Jump to content
Sign in to follow this  
antares

Benutzer daran hindern, den Administrator auszusperren

Recommended Posts

Auf einem Quota-relevanten Fileshare soll verhindert werden, dass auf der Dateirechtsebene Besitzer ihrer Dateien den Administrator ausperren können. Da der Besitzer immer Vollmacht hat und die Sicherheitseinstellungen seiner Dateien nach seinem Gusto gestalten kann, frage ich hier nach Möglichkeiten sowas zu erreichen.

 

Auch auf der Suche bin ich nach einem (command line) Tool, welches einem Serveradmin den Besitzer einer Datei anzeigt, auch wenn das GUI meldet, dass er nicht angezeigt werden könne. (evlt würde auch nur die SID reichen, die kann man sicherlich mit Standard-Tools auflösen.)

Share this post


Link to post

Wenn Du die Freigabeberechtigung nur auf Ändern setzt, können die Benutzer, die über die Freigabe die Dateien auf dem Server ablegen, die Berechtigungen nicht mehr ändern (wenn sie keine Administratoren auf dem Server sind) ...

Share this post


Link to post

Grundsätzlich solltest Du den Benutzern NIE "Vollzugriff" geben, es sei denn, Benuter müssen Berechtigungen setzen können.

 

Der einzige gravierende Unterschied zwischen "Vollzugriff" und "Ändern", wie es IThome beschrieben hat, ist dass die User selber Berechtigungen setzen können. Von daher ist es gar nicht nötig, den Benutzern Vollzugriff zu geben.

 

Und irgendwelche Tools brauchst Du auch nicht dafür.

Share this post


Link to post

Stimmt, daran habe ich noch gar nicht gedacht! Gibt es mögliche 'side effects', oder verlieren die User beim Downgrade der FREIGABE Rechte von "Vollzugriff" auf "Ändern" noch sonst etwas, neben der Möglichkeit auch bei Vollzugriff unter den Dateirechten "Berechtigungen zu ändern" ?

(Eine Desktop Umleitung ist betroffen und die angebundenen HomeDirDrives) Diese werden bei neuen Usern erstmalig erzeugt. Dies wird mit Dateirechten im übergeorneten Folder erreicht und sollte vom diesem Downgrade eben hoffentlich nicht betroffen sein..)

 

 

Und falls zur Frage zwei (Tool) noch jemand eine Idee hat, wäre ich sehr dankbar ;) .

 

antares

 

edit: PAT, ich habe dein Post zu spät gesehen, danke! Dann bleibt wohl nur noch die Frage nach dem Tool für die Anzeige eines Besitzers, wenn der Admin schon ausgesperrt ist.

Share this post


Link to post

Das mit dem Ändern hat den Nachteil, dass man unter Umständen an zwei Stellen suchen muss, wenn Berechtigungen sich nicht so verhalten, wie sie sollen. Das ist der Grund, warum oft Jeder -Vollzugriff eingestellt wird, damit man eben nur noch auf NTFS-Ebene nach Berechtigungsfehlern suchen muss, denn dort kann es nur entweder gleichwertig oder restriktiver sein. Der Unterschied zwischen Vollzugriff und Ändern auf Freigabeebene ist nicht nur das Berechtigungen verändern, sondern auch Besitz übernehmen (vorausgesetzt, die NTFS-Berechtigungen sind entsprechend eingestellt) ...

Share this post


Link to post

Noch eines: Wenn der Admin schon ausgesperrt ist, ist es wohl am Einfachsten, den Besitz der betroffenen Dateien/Verzeichnisse zu übernehmen und dann die Berechtigungen entsprechend zu setzen.

Share this post


Link to post

Hi,

Ich habe seit NT40-Zeiten keinen Fileservice mehr gemacht. Das Problem war, wenn User einen neuen Ordner anlegen, dass sie dann als Creator automatisch FullControl haben. Hat sich hier etwas veraendert?

 

cu

blub

Share this post


Link to post

Wenn ein User einen Ordner anlegt, erbt er normalerweise automatisch die Berechtigungen des übergeordneten Ordners.

Share this post


Link to post

ich kann's momentan nicht ausprobieren. Mir war aber, dass man als Owner des Verzeichnisses einiges mehr machen kann, als die puren Berechtigungen hergeben

Share this post


Link to post

Nein, der Besitzer hat nur die "eingebaute" Berechtigung, die Berechtigung zu ändern, auch wenn er sonst keine NTFS-Berechtigung hat, bzw. diese ihm sogar explizit verweigert wurde. Allerdings ist es so, wie IThome sagte, mit der Freigabeberechtigung "Ändern" ist in Summe die effektive Berechtigung max. Ändern, und zwar das NTFS-Ändern. Also auch als Besitzer nicht "Berchtigung ändern"

Share this post


Link to post

Das hat weniger mit dem Besitzer zu tun.

 

Beispiel:

 

Verzeichnis A: Admin -> Vollzugriff, User (nur Benutzer-Rechte) -> Ändern, Vererbung ist standardmäßig gesetzt, der Admin ist der Besitzer

 

Der User erstellt nun in Verzeichnis A ein Unterverzeichnis und eine Datei.

Im Unterverzeichnis bleibt der Besitzer der Admin, die Datei bekommt als Besitzer den User.

ABER: Sowohl das Unterverzeichnis als auch die Datei erben die Berechtigungen des Verzeichnisses A. Der User kann auch die Berechtigungen der Datei nicht ändern, obwohl er der Besitzer ist.

Share this post


Link to post

Auf Beitrag Nummer 10.

 

Habe übersehen, dass Du und grizzly999 auch schon geantwortet haben.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...