Jump to content

letsencrypt

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    2

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von letsencrypt

  1. NTFS-Berechtigungshierarchie beginnend mit Datenträger

    in Windows Forum — Security

    Geschrieben

    vor 22 Stunden schrieb NilsK:

    Moin,

     

    Domänen-Administratoren willst du da nicht haben. Die sollen die Domäne administrieren und keine Fileserver.

     

    Lass die lokale (!) Gruppe Administratoren in der Liste. Effektiv entfernen kannst du sie ohnehin nicht, denn sie wird sich den Zugriff immer verschaffen können. Also lass sie gleich drin, das macht es klarer. Das System sollte auch zugreifen können.

     

    Alles Weitere hängt dann schon von den Anforderungen des Unternehmens ab. Wenn etwa "Authentifizierte Benutzer" (oder die lokale Gruppe "Benutzer") keine Leserechte hat, können normale Anwender nicht durch die Verzeichnisse navigieren. Das kann aber auch gewünscht sein - also Anforderungen definieren, dann auf Testsystemen prüfen, wie man diese sinnvoll umsetzt. Empfehlung dazu: Haltet das simpel und plant nichts, was über "Lesen", "Ändern" und "Vollzugriff" hinausgeht, auch wenn NTFS das theoretisch ermöglichen würde.

     

    Das von dir beobachtete Verhalten liegt an UAC.

    [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
    https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

     

    Gruß, Nils

     

    Moin und danke, Die Domänen-Administratoren habe ich entfernt. Stattdessen habe ich eine Gruppe "Dateiserver Administration" erstellt und dieser Vollzugriff erteilt. Das mit der UAC ist interessant und mithilfe der Gruppe "Dateisystem Administration" wird entsprechend das Explorer Problem umgangen. Danke dafür.

     

    Aktuell sieht die oberste Ebene (der Datenträger) wie folgt aus bezügl. NTFS:

    SYSTEM - Vollzugriff

    Administratoren (Domäne\Administratoren) - Vollzugriff

    Dateiserver Administration - Vollzugriff

     

    Das einfache User nicht durch die Verzeichnisstruktur navigieren können, ist gewollt. Lediglich auf die tatsächlichen Freigaben erhalten diese NTFS-Rechte.

    vor 22 Stunden schrieb MurdocX:

    Bist du Dir im Klaren was "Vollzugriff" bedeutet? Dürfen Benutzer Berechtigungen ändern?

    Vollzugriff ermöglicht die Besitzübernahme von Ordnern/Dateien. Das ist mir bekannt und wird für einfache Benutzergruppen anders gehandhabt - hier werde ich dedizierte Berechtigungen vergeben. Danke. 

  2. NTFS-Berechtigungshierarchie beginnend mit Datenträger

    in Windows Forum — Security

    Geschrieben · bearbeitet von letsencrypt

    Hallo zusammen,

     

    ich erstelle zur Zeit ein neues Berechtigungs-/Sicherheitskonzept für das interne Windows-Netzwerk. Folgendes möchte ich auf einem Domänen-Server (stellt u.A. Netzwerkfreigaben bereit) realisieren:

     

    Auf dem Datenträger (somit 1. Hierarchieebene, nicht die Systemfestplatte) sollen nur noch die absolut notwendigsten NTFS-Berechtigungen gelten. Vorhanden sind aktuell noch

    - System (Vollzugriff)

    - Domänen-Administratoren (Vollzugriff)

    - Authentifizierte Benutzer (Vollzugriff)

     

    Authentifizierte Benutzer würde ich gern entfernen - tue ich dies, so habe ich (als Domänen-Admin) keinen Zugriff mehr auf den Datenträger. Wieso? Muss der Eintrag bleiben?

     

    Was empfehlt ihr, auf der obersten Hierarchieebene für NTFS-Berechtigungen zu setzen? Alle Unterverzeichnisse sollen erben und nur bei Bedarf zusätzliche NTFS-Berechtigungen erhalten.

     

    Edit: Ich vergaß: Kennt einer die Standard NTFS-Berechtigungen, die ein frisch eingebundener Datenträger (auf einem Serversystem) erhält?

     

    Danke und viele Grüße

    letsencrypt

×
×
  • Neu erstellen...