e2e4 10 Posted April 18, 2007 Report Share Posted April 18, 2007 Salut, in der Domäne sind erzwungenermaßen ein paar User in der Gruppe "Administratoren" (gesteuert über Eingeschränkte Gruppen). Soweit lässt sich dennoch alles regulieren, aber die Übernahme von "Besitzrechten an Dateien und Objekten" bereitet mir Kopfzerbrechen. Ich habe in "Sicherheitsrichtlinie für Domänen" auf dem DC in der Richtlinie Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Übernahme des Besitzes von Dateien und Objekten nur die Domänen-Administratoren mit diesem Recht versehen. Prüfe ich dann einen NTFS-Ordner auf seine effektive Berechtigung für einen User mit Admin-Rechten ist kein Haken bei "Besitzrechte übernehmen", auch nicht für die Gruppe "Administratoren". Dennoch ist dieser User in der Lage sich Berechtigungen zu einem Ordner auf dem Fileserver zu verschaffen (er war vorher nicht in der Liste eingetragen). Wie kann man das unterbinden und warum greift o.g. Einstellung nicht? Hinweis: Bitte keine Kommentare nach dem Motto: saubere Software verwenden, damit die User nicht im Admin-Modus arbeiten müssen. Es handelt sich hier um diverse Programmier-IDE-Schnittstellen mit Entwicklungssoftware. Grüße, e2e4 Quote Link to comment
Wurzelzwerg 10 Posted April 18, 2007 Report Share Posted April 18, 2007 Reicht es nicht, wenn du den Usern lokale Adminrechte vergibst? Meines Erachtens sollten die User dann nicht mehr die Möglichkeit haben, auf dem Fileserver Besitzrechte zu übernehmen. Quote Link to comment
e2e4 10 Posted April 18, 2007 Author Report Share Posted April 18, 2007 Die lokalen Adminrechte übergebe ich mittels "Eingeschränkte Gruppen" in einer GPO - oder was meinst Du? Grüße, e2e4 Quote Link to comment
Wurzelzwerg 10 Posted April 18, 2007 Report Share Posted April 18, 2007 Ok die Funktion hatte ich gerade nicht vor Augen, deswegen bin ich davon ausgegangen, dass Du mit eingeschränkten Gruppen = Verweigerungen im Dateisystem meinst. Dementsprechend kann ich dir dann noch nicht tiefergehend weiterhelfen, weil ich die genaue Funktionsweise nicht kenne. Nichts desto trotz scheinen deine User Domänen-weite Adminrechte zu haben, als lokale Admins dürften sie eigentlich auf dem Fileserver keine Rechte haben. Quote Link to comment
e2e4 10 Posted April 18, 2007 Author Report Share Posted April 18, 2007 Nichts desto trotz scheinen deine User Domänen-weite Adminrechte zu haben, als lokale Admins dürften sie eigentlich auf dem Fileserver keine Rechte haben. Lokale Admins haben standardmäßig das Recht zur "Übernahme des Besitzes von Dateien und Objekten" - also nicht nur Domänen-Admins. Dies kannst Du überprüfen, indem Du Dir einen Testuser mit Adminrechten anlegst und danach mal eine NTFS-Einstellung/Sicherheit des Dateiservers verändern möchtest ... ich war selbst überrascht. :eek: Andere Domänen-Adminbezogene Aufgaben können die User aber nicht machen, die Gruppenzugehörigkeiten etc. habe ich auch schon mehrfach geprüft. Mein Ziel ist es das Default-Recht für den Admin auf den Domänen-Admin zu setzen, was mir aber bislang nicht gelungen ist. Grüße, e2e4 Quote Link to comment
Wurzelzwerg 10 Posted April 19, 2007 Report Share Posted April 19, 2007 Dies kannst Du überprüfen, indem Du Dir einen Testuser mit Adminrechten anlegst und danach mal eine NTFS-Einstellung/Sicherheit des Dateiservers verändern möchtest ... ich war selbst überrascht. :eek: Habe meinen AD User (Mitglied in Domänen-Benutzer) in die lokale Admingruppe hinzugefügt. Dabei konnte ich deinen oben beschriebenen Sachverhalt nicht nachvollziehen. Weder konnte ich mir Berechtigungen auf ein Verzeichnis geben, wo der User überhaupt keine Rechte besaß (Register "Sicherheit" wurde gar nicht angezeigt), noch konnte ich Rechte auf einem Verzeichnis übernehmen, auf dem der Test User lediglich Leserechte hatte ("Sie besitzen nicht die Berechtigung, die Besitzrechte zu übernehmen" o.ä.). Das ganze natürlich mit Dateien auf einem Fileserver. Habs zwar nicht ausprobiert, aber ich gehe davon aus, dass der Testuser auf dem lokalen Computer alle NTFS Rechte übernehmen kann. Ich nehme an, deine Problematik hängt mit dem Weg der eingeschränkten Gruppen zusammen. Da fehlt mir allerdings das Wissen zu. Quote Link to comment
Wurzelzwerg 10 Posted April 19, 2007 Report Share Posted April 19, 2007 Ich muss mich korrigieren. Zwar kann ich die Besitzrechte nicht übernehmen, aber als lokaler Admin vorhandene Leserechte auf Vollzugriff ausweiten. :shock: :eek: Man lernt nie aus... Bloß - warum ist das so?? [Edit] Erst denken, dann schreiben. Lag natürlich daran, dass der Testuser auch Besitzer der Verzeichnisse war. Ist das bei dir auch der Fall? Quote Link to comment
e2e4 10 Posted April 20, 2007 Author Report Share Posted April 20, 2007 Salut, Zwar kann ich die Besitzrechte nicht übernehmen, aber als lokaler Admin vorhandene Leserechte auf Vollzugriff ausweiten. Man lernt nie aus... Bloß - warum ist das so?? Standeinstellung für "Übernehmen des Besitzes von Dateien und Objekten" auf den Ebenen Workstation / Server / Domänencontroller: Administratoren. Lag natürlich daran, dass der Testuser auch Besitzer der Verzeichnisse war.Ist das bei dir auch der Fall? Nein, der Besitzer des Verzeichnisses ist ein andere Account mit administrativen Rechten. Grüße, e2e4 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.