Jump to content
Sign in to follow this  
flip01

Vererbte Besitzrechte

Recommended Posts

Hallo alle miteinander!

 

Vielleicht kann mir jemand bei folgender Frage helfen.

 

Wenn ich bei XP die Besitzrechte an die Gruppe "Administratoren" vererbe,-

hat dann jedes Mitglied der Gruppe die Besitzrechte?

 

Kann das jemand von Euch bestätigen oder dementieren?

 

Hintergrund:

 

Ich hatte die Besitzrechte auf das Laufwerk, nachdem ich sie erst der Gruppe Administratoren gegeben hatte, einzelnen Usern gegeben, wenn deren lokeales Profil lief.

Danach laufen bei den anderen Profilen die Proggies nicht mehr.

Share this post


Link to post

Erstmal immer langsam, unnötige Hektik bringt nichts!

 

Prinzipiell ist deine Vermutung richtig, solange die vererbten Rechte nicht weiter unterhalb durch ander Zuweisungen wieder genommen oder ausgeschlossen werden.

Share this post


Link to post

OK...tief durchatmen...Ich bin gaaaaanz ruhig und entspannt :-)

Wollte auch gar keine unnötige Hektik verbreiten.

Ich muß zugeben,- es war das erste Mal(deshalb so aufgeregt) und frag mich bitte lieber keiner nach dem backup. (*rotwerdvorscham*)

 

Danke auf jeden Fall für die Antwort Dotore!

 

Das die Vermutung prinzipiell richtig ist beruhigt mich wirklich schon mal ungemein.

 

 

Ich würde also nun mal versuchen, den Besitz wieder auf die ganze Administratorenguppe zu übertragen, in der Hoffnung das alle wieder ihre Programme starten können.

 

Was aber meinst du mit weiter unten?

Etwa dies hier...

Nun gibts ja dieses hübsche Häkchen weiter unten: "Besitzer für Unterordner und Objekte ersetzen"

 

Das hatte ich auf Anraten hin immer aktiviert. Bringt das Probleme mit sich?

Share this post


Link to post

Hi !

Wenn Du den Besitz nach unten weitervererbst, sind die Administratoren in allen darunterliegenden Verzeichnissen auch die "Besitzer". Damit haben sie das Recht, Zugriffsrechte auf diese Verzeichnissee zu ändern.

Sie haben damit noch nicht automatisch das Recht, auf diese Verzeichnisse auch zuzugreifen. Dieses Recht mußt Du auch wieder eintragen für den Ordner und alle darunterliegenden. Dann können die Admins auch wieder zugreifen.

Aber ich hab das Gefühl, bei Dir sind ziemliche viele Leute LocalAdmin ?

Vielleich solltest Du Deine Problematik mal etwas ausführlicher erläutern ?

Share this post


Link to post

Hallo Zuschauer!

 

Danke für Deine sehr verständliche Ausführung! Werde heute abend versuchen die ganzen noch notwendigen Zugriffsrechte zu vergeben.

 

Du hast absolut recht,- es sind viele, die da in der Gruppe Administrtoren stecken um nicht zu sagen Alle:-)

 

Die Vorgeschichte dazu:

 

Ich fand ein reines XP-Netzwerk ohne Serverversion, mit dem Hauptrechner "Server" und 3 Clients vor, welches mein Vorgänger vor knapp 2 Jahren eingerichtet hatte.

 

Alle User (6) hatten von Anfang an über die einfache Dateifreigabe Adminrechte auf allen Rechnern zugeordnet bekommen. (Bestimmt nicht das, was einem Sicherheitsbeauftragten den Tag versüßt)

 

Auf dem Hauptrechner sind in einem Verzeichnis zusätzlich servergespeicherte Profile angelegt.

 

Ich sollte 2 weitere Rechner integrieren. Habe ich gemacht, mit Angabe des Serverprofilpfades, wie bei den anderen.

 

Leider bekam ich von Windows beim Anmelden immer wieder die Meldung, dass das SGP (ServerGespeichertesProfil) nicht geladen werden kann, weil der Benutzer nicht nur Zugriffsrechte braucht sondern auch Besitzer sein muß.

Die auf dem Hauptrechner angelegten Userlaufwerke werden problemlos gemappt.

 

Also hab ich frank und frei die einfache Dateifreigabe abgeschaltet und die Besitzrechte wie oben beschrieben vergeben und das Prob bekommen das auch oben steht.

 

Eigentlich wollte ich nur den Urzustand,- wenn auch gefährlich wg. Angreifern) herstellen plus die Besitzrechte an die User vergeben, wie von MS gewünscht.

(Das kommt davon, wenn man Fehlermeldungenm wörtlich nimmt:-))

 

Ich habe erst später festgestellt, dass alle anderen ja auch nicht auf die SGP's sondern lokal zugreifen. Die SGP's sind schon sein einem Jahr nicht mehr geladen worden und ich gehe inzwischen davon aus, dass die SGP's alle miteinander zerschossen sind.

 

Das schöne ist, die Leute arbeiten auch noch lokal mit Outlook. Wie mein Vorgänger es allerdings geschafft hat, mit SGP's zu managen ist mir bis dato noch schleierhaft.

 

Ich habe dann auch erstmal zusätzlich die vollen Rechte auf den Ordner Programme an alle gegeben. Habe das auch auf das Gesamte Laufwerk angewendet. Trotzdem habe ich zum Beispiel das Phänomen, dass jetzt Word z.B. wieder läuft aber das das Aussehen aller Symbole von .doc Dateien geändert ist.

 

Wenn ich das gesamte Laufwerk freigeben will,(Ich weiß das ist Sicherheitsharakiri aber dann müßten die Zugriffsprobs ja erstmal beseitigt sein?!?) - genügt es dann, das ich die Freigabe unter "C" regele oder muß jetzt jeder Unterordner explizit freigegeben werden?

 

Tatsächlich habe ich vor, den Leuten ans Herz zu legen nun doch mal eine Serverversion zu erstehen. Nur, bis das soweit ist muß es irgendwie laufen.

 

Ist die Beschreibung nun verständlich/ausführlich genug?

 

Noch eine kleine Frage: Wenn ich nun die lokalen Profile auf den Hauptrechner über die SGP's kopiere besteht dann Grund zur Hoffnung, das diese dann wieder geladen werden oder gibt's dann Probs mit den SID's?

 

Danke für die Anteilnahme :-)

Share this post


Link to post

So, hat nun alles soweit gut geklappt.

 

Vielen Dank für die Hilfe!!!

Mit Euch kann man was lernen :-)

 

 

Einziges verbliebenes Manko,- das Aussehen der .doc Symbole aber damit geht's zu leben.

 

Nun werde ich die Tage nach und nach vorsichtig die Berechtigungen einschränken um das ganze etwas sicherer zu gestalten.

 

Geholfen hat mir dabei auch noch das Tool:

 

DumpSec von SomarSoft Utilities

Es hieß früher wohl mal DumbAcl.

 

Das Tool listet dediziert alle Berechtigungen von allen Gruppen und Usern einer Mühle auf.

Es ist Freeware und gibts hier:

http://www.systemtools.com/somarsoft/

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...