Ja wo fange ich an, ich versuche erst einmal die Situation zu beschreiben bzw. meine Erkenntnisse dazu und dann stelle ich die Fragen.
Situation:
Domäne Fileserver mit Abteilungsordnern.
Jede Abteilung hat einen Eigenen Ordner und in diesem Ordner sind dann wieder Unterordner nach dem Schema
Festplatte
|-- Abteilung 1
|-- Abteilung 1 Ablage
|-- Abteilung 1 Mitarbeiter
|-- usw.
Bis dahin ist alles klar, der Standardnutzer mit dem Recht Ordner Abteilung 1 zu benutzen, kommt drauf und kann halt was machen. Diese Struktur ist von uns vorgegeben und der Standardnutzer kann die Rechte nicht ändern.
Jetzt legt der Standardnutzer aber in seinem Unterordner einen neuen Ordner an und ist somit Besitzer von diesem Ordner. Er kann über den Reiter Rechte die Berechtigungen jetzt neu setzten bis hin zum Verweigern. Das ist natürlich nicht im Sinne des Erfinders und auch nicht gewollt. Es sollen nur die Berechtigungen die von oben vererbt wurden zählen.
Wenn ich als Administrator den Besitz des Ordners übernehme kann der Standardnutzer jetzt zwar noch die Rechte in seinem neuen Ordner sich anzeigen lassen, aber er kann Sie nicht mehr ändern.
Ich zerbreche mir schon seit Tagen den Kopf wie das elegant gelöst werden kann.
Dem Standardnutzer soll natürlich weiterhin die Möglichkeit gegeben werden eigene Ordner in „seinem“ Verzeichnis zu erstellen, als Grundaussage „ab der 3 Ebene können die Nutzer/Abteilung machen was sie wollen in ihren Verzeichnissen. Aber sie dürfen nicht an den Rechten rumschrauben.
Lösungsansatz 1:
Täglich den Besitzer der Ordner und Dateien auf dem Fileserver als Administrator übernehmen. Ist aber irgendwie doof, da dort ja schon unter Umständen die Berechtigungen verbogen sind.
Lösungsansatz 2:
Wenn jemand einen neuen Ordner erstellt, diesen sofort und automatisch zum Besitz des Administrators machen. Hab ich aber noch nichts dazu gefunden und ich glaube ist auch nicht wirklich so vorgesehen.
Lösungsansatz 3:
Domänenweit der Gruppe Standardnutzer die spezielle Berechtigung „Berechtigung ändern“ sperren.
Ich denke das ist die eleganteste Art, aber ich habe keinen Plan wo ich das machen kann.
Also die Frage ist einfach, wie kann ich verhindern das ein Standardnutzer ab der dritten Ebene an den Rechten rumschrauben kann, wenn er einen neuen Ordner erstellt.
Vielleicht ist ja auch noch ein ganz anderer Lösungsansatz der Bringer und ich hab das nur noch nicht betrachtet.
Für Eure Hilfe bin ich wie immer dankbar.
KingBods
PS: Sollte es doch nicht ins Security Forum passen, dann bitte verschieben. Danke.