RalphT 15 Geschrieben 6. Dezember 2011 Melden Geschrieben 6. Dezember 2011 Hallo, ich habe eine Umgebung mit zwei DCs und 20 Clients. Auf den Clients sind die Rechte auf der Festplattenpartition D so eingestellt, dass die Nutzer - Administratoren - Sytem volle Rechte haben und der Nutzer - Benutzer nur Leserechte (Standard) haben. Also können alle Nutzer, die keine administrative Rechte haben, keine Dateien auf Laufwerk D schreiben. Ich habe es mal mit einem Nutzer getestet und es funktioniert alles so, wie es sein soll. Jetzt sehe bei einer Kontrolle auf den Rechnern, dass dort Ordner angelegt wurden. Ich habe mir den Besitzer der Ordner anzeigen lassen. Es war einer von den Schülern. Ich staune etwas. Wie konnte man das umgehen? Ich schließe mal den Fall aus, dass ein Schüler irgenwo Admin-Passswörter kennt o.ä. Zitieren
lefg 276 Geschrieben 6. Dezember 2011 Melden Geschrieben 6. Dezember 2011 Moin, schau dir mal die Sicherheitsgruppen an! Zitieren
RalphT 15 Geschrieben 6. Dezember 2011 Autor Melden Geschrieben 6. Dezember 2011 Moin, schau dir mal die Sicherheitsgruppen an! Das habe ich natürlich. Administrative Rechte haben auf den Computer - Administrator (Standard) - Domänenadmins (Standard) - Hilfadmin Die Gruppe Hilfadmin enthält nur einen Lehrer. Daran kanns eigentlich nicht liegen. Zitieren
lefg 276 Geschrieben 6. Dezember 2011 Melden Geschrieben 6. Dezember 2011 Welche Sicherheitsgruppen sind in den Einstellungennfür Laufwerk D eingetragen, welche Berechtigungen haben diese Gruppen, wer ist Mitglied? Wurden Rechte auf Verweigert gesetzt, was hat Priorität? Zitieren
RalphT 15 Geschrieben 6. Dezember 2011 Autor Melden Geschrieben 6. Dezember 2011 Also auf Laufwerk D ist es in der Root wie Folgt eingestellt: - Administatroren (volle Rechte) - System (volle Rechte) - Benutzer (Lesen, ausführen - Ordnerinhalt auflisten - Lesen) Das Laufwerk D ist in der Regel leer. Die beiden Ordner wurden unterhalb der Root angelegt. Mit "Verweigern" arbeite ich nicht. Ist hier natürlich auch nicht gesetzt. Zitieren
IThome 10 Geschrieben 6. Dezember 2011 Melden Geschrieben 6. Dezember 2011 Schau Dir mal die speziellen Berechtigungen für "Benutzer" an ... welche Haken sind alle gesetzt ? Wer ist der Besitzer dieser Ordner ? Zitieren
RalphT 15 Geschrieben 6. Dezember 2011 Autor Melden Geschrieben 6. Dezember 2011 Oh man wie peinlich! Dort hat jeder "Benutzer" das Recht Ordner erstellen und Dateien erstellen. Jetzt aber doch die Frage: Wieso ist das da eingetragen? Zitieren
IThome 10 Geschrieben 6. Dezember 2011 Melden Geschrieben 6. Dezember 2011 Das ist eine Frage, die man kaum beantworten kann ... Möglicherweise, weil beim Konfigurieren der Berechtigungen ein Fehler gemacht wurde ... Von selbst jedenfalls erscheint so etwas nicht ... Zitieren
RalphT 15 Geschrieben 6. Dezember 2011 Autor Melden Geschrieben 6. Dezember 2011 Von selbst jedenfalls erscheint so etwas nicht ... Hm, ich habe das gerade mal eben bei einem PC getestet. Eine neue Partition erstellt und neu formartiert Die Sicherheitsgruppen, die denn da standardmäßig erscheinen sind - Administratoren - Benutzer - ERSTELLER-BESITZER - Jeder - SYSTEM Ich habe dann die Gruppen Ersteller-Besitzer und Jeder gelöscht. Auch wenn man hier garnichts verändert und gleich unter Erweitert nachsieht, stehen dort schon drei Einträge für die Gruppe Benutzer. UNd zwei Einträge erlauben jeweils das Erstellen von Ordner und Dateien. Zitieren
IThome 10 Geschrieben 6. Dezember 2011 Melden Geschrieben 6. Dezember 2011 Diese 3 Berechtigungen wurden von der Root des Laufwerks geerbt ... Also hast Du bei der Unterbrechung der Vererbung für den neuen Ordner die Berechtigungen kopiert (das ist nicht von selbst, Du hast sie kopiert) und nicht entfernt und neu erstellt. Wenn kopiert wird, dann gelten diese Berechtigungen natürlich auch, wie sie es vererbt ja auch tun ... Also entweder die Root-Berechtigungen VORHER anpassen, die Vererbung deaktivieren und die Berechtigungen entfernen und neu setzen oder im Nachhinein die Berechtigungen so anpassen, wie es sein soll ... Zitieren
RalphT 15 Geschrieben 6. Dezember 2011 Autor Melden Geschrieben 6. Dezember 2011 Ja das ist schon richtig, aber ich sprach eben von den Rootberechtigungen. Ich hatte eben geschrieben, dass ich eine neue Partition erstellt habe. Wenn ich in einen PC eine neue Festplatte einbaue, und diesen unter Datenträgerverwaltung einbinde, dann werden doch per default immer die gleichen Sicherheitsgruppen mit den entsprechenden Rechten angelegt. Und hier sind in den Rootberechtigungen schon diese beiden Einträge von der Gruppe Benutzer zu sehen. Zitieren
IThome 10 Geschrieben 6. Dezember 2011 Melden Geschrieben 6. Dezember 2011 Ja , das sind die Default-Rootberechtigungen für neue Laufwerke. Diese Werte werden automatisch vom System gesetzt ... Das ist bei meiner gerade neu erstellten Festplatte auch so ... edit: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_scedefaultpols.mspx?mfr=true Zitieren
RalphT 15 Geschrieben 6. Dezember 2011 Autor Melden Geschrieben 6. Dezember 2011 Was mich dabei nur etwas stutzig macht ist folgendes: Unter Eigenschaften ist für die Gruppe Benutzer kein Schreibrecht vorgesehen (siehe Bild 1) Aber unter den speziellen Eigenschaften hat die Gruppe Benutzer Rechte zum Erstellen von Dateien und Ordnern. (Siehe Bild 2 rot unterlegt) Ich finde das etwas irreführend. Zitieren
Dukel 466 Geschrieben 6. Dezember 2011 Melden Geschrieben 6. Dezember 2011 Was kommt bei "effektive Berechtigungen" heraus, wenn du den User einträgst? Zitieren
RalphT 15 Geschrieben 6. Dezember 2011 Autor Melden Geschrieben 6. Dezember 2011 Ich beschrannke mich hier auf zwei Zeilen, die wichtig sind: Ordner erstellen / Daten anhängen ist erlaubt Dateien erstellen / Daten schreiben ist nicht erlaubt Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.