sfr 10 Geschrieben 26. Januar 2012 Melden Teilen Geschrieben 26. Januar 2012 Hallo habe eine Frage zur Verzeichnisberechtigung. Serverbetriebssystem Windows Server SBS 2008. Ich habe eine Freigabe: Daten - Freigabeberechtigung: jeder=ändern, NTFS:jeder=lesen Unterordner1: NTFS Berechtigung: Vererbung aus, Individuelle Berechtigungen Unterordner von Unterordner1: Vererbung aktiv Jetzt meine Fragen: Liege ich richtig, dass ich in der Freigabeberechtigung (jeder=ändern) einstellen muss damit User in den Unterordner schreiben dürfen? Wenn ich in den effektiven Berechtigungen schaue, dann habe User, die Leseberechtigungen bekommen haben das Recht die Berechtigungen zu ändern?? Habe ABE auf das verzeichnis aktiviert. Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 26. Januar 2012 Melden Teilen Geschrieben 26. Januar 2012 Die Berechtigungen auf der Freigabe haben die höchste Priorität, in Deinem Fall ("Ändern") hat der User kein Recht zum Ändern der NTFS-Rechte. Bei der Anzeige der effektiven NTFS-Rechte sind die Rechte der Freigabe aber nicht relevant. Woher sollte das Tools wissen, über welche Freigabe der User zugreift (es könnte ja mehr als Eine geben) ? Wenn der Üser irgendwo in einer Freigabe schreiben können soll, muss er dort das Recht "Schreiben" oder "Ändern" bekommen. Die NTFS-Rechte entscheiden dann die Details. Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 26. Januar 2012 Autor Melden Teilen Geschrieben 26. Januar 2012 Die Berechtigungen auf der Freigabe haben die höchste Priorität, in Deinem Fall ("Ändern") hat der User kein Recht zum Ändern der NTFS-Rechte. Bei der Anzeige der effektiven NTFS-Rechte sind die Rechte der Freigabe aber nicht relevant. Woher sollte das Tools wissen, über welche Freigabe der User zugreift (es könnte ja mehr als Eine geben) ? Wenn der Üser irgendwo in einer Freigabe schreiben können soll, muss er dort das Recht "Schreiben" oder "Ändern" bekommen. Die NTFS-Rechte entscheiden dann die Details. Das bedeutet doch aber auch das der User schon in der Freigabeberechtigung das Recht ändern bekommt damit der User überhaupt das Recht hat in der Freigabe in einem Unterverzeichnis schreiben zu dürfen. Bsp: Freigabe: Freigabeberechtigung jeder=ändern, NTFS jeder lesen (da in oberster Instanz keiner schreiben soll!!) Unterordner: NTFS jeder schreiben So verstehe ich das richtig, oder? Genau so habe ich das auch gemacht, es funktioniert ja auch normalerweise alles, nur gerade habe ich das Problem, dass der User unter dem Punkt effektive Berechtigungen auch das recht hat Berechtigungen auf Verzeichnissen zu ändern!! Ich weiß nur nicht wo diese Berechtigungen herkommen! Kann das etwas mit lokalen Administratorenrechte zu tun haben. Ich meine User bekommen per GPO lokale Adminrechte. Wenn Sie als lokale Admins arbeiten, bekommen Sie ja anhand der Berechtigungen der HDD (c, Administrator:Vollzugriff) Berechtigungen, die sie gar nicht haben solllen. Stehe gerade echt mal wieder auf dem Schlauch! Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 26. Januar 2012 Autor Melden Teilen Geschrieben 26. Januar 2012 (bearbeitet) Was ich jetzt noch herausgefunden habe ist, dass alle User in oberster Instanz © Vollzugriff haben, obwohl sie diese rechte nicht haben dürften! Sie stecken auch nicht in einer Gruppe, die Vollzugriff hat (nur Domänen-Benutzer).?? EDIT: Selbst wenn ich einen neuen User in der AD anlege hat dieser sofort Vollzugriff auf C. Welche Ansätze sollte ich probieren? Habe mir schon die Gruppen auf dem DC angeschaut, User sind aber lediglich in Domänen-Benutzer. Jemand noch eine Idee? bearbeitet 26. Januar 2012 von sfr Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 26. Januar 2012 Melden Teilen Geschrieben 26. Januar 2012 Moin, aber Domänen-Benutzer sind ja auch alle User ... Die obige Angabe ist übrigens nicht ganz richtig. Freigabeberechtigungen haben keine höhere Priorität. Tatsächlich ist es so, dass Freigabeberechtigungen und NTFS-Berechtigungen unabhängig voneinander evaluiert werden (weil verschiedene OS-Komponenten dafür zuständig sind). Von beiden gilt dann das Restriktivere. Beispiel: Freigabe effektiv Ändern, NTFS effektiv lesen --> User darf nur lesen Freigabe effektiv lesen, NTFS effektiv Vollzugriff --> User darf nur lesen In fast allen Situationen ist es am besten, auf Freigabeebene "Jeder: Vollzugriff" zu setzen (sog. Null-ACL), weil dann die NTFS-Berechtigungen immer 1:1 gelten. Spart erheblich Komplexität. Zum Rest ist vielleicht dies von Interesse: faq-o-matic.net » Windows-Gruppen richtig nutzen Gruß, Nils Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 26. Januar 2012 Autor Melden Teilen Geschrieben 26. Januar 2012 HI Nils Ich habe diese ganzen Szenarien schon durchgespielt und komme nicht auf die Lösung! Die Gruppe Domänen-Benutzer hat keinen Vollzugriff auf die Verzeichnisse, Jeder der User selbst auch nicht, dennoch wird ausgegeben, dass er diese hat. Ein paar Ebenen tiefer hat der User "nur" Leserechte, aber auch die Berechtigung "Berechtigung ändern". Ich vermute, dass diese Berechtigung durch die Berechtigung "Vollzugriff" auf der oberstenen Ebene C zustande kommt. Etwas ist definitiv nicht in Ordnung. So oft ich das auch schon gemacht habe so etwas ist mir noch nciht untergekommen. Hast du vielleicht noch eine Idee? GPO vlt? Lokale Adminrechte? Kann doch dann aber auch nichts mit Verzeichnisrechte zu tun habe! Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 26. Januar 2012 Melden Teilen Geschrieben 26. Januar 2012 Moin, aber Domänen-Benutzer sind ja auch alle User ... Die obige Angabe ist übrigens nicht ganz richtig. Freigabeberechtigungen haben keine höhere Priorität. Tatsächlich ist es so, dass Freigabeberechtigungen und NTFS-Berechtigungen unabhängig voneinander evaluiert werden Ich habe nur versucht es etwas volkstümlich aus Sicht des Users zu beschreiben... In fast allen Situationen ist es am besten, auf Freigabeebene "Jeder: Vollzugriff" zu setzen (sog. Null-ACL), weil dann die NTFS-Berechtigungen immer 1:1 gelten. Spart erheblich Komplexität. Wenn die User dann anfangen die ACL bei ihren Dateien zu verstellen, siehst Du das anders. Empfehlung: Usern nicht merh als "Ändern" geben. Die Verstellerei der NTFS-Rechte hat dann ein Ende. Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 27. Januar 2012 Autor Melden Teilen Geschrieben 27. Januar 2012 Ich habe nur versucht es etwas volkstümlich aus Sicht des Users zu beschreiben... Wenn die User dann anfangen die ACL bei ihren Dateien zu verstellen, siehst Du das anders. Empfehlung: Usern nicht merh als "Ändern" geben. Die Verstellerei der NTFS-Rechte hat dann ein Ende. Die User bekommen auch eigentlich nicht mehr als ändern. Bei mir bekommen Sie in gar keinen Fall Vollzugriff. Aber den haben sie zumindestens auf C, wo das her kommt weiß ich nicht. Ich gehe davon aus, dass sie daher auch das Recht haben die Berechtigung zu ändern, denn auf den Unterordnern bekommen sie maximal das Recht ändern. Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 27. Januar 2012 Autor Melden Teilen Geschrieben 27. Januar 2012 Die User bekommen auch eigentlich nicht mehr als ändern. Bei mir bekommen Sie in gar keinen Fall Vollzugriff. Aber den haben sie zumindestens auf C, wo das her kommt weiß ich nicht. Ich gehe davon aus, dass sie daher auch das Recht haben die Berechtigung zu ändern, denn auf den Unterordnern bekommen sie maximal das Recht ändern. Problem gelöst! In der Gruppe Administratoren hat sich NT-Autorität eingeschlichen. Deshalb die merkwürdigen Berechtigungen.. Danke! Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 27. Januar 2012 Melden Teilen Geschrieben 27. Januar 2012 Meinst Du mit "C:" ihr lokales Laufwerk ? Wie Nils schon schrieb, haben Freigaben hier nicht zu "sagen". In welchen Gruppen befinden sich denn die User lokal und in der Domäne ? Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 27. Januar 2012 Autor Melden Teilen Geschrieben 27. Januar 2012 Meinst Du mit "C:" ihr lokales Laufwerk ? Wie Nils schon schrieb, haben Freigaben hier nicht zu "sagen". In welchen Gruppen befinden sich denn die User lokal und in der Domäne ? Mit c meinte ich das Laufwerk des Servers. Lokal sind die User in der Gruppe der Administratoren, da sie diese Rechte brauchen (blabla). Von der Freigabe selbst habe ich nicht mehr geschrieben, habe das glaube ich schon verstanden wie das mit der Berechztigung läuft, die Freigabeberechtigung steht bei mir nach wie vor auf ändern, so habe ich das immer gemacht, mit ntfs gehe ich ins Detail.. In der Domäne befanden sich die User nur in der Gruppe der Domänen Benutzer.. Da aber in den NTFS Berechtigung des Servers auf c Authentifizierte Benutzer bzw. NT-Authorität Vollzugriff hatten, hatten die User Berechtigungen, die nicht nachzuvollziehen waren. Denn Authentifizierte Benutzer waren in der Gruppe der Administratoren... Nachdem ich sie entfernt habe, waren die Berechtigungen wieder in Ordnung und alles sieht wieder rosig aus.. Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 27. Januar 2012 Melden Teilen Geschrieben 27. Januar 2012 Mit c meinte ich das Laufwerk des Servers. Lokal sind die User in der Gruppe der Administratoren, da sie diese Rechte brauchen (blabla).[/Quote] Und dann wundert es dich, dass sie Berechtigungen haben? Warum brauchen User denn lokale adminrechte? Bye Norbert Zitieren Link zu diesem Kommentar
sfr 10 Geschrieben 28. Januar 2012 Autor Melden Teilen Geschrieben 28. Januar 2012 Und dann wundert es dich, dass sie Berechtigungen haben? Warum brauchen User denn lokale adminrechte? Bye Norbert Ist nicht auf meinem Mist gewachsen Norbert! ;) Wenn der Chef das so haben will.. Mit lokal in der Gruppe der Administratoren meine ich lokal auf derem Rechner, nicht auf dem Server! Der Server hat keine lokalen User und Gruppen, da er DC ist! Und die lokalen Adminrechte haben ja auch nichts mit den Verzeichnisrechten zu tun, oder etwa doch.. Lag ja letztendlich an der Gruppe authentifzierte Benutzer, die in der Gruppe Administratoren war. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.