Jump to content

Benutzer daran hindern, den Administrator auszusperren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Auf einem Quota-relevanten Fileshare soll verhindert werden, dass auf der Dateirechtsebene Besitzer ihrer Dateien den Administrator ausperren können. Da der Besitzer immer Vollmacht hat und die Sicherheitseinstellungen seiner Dateien nach seinem Gusto gestalten kann, frage ich hier nach Möglichkeiten sowas zu erreichen.

 

Auch auf der Suche bin ich nach einem (command line) Tool, welches einem Serveradmin den Besitzer einer Datei anzeigt, auch wenn das GUI meldet, dass er nicht angezeigt werden könne. (evlt würde auch nur die SID reichen, die kann man sicherlich mit Standard-Tools auflösen.)

Link zu diesem Kommentar

Grundsätzlich solltest Du den Benutzern NIE "Vollzugriff" geben, es sei denn, Benuter müssen Berechtigungen setzen können.

 

Der einzige gravierende Unterschied zwischen "Vollzugriff" und "Ändern", wie es IThome beschrieben hat, ist dass die User selber Berechtigungen setzen können. Von daher ist es gar nicht nötig, den Benutzern Vollzugriff zu geben.

 

Und irgendwelche Tools brauchst Du auch nicht dafür.

Link zu diesem Kommentar

Stimmt, daran habe ich noch gar nicht gedacht! Gibt es mögliche 'side effects', oder verlieren die User beim Downgrade der FREIGABE Rechte von "Vollzugriff" auf "Ändern" noch sonst etwas, neben der Möglichkeit auch bei Vollzugriff unter den Dateirechten "Berechtigungen zu ändern" ?

(Eine Desktop Umleitung ist betroffen und die angebundenen HomeDirDrives) Diese werden bei neuen Usern erstmalig erzeugt. Dies wird mit Dateirechten im übergeorneten Folder erreicht und sollte vom diesem Downgrade eben hoffentlich nicht betroffen sein..)

 

 

Und falls zur Frage zwei (Tool) noch jemand eine Idee hat, wäre ich sehr dankbar ;) .

 

antares

 

edit: PAT, ich habe dein Post zu spät gesehen, danke! Dann bleibt wohl nur noch die Frage nach dem Tool für die Anzeige eines Besitzers, wenn der Admin schon ausgesperrt ist.

Link zu diesem Kommentar

Das mit dem Ändern hat den Nachteil, dass man unter Umständen an zwei Stellen suchen muss, wenn Berechtigungen sich nicht so verhalten, wie sie sollen. Das ist der Grund, warum oft Jeder -Vollzugriff eingestellt wird, damit man eben nur noch auf NTFS-Ebene nach Berechtigungsfehlern suchen muss, denn dort kann es nur entweder gleichwertig oder restriktiver sein. Der Unterschied zwischen Vollzugriff und Ändern auf Freigabeebene ist nicht nur das Berechtigungen verändern, sondern auch Besitz übernehmen (vorausgesetzt, die NTFS-Berechtigungen sind entsprechend eingestellt) ...

Link zu diesem Kommentar

Nein, der Besitzer hat nur die "eingebaute" Berechtigung, die Berechtigung zu ändern, auch wenn er sonst keine NTFS-Berechtigung hat, bzw. diese ihm sogar explizit verweigert wurde. Allerdings ist es so, wie IThome sagte, mit der Freigabeberechtigung "Ändern" ist in Summe die effektive Berechtigung max. Ändern, und zwar das NTFS-Ändern. Also auch als Besitzer nicht "Berchtigung ändern"

Link zu diesem Kommentar

Das hat weniger mit dem Besitzer zu tun.

 

Beispiel:

 

Verzeichnis A: Admin -> Vollzugriff, User (nur Benutzer-Rechte) -> Ändern, Vererbung ist standardmäßig gesetzt, der Admin ist der Besitzer

 

Der User erstellt nun in Verzeichnis A ein Unterverzeichnis und eine Datei.

Im Unterverzeichnis bleibt der Besitzer der Admin, die Datei bekommt als Besitzer den User.

ABER: Sowohl das Unterverzeichnis als auch die Datei erben die Berechtigungen des Verzeichnisses A. Der User kann auch die Berechtigungen der Datei nicht ändern, obwohl er der Besitzer ist.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...