Jump to content
Sign in to follow this  
fudelsut

Probleme mit NTFS-Rechten

Recommended Posts

Hallo zusammen,

 

ich habe folgendes Problem mit einer Freigabe auf einem W2K3-Server:

Ein sogenanntes "Austauschverzeichnis" soll so mit Rechten versehen werden, dass eine Gruppe namens "Austausch" lesen, schreiben und löschen kann. Sicherheitseinstellungen soll die Gruppe jedoch nicht ändern können. - Wie kann ich das aber verhindern? Wenn ein Mitglied der Gruppe Austausch im Verzeichnis einen neuen Ordner anlegt, wird dieser als Besitzer eingetragen und kann somit auch die Sicherheitseinstellungen ändern!

 

Wie kann ich dies unterbinden?

Kann man einen Besitzer vorgeben, der eingetragen wird, wenn neue Ordner in dem Verzeichnis erstellt werden?

Share this post


Link to post

Du gibst der Gruppe "Jeder! (oder "Benutzer" ode wem auch immer) auf der Freigabeebene nur Ändern, dann ist das für die Gruppenmitglieder mit "Besitzer hat immer die Berechtigung "Berechtigung ändern" Makulatur. ;)

 

grizzly999

Share this post


Link to post

Der Besitzer eines NTFS Objekts hat IMMER die Berechtigung, die Berechtigung zu ändern. :wink2:

(Über eine Freigabe aber nicht mit meinem oben beschrieben Weg)

 

grizzly999

Share this post


Link to post

Schonmal danke für die Antworten! - Auf den Trick mit der Freigabe wäre ich nicht gekommen... Die stehen nämlich bei mir standardmäßig auf Jeder = Vollzugriff, da ich alles mit NTFS einschränken wollte.

 

Aber sehe ich das jetzt richtig? - Im Prinzip ist es egal, ob man dem Ersteller-Besitzer die Rechte nimmt oder Jeder über die Freigabe einschränkt, das Ergebnis ist das gleiche, oder?

--> Administratoren können die Sicherheitseinstellungen ändern (uA auch Ownership übernehmen) alle anderen nicht?

 

Aber ich habe noch eine weitere Frage, wo wir grad beim Thema Rechtevergabe sind :) :

Ich habe eine GPO, die ausgewählte Domänen-Mitglieder zu lokalen Administratoren aufwertet. Diese werden scheinbar in die Gruppe DOMÄNE\Administratoren gesteckt (oder am Server so authentifiziert). Nun ist es bei den Freigaben so, dass die Gruppe Administratoren immer mit Vollzugriff in jeden neu erstellen Ordner geschrieben wird. Dadurch können eben diese User (die ja nur lokale Admins sein sollen) auf alle Shares zugreifen!

 

Stimmt da etwas mit meiner GPO nicht, oder sind nur die Rechte ungeschickt gesetzt???

Share this post


Link to post
Aber sehe ich das jetzt richtig? - Im Prinzip ist es egal, ob man dem Ersteller-Besitzer die Rechte nimmt oder Jeder über die Freigabe einschränkt, das Ergebnis ist das gleiche, oder?

Nein, das ist nicht das gleiche. Standardmäßig hat der Besitzer eines Objektes immer die Berechtigung "Berechtigung ändern", selbst wenn man ihm den Zugriff explizit verweigern würde. Das ist von den NTFS-Berechtigungen der Gruppe Ersteller-Besitzer unabhängig. Mit der Freigabeberechtigung Jeder-> Ändern hat er aber diese "serienmäßig eingebaute" Berechtigung nicht mehr (außer er ist lokaler Admin) ;)

 

 

--> Administratoren können die Sicherheitseinstellungen ändern (uA auch Ownership übernehmen) alle anderen nicht?

Yep, aber siehe oben.

 

 

Ich habe eine GPO, die ausgewählte Domänen-Mitglieder zu lokalen Administratoren aufwertet. Diese werden scheinbar in die Gruppe DOMÄNE\Administratoren gesteckt (oder am Server so authentifiziert). Nun ist es bei den Freigaben so, dass die Gruppe Administratoren immer mit Vollzugriff in jeden neu erstellen Ordner geschrieben wird. Dadurch können eben diese User (die ja nur lokale Admins sein sollen) auf alle Shares zugreifen!

Dann stimmt doch was mit deiner GPO nicht. wenn ein User in die lokale Administratorengruppe kommt, ist er auch nur lokaler Admin, kein Domänen-Admin. Hast du die GPO etwas auf Domänenebene gemacht? Dann würde sie auch auf die OU Domänen-Controller wirken, das wäre schlecht, dann wären die User auch Admins auf den DCs.

 

grizzly999

Share this post


Link to post

Dann stimmt doch was mit deiner GPO nicht. wenn ein User in die lokale Administratorengruppe kommt, ist er auch nur lokaler Admin, kein Domänen-Admin. Hast du die GPO etwas auf Domänenebene gemacht? Dann würde sie auch auf die OU Domänen-Controller wirken, das wäre schlecht, dann wären die User auch Admins auf den DCs.

 

grizzly999

 

Ist scheinbar wirklich so, dass die GPO nicht in Ordnung ist. Aber was habe ich falsch gemacht?

Share this post


Link to post

Keine Ahnung, wie sollen wir das wissen, wenn wir nicht wissen, was du alles wo und wie eingestellt hast :rolleyes:

Oder war das nur eine rhetorische Frage

 

grizzly999

Share this post


Link to post
Keine Ahnung, wie sollen wir das wissen, wenn wir nicht wissen, was du alles wo und wie eingestellt hast :rolleyes:

Oder war das nur eine rhetorische Frage

 

grizzly999

 

Es war wohl doch eher eine rhetorische Frage... Habe den Fehler nämlich bereits behoben:

Eine Eingabe bei den eingeschränken Gruppen war vertauscht, sodass alle lokalen Admins Mitglieder der Gruppe DOMÄNE\Administratoren geworden sind.

Share this post


Link to post

Ich wollte nochmal zur Info posten, dass es sehr wohl möglich ist, den Besitzer eines Dokumentes / Ordners so mit Rechten auszustatten, dass er keine Sicherheitseinstellungen tätigen darf:

 

Auf der Freigabeebene zu operieren ist unnötig. Dem Benutzer "Jeder" / "Everyone" nur Ändern-Rechte zu geben hilft nicht...

 

Man muss auf NTFS-Ebene agieren. Dadurch dass man den "Ersteller-Besitzer" / "Creator-Owner" aus den Sicherheitseinstellungen löscht, das ganze dann auf alle untergeordneten Objekte vererbt, ist es möglich die Besitzer der Objekte auszusperren. Bei neuen Objekten werden zwar entsprechende Besitzer eingetragen, diese haben dann aber nur Benutzerrechte (sofern vorher so definiert).

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...