordner. Der Ordner kann aufgerufen werden, allerdings kommt, sobald eine neue Datei oder ein neuer Ordner angelegt werden soll, die Meldung: "Sie benötigen Berechtigungen zur Durchführung des Vorgangs." Warum? Was übersehe ich hier? Das ist unglaublich nervig... Verzweifelte Grüße, Exxodos

Hallo Dukel, okay, ich versuch das mal zu konkretisieren. Ich habe einen Ordner "Öffentliches" (1) der für die Benutzergruppen "Ratsvorsitz" und "Öffentlichkeit" freigegeben ist. Beide haben gleiche Zugriffsrechte, beispielhaft gezeigt bei (2). Benutzer "K" und "I" sind beide in der Gruppe "Öffentlichkeit" (vgl. (3) und (4)) und haben beide *eigentlich* die effektiven Berechtigungen die sie auch haben sollen. Allerdings kann K in dem Ordner Dateien erstellen, I kann es nicht. Es kommt dann "Sie haben keine Berechtigung...". Und wie man sehen kann, sind für die anderen Benutzergruppen in denen beide ansonsten Mitglied sind, keine Berechtigungen für den Ordner vergeben. Gleiches Problem tritt übrigens im Ordner "Erstiteam" auf - und auch bei verschiedenen anderen Benutzern in anderen Ordnern. Aber eben nicht bei allen. Ist das jetzt etwas klarer geworden? :)

Guten Abend zusammen, nachdem mir schon mehrfach hier so super geholfen wurde, habe ich wieder ein Problem. Hier im Datenpool haben wir mehrere Ordner, auf die verschiedene Benutzergruppen zugreifen können. Die Ordner sind für die Benutzergruppen freigegeben ("ändern") und in den Sicherheitseinstellungen ist alles bis auf "Vollzugriff" und "Berechtigungen ändern" für die Gruppen angehakt. Das funktioniert soweit auch ganz gut, allerdings mit einem kleinen Problem: Manche Benutzer können in einem Ordner neue Dateien anlegen - andere nicht. Obwohl sie faktisch in den gleichen Gruppen sind. Das Problem äussert sich z.B. wie folgt: Benutzer 1 ist in den Gruppen A, B, C und D. Benutzer 2 ist in den Gruppen A, C und D. Ordner X ist für die Gruppen A und D freigegeben und hat keine Verbote für andere Gruppen. In der "effektive Berechtigungen anzeigen" Übersicht haben beide Benutzer die gewünschten Zugriffe. Allerdings kann Benutzer 1 dort Ordner erstellen - Benutzer 2 nicht. Kopiere ich jetzt Benutzer 1 und melde mich mit der Kopie an, klappt das. Entferne ich jedoch Gruppe B aus seinen Mitgliedschaften, klappt es nicht mehr. Wenn ich die Gruppe wieder hinzufüge, klappt es aber nicht wieder. Das "Lustige": Das tritt nicht mit allen Benutzern und allen Ordnern auf, nur bei manchen. Hat irgendjemand eine Idee woran das liegen könnte? Ist gerade etwas frustrierend... ;-) Grüße, Exxodos

Aber müsste es dann nicht reichen, die einzelnen Ordner nochmal mit Ändern-Zugriff freizugeben? Denn das geht ja nicht... Denn wenn ich den Datenpool-Ordner freigebe, speichern irgendwelche ***netten Menschen*** ihr Zeug direkt im Datenpool oder erstellen da neue Ordner. Doof das... Edit: Jap, das funktioniert. Sehr gut. Sogar ohne, dass die Leute im Root Ordner speichern können. Vielen Dank für die prompte Hilfe! Gruß, Exxodos

Okay, nochmal von vorne ;-) Es ist ein Ordner "Datenpool" für alle Benutzer freigegeben, allerdings nur mit der Erlaubnis, die beinhalteten Ordner anzuzeigen. Im "Datenpool" liegen verschiedene andere Ordner, die für die jeweiligen Gruppen freigegeben sind. Diese Ordner sind nicht explizit als Ordner freigegeben, sondern über die Sicherheitseinstellungen (Eigenschaften -> Sicherheit). Die Grundeinstellung stimmt ja auch, die einzelnen Gruppen können nur die für sie freigeschalteten Ordner aufrufen, allerdings fehlt irgendwo eine Einstellung, dass sie Änderungszugriff haben. Den sollten sie aber lt. Sicherheitseinstellung und der Übersicht der "effektiven Berechtigung" haben. Gruß, Exxodos

Hallo iDiddi, bis eben war der Ordner nicht freiegeben, über Sicherheit kann man ja die Zugriffe auch so regeln, dachte ich? Habe ihn jetzt für die Benutzergruppe mit "Ändern" freigegeben, funktioniert aber dennoch nicht... Gruß, Exxodos

Guten Abend zusammen, ein kleines Problem für mich, wahrscheinlich eine Kleinigkeit für euch: Ich habe im AD des Servers mehrere Ordner, die für verschiedene Benutzergruppen freigegeben werden. Die Benutzergruppen haben für die jeweiligen Ordner die entsprechenden Rechte ("Ändern") - allerdings können sie zwar die Ordner aufrufen und auch Dateien öffnen, allerdings keine neuen Dateien anlegen oder Dateien löschen, obwohl sie das eigentlich können sollten. Ordner "X" ist für Gruppe "A" mit folgenden Berechtigungen versehen: Ändern, Lesen/Ausführen, Ordnerinhalt anzeigen, Lesen, Schreiben Unter "Erweiterte Sicherheitseinstellungen für 'X'" steht, dass das für den Ordner, Unterordner und Dateien übernommen werden soll, und dass Vererbbare Berechtigungen des übergeordneten Objektes eingeschlossen werden sollen. Das trifft für "Administratoren", "Ersteller-Besitzer" und "System" zu, die Vollzugriff auf das gesamte Laufwerk haben. Die speziellen Berechtigungen sind: Ordner durchsuchen/Datei ausführen, Ordner auflsten/Daten lesen, Attribute lesen, Erweiterte Attribute lesen, Dateien erstellen/Daten schreiben, Ordner erstellen/Daten anhängen, Attribute schreiben, Erweiterte Attribute schreiben, Unterordner und Dateien löschen, löschen, Berechtigungen lesen. Klappt auch alles, bis auf Dateien/Ordner erstellen, speichern oder löschen. Bei effektiven Berechtigungen steht auch, dass die Berechtigungen so stimmen - also keine Interferenzen mit Verboten... Hat jemand einen Plan? Das ist ehrlich gesagt ziemlich nervig und ich stehe etwas auf dem Schlauch ;) Grüße, Exxodos

Witzig ;P Okay, ich habs aber hinbekommen. Stur alle Werte mit Default Domain Controller Policy abgeglichen... Ich komme jetzt wieder rein und alles ist gut. Hoffe ich. Vielen Dank fürs Helfen und die Geduld! Gruß, Exxodos

Hey olc, okay, ich bin da jetzt drin... und ich hab kein Plan was ich tue. Das Problem ist, dass ich nicht so einfach einen Dienstleister einschalten kann - der Server steht in einer studentischen Fachschaft, Support der Haus-IT ist extrem zeitaufwändig und stressig und von extern jemanden kommen lassen, ist finanziell nicht drin. Ich verstehe auch nicht, warum das nicht funktioniert... Domänen-Admins / Organisations-Admins: ACE-Typ: Zulassen Zugriffsmaske: Alles angehakt bis auf "Zugriff steuern" ACE-Kennzeichen: Vererben, Nur Vererbung Administrator: Full control Ich sehe nirgends eine Option die das erklären würde... Frustrierte Grüße, Exxodos

Okay, bevor ich jetzt wieder Mist mache, frage ich lieber: Ich habe jetzt unter Ansicht->Struktur das hier als Basis-DN angegeben: "CN=Policies,CN=System,DC=subdomain,DC=domain,DC=de" jetzt habe ich links zwei Einträge stehen, einmal Default Domain Policy und einmal Default Domain Controllers Policy. Wenn ich jetzt mit rechts auf den der DDP klicke, habe ich dort keinen Eintrag SecurityDescriptor, aber unter "Schwer" den Eintrag "Sicherheitsbeschreibung". Dort steht nochmal der definierte Name und zwei Haken für "SACL" und "Textabbild" sowie die Optionen "Abbrechen" und "OK". Sehe ich das richtig, dass ich hier jetzt SACL anhaken und das mit OK bestätigen soll? Verwirrte Grüße, Exxodos

Hey olc, bei dsacls.exe sagt es mir, ein erforderliches Attribut würde fehlen, deswegen könne der Befehl nicht ausgeführt werden. Ich würd ja gerne den LDP Weg probieren, aber ich weiß nicht, wie ich in diesen Pfad komme. Also dieser Schritt: Wenn ich LDP starte, mich einlogge und verbinde ist links alles leer, rechts stehen irgendwelche Infos. Wenn ich auf Ansicht->Struktur gehe, und Basis-DN freilasse, habe ich links etliche Menüpunkte, von denen die meisten aber "no children" haben. Verzeihe, dass ich so **** frage, aber: Wie navigiere ich denn zu diesem Punkt? :confused: Gruß, Exxodos

Hey olc, würd ich glatt machen, aber: wie mach ich das ;-) Gruß, Exxodos

Hallo olc, vielen Dank für die schnelle Antwort. Ich komme aber da zugegebenermaßen nicht viel weiter. Muss auch dazu sagen, dass ich das nur "hobbymäßig" mache, also nicht sooo den großen Plan habe. Folgendes gemacht: > LDP gestartet > Als Admin verbunden > Durchsuchen -> Sicherheit -> Sicherheitsbeschreibung Dort die ID und den Namen der Policy als Definierten Namen gesucht: ***Calling Security Error: Ungültige DN-Syntax. <34> Server error 0000208F: NameErr: DSID-031001F7, problem 2006 (bad name), data 8350, best match of '{id}' Error 0x208F: Die Syntax des Objektnamens ist ungültig Und wenn ich das über Strg+S mache, kommt das hier: ***Searching... ldap_search_s(ld, "dc=subs,dc=meine-domain,dc=de", 1, "(&(objectClass=groupPolicyContainer)(name={31B2F340-016D-11D2-945F-00C04FB984F9}))", attrList, 0, &msg) Getting 0 entries: Jemand eine Idee? :suspect: Gruß, Exxodos

Hallo zusammen, wie der Titel schon sagt, habe ich es geschafft, mich selbst aus der DDP auszusperren... Statt dem "Default Domain Policy" Eintrag steht dort nur noch "Zugriff nicht möglich" und "...kann nicht zugegriffen werden, weil Sie keine Leserechte haben". Ja, ich weiß dass das selten dämlich war... :rolleyes: Meine Frage ist jetzt: Gibt es eine Möglichkeit, die Berechtigung wieder zu setzen? Habe es mittels SetGPOPermissions.wsf probiert (sowohl mit Namen als auch mit {eindeutigeID}), allerdings meldet mir das zurück, es würde keine GPO mit diesem Namen in der Domäne existieren... Jemand eine Idee? Gruß, Exxodos