Jump to content
Sign in to follow this  
RalphT

Nutzer haben Schreibrechte obwohl es nicht erlaubt ist

Recommended Posts

Hallo,

 

ich habe eine Umgebung mit zwei DCs und 20 Clients. Auf den Clients sind die Rechte auf der Festplattenpartition D so eingestellt, dass die Nutzer

 

- Administratoren

- Sytem

 

volle Rechte haben und der Nutzer

 

- Benutzer

 

nur Leserechte (Standard) haben.

 

Also können alle Nutzer, die keine administrative Rechte haben, keine Dateien auf Laufwerk D schreiben. Ich habe es mal mit einem Nutzer getestet und es funktioniert alles so, wie es sein soll.

 

Jetzt sehe bei einer Kontrolle auf den Rechnern, dass dort Ordner angelegt wurden. Ich habe mir den Besitzer der Ordner anzeigen lassen. Es war einer von den Schülern.

 

Ich staune etwas. Wie konnte man das umgehen? Ich schließe mal den Fall aus, dass ein Schüler irgenwo Admin-Passswörter kennt o.ä.

Share this post


Link to post
Share on other sites
Moin,

 

schau dir mal die Sicherheitsgruppen an!

 

Das habe ich natürlich. Administrative Rechte haben auf den Computer

 

- Administrator (Standard)

- Domänenadmins (Standard)

- Hilfadmin

 

Die Gruppe Hilfadmin enthält nur einen Lehrer.

Daran kanns eigentlich nicht liegen.

Share this post


Link to post
Share on other sites

Welche Sicherheitsgruppen sind in den Einstellungennfür Laufwerk D eingetragen, welche Berechtigungen haben diese Gruppen, wer ist Mitglied?

 

Wurden Rechte auf Verweigert gesetzt, was hat Priorität?

Share this post


Link to post
Share on other sites

Also auf Laufwerk D ist es in der Root wie Folgt eingestellt:

 

- Administatroren (volle Rechte)

- System (volle Rechte)

- Benutzer (Lesen, ausführen - Ordnerinhalt auflisten - Lesen)

 

Das Laufwerk D ist in der Regel leer. Die beiden Ordner wurden unterhalb der Root angelegt.

 

Mit "Verweigern" arbeite ich nicht. Ist hier natürlich auch nicht gesetzt.

Share this post


Link to post
Share on other sites

Oh man wie peinlich! Dort hat jeder "Benutzer" das Recht Ordner erstellen und Dateien erstellen.

 

Jetzt aber doch die Frage: Wieso ist das da eingetragen?

Share this post


Link to post
Share on other sites

Das ist eine Frage, die man kaum beantworten kann ... Möglicherweise, weil beim Konfigurieren der Berechtigungen ein Fehler gemacht wurde ... Von selbst jedenfalls erscheint so etwas nicht ...

Share this post


Link to post
Share on other sites
Von selbst jedenfalls erscheint so etwas nicht ...

 

Hm, ich habe das gerade mal eben bei einem PC getestet. Eine neue Partition erstellt und neu formartiert

Die Sicherheitsgruppen, die denn da standardmäßig erscheinen sind

 

- Administratoren

- Benutzer

- ERSTELLER-BESITZER

- Jeder

- SYSTEM

 

Ich habe dann die Gruppen Ersteller-Besitzer und Jeder gelöscht.

Auch wenn man hier garnichts verändert und gleich unter Erweitert nachsieht, stehen dort schon drei Einträge für die Gruppe Benutzer.

UNd zwei Einträge erlauben jeweils das Erstellen von Ordner und Dateien.

Share this post


Link to post
Share on other sites

Diese 3 Berechtigungen wurden von der Root des Laufwerks geerbt ... Also hast Du bei der Unterbrechung der Vererbung für den neuen Ordner die Berechtigungen kopiert (das ist nicht von selbst, Du hast sie kopiert) und nicht entfernt und neu erstellt. Wenn kopiert wird, dann gelten diese Berechtigungen natürlich auch, wie sie es vererbt ja auch tun ...

Also entweder die Root-Berechtigungen VORHER anpassen, die Vererbung deaktivieren und die Berechtigungen entfernen und neu setzen oder im Nachhinein die Berechtigungen so anpassen, wie es sein soll ...

Share this post


Link to post
Share on other sites

Ja das ist schon richtig, aber ich sprach eben von den Rootberechtigungen. Ich hatte eben geschrieben, dass ich eine neue Partition erstellt habe. Wenn ich in einen PC eine neue Festplatte einbaue, und diesen unter Datenträgerverwaltung einbinde, dann werden doch per default immer die gleichen Sicherheitsgruppen mit den entsprechenden Rechten angelegt.

Und hier sind in den Rootberechtigungen schon diese beiden Einträge von der Gruppe Benutzer zu sehen.

Share this post


Link to post
Share on other sites

Was mich dabei nur etwas stutzig macht ist folgendes:

Unter Eigenschaften ist für die Gruppe Benutzer kein Schreibrecht vorgesehen (siehe Bild 1)

 

eigenschaften.jpg

 

Aber unter den speziellen Eigenschaften hat die Gruppe Benutzer Rechte zum Erstellen von Dateien und Ordnern. (Siehe Bild 2 rot unterlegt)

 

eigenschaften2.jpg

 

Ich finde das etwas irreführend.

Share this post


Link to post
Share on other sites

Ich beschrannke mich hier auf zwei Zeilen, die wichtig sind:

 

Ordner erstellen / Daten anhängen ist erlaubt

Dateien erstellen / Daten schreiben ist nicht erlaubt

 

eigenschaften3.jpg

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...