Jump to content

Übernahme von Besitzrechten regeln unklar


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Salut,

 

in der Domäne sind erzwungenermaßen ein paar User in der Gruppe "Administratoren" (gesteuert über Eingeschränkte Gruppen). Soweit lässt sich dennoch alles regulieren, aber die Übernahme von "Besitzrechten an Dateien und Objekten" bereitet mir Kopfzerbrechen.

 

Ich habe in "Sicherheitsrichtlinie für Domänen" auf dem DC in der Richtlinie

 

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Übernahme des Besitzes von Dateien und Objekten

 

nur die Domänen-Administratoren mit diesem Recht versehen.

 

Prüfe ich dann einen NTFS-Ordner auf seine effektive Berechtigung für einen User mit Admin-Rechten ist kein Haken bei "Besitzrechte übernehmen", auch nicht für die Gruppe "Administratoren". Dennoch ist dieser User in der Lage sich Berechtigungen zu einem Ordner auf dem Fileserver zu verschaffen (er war vorher nicht in der Liste eingetragen). Wie kann man das unterbinden und warum greift o.g. Einstellung nicht?

 

Hinweis: Bitte keine Kommentare nach dem Motto: saubere Software verwenden, damit die User nicht im Admin-Modus arbeiten müssen. Es handelt sich hier um diverse Programmier-IDE-Schnittstellen mit Entwicklungssoftware.

 

Grüße, e2e4

Link to comment

Ok die Funktion hatte ich gerade nicht vor Augen, deswegen bin ich davon ausgegangen, dass Du mit eingeschränkten Gruppen = Verweigerungen im Dateisystem meinst.

Dementsprechend kann ich dir dann noch nicht tiefergehend weiterhelfen, weil ich die genaue Funktionsweise nicht kenne.

 

Nichts desto trotz scheinen deine User Domänen-weite Adminrechte zu haben, als lokale Admins dürften sie eigentlich auf dem Fileserver keine Rechte haben.

Link to comment
Nichts desto trotz scheinen deine User Domänen-weite Adminrechte zu haben, als lokale Admins dürften sie eigentlich auf dem Fileserver keine Rechte haben.

 

Lokale Admins haben standardmäßig das Recht zur "Übernahme des Besitzes von Dateien und Objekten" - also nicht nur Domänen-Admins. Dies kannst Du überprüfen, indem Du Dir einen Testuser mit Adminrechten anlegst und danach mal eine NTFS-Einstellung/Sicherheit des Dateiservers verändern möchtest ... ich war selbst überrascht. :eek: Andere Domänen-Adminbezogene Aufgaben können die User aber nicht machen, die Gruppenzugehörigkeiten etc. habe ich auch schon mehrfach geprüft.

 

Mein Ziel ist es das Default-Recht für den Admin auf den Domänen-Admin zu setzen, was mir aber bislang nicht gelungen ist.

 

Grüße, e2e4

Link to comment
Dies kannst Du überprüfen, indem Du Dir einen Testuser mit Adminrechten anlegst und danach mal eine NTFS-Einstellung/Sicherheit des Dateiservers verändern möchtest ... ich war selbst überrascht. :eek:

Habe meinen AD User (Mitglied in Domänen-Benutzer) in die lokale Admingruppe hinzugefügt. Dabei konnte ich deinen oben beschriebenen Sachverhalt nicht nachvollziehen. Weder konnte ich mir Berechtigungen auf ein Verzeichnis geben, wo der User überhaupt keine Rechte besaß (Register "Sicherheit" wurde gar nicht angezeigt), noch konnte ich Rechte auf einem Verzeichnis übernehmen, auf dem der Test User lediglich Leserechte hatte ("Sie besitzen nicht die Berechtigung, die Besitzrechte zu übernehmen" o.ä.).

 

Das ganze natürlich mit Dateien auf einem Fileserver. Habs zwar nicht ausprobiert, aber ich gehe davon aus, dass der Testuser auf dem lokalen Computer alle NTFS Rechte übernehmen kann.

 

Ich nehme an, deine Problematik hängt mit dem Weg der eingeschränkten Gruppen zusammen. Da fehlt mir allerdings das Wissen zu.

Link to comment

Ich muss mich korrigieren. Zwar kann ich die Besitzrechte nicht übernehmen, aber als lokaler Admin vorhandene Leserechte auf Vollzugriff ausweiten. :shock: :eek:

Man lernt nie aus... Bloß - warum ist das so??

 

[Edit]

Erst denken, dann schreiben. Lag natürlich daran, dass der Testuser auch Besitzer der Verzeichnisse war.

Ist das bei dir auch der Fall?

Link to comment

Salut,

 

Zwar kann ich die Besitzrechte nicht übernehmen, aber als lokaler Admin vorhandene Leserechte auf Vollzugriff ausweiten.

Man lernt nie aus... Bloß - warum ist das so??

 

Standeinstellung für "Übernehmen des Besitzes von Dateien und Objekten" auf den Ebenen Workstation / Server / Domänencontroller: Administratoren.

 

Lag natürlich daran, dass der Testuser auch Besitzer der Verzeichnisse war.

Ist das bei dir auch der Fall?

 

Nein, der Besitzer des Verzeichnisses ist ein andere Account mit administrativen Rechten.

 

Grüße, e2e4

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...