Div. Anfängerfragen: NTFS Berechtigungen in einer Domain

[NullDevice 10]

Hallo,

 

Habe Win2008R2 als DC, bin noch Anfänger und hab einige Fragen zu NTFS Berechtigungen, die mir etwas paradox vorkommen:

 

 

1)

Es gibt die BuiltIn Gruppe Administratoren und die Gruppe Domänen-Admins die darin Mitglied ist. Ich hab hier noch den User admin, der wiederum Mitglied in Domänen-Admins ist.

 

Es gibt Ordner, zB. Profilordner von anderen Usern auf meinem Testsystem, die ich als Admin nicht öffnen kann, obwohl die Gruppe "Administratoren" Vollzugriff (Ordner, Unterordner und Dateien) hat. - Wie kann das sein?

 

Füge ich den User admin selbst hinzu, geht es plötzlich.

Das gleiche Problem hatte ich auch schon an anderen Stellen mit der Gruppe "Domain-admins" und dem User admin.

 

 

2)

Wieso findet man die Gruppe "Administratoren" nicht beim Hinzufügen-Dialog einer Berechtigung? Ich kann nur Domänen-Admins hinzufügen. Ich finde diese Gruppe auch nicht wenn explizit "BuiltIn" auswähle.

 

 

3)

Wieso sagt man, dass die BuiltIn Gruppen (hab ich gelesen), lokale Gruppen sind. Jedoch werden sie als "meineDOMAIN\Administratoren" angezeigt und nicht als "meinSERVER\Administratoren"?

Ich bin mir nicht ganz sicher als was ich diese Gruppen zu verstehen habe...

 

 

4)

Ich habe hin und wieder den Fall, dass ich obwohl ich Domain admin bin, nicht die komplette Ordnerhierarchie als Besitzer übernehmen kann, obwohl nirgends "verweigern" Rechte gesetzt sind. Woran liegt das und was kann man dagegen machen?

 

 

5)

Gibt es irgendein Tool oä. das mir innerhalb einer Ordnerstruktur alle Ordner anzeigt, auf die Berechtigungen für einen bestimmten User/Gruppe gesetzt sind?

Das ist meiner Meinung nach sehr nütztlich, wenn man eine Gruppe löscht oä. Denn da möchte ich vorher schon wissen, wo überall sie vorkommt, bzw. dort dann die Recht angepasst werden müssen.

 

Kann auch gerne ein cmd-Tool sein, stört mich nicht.

 

 

Lg + Danke im Voraus,

ND

[Dukel 436]

2) Ist der Pfad auf Lokaler Rechner oder auf Domäne eingstellt?

3) Gibt es einen Domänengruppe Administratoren? Dann ist evtl. diese und nicht die Lokale Gruppe Administratoren gemeint.

[NullDevice 10]

2) Ist der Pfad auf Lokaler Rechner oder auf Domäne eingstellt?

Kann mich erinnern alles ausprobiert zu haben. Auch wie gesagt direkt "BuiltIn" wo die Gruppe definitiv drin ist.

Kann es allerdings gerade nicht reproduzieren. Im Moment finde ich sie. Kann mich aber auch an viele Fälle erinnern wo ich auf die Gruppe Domänen-admins ausgewichen bin weil ich "administratoren" oft ganz einfach nicht gefunden habe.

 

3) Gibt es einen Domänengruppe Administratoren? Dann ist evtl. diese und nicht die Lokale Gruppe Administratoren gemeint.

Nein, gibt es nicht in meinem AD.

bearbeitet 19. November 2012 von NullDevice

[dmetzger 10]

Nein, gibt es nicht in meinem AD.

 

Was hast Du denn für ein AD? :shock:

 

Und wenn Du ganz, ganz genau im Container "Builtin" nachguckst - immer noch nicht? ;)

 

weil ich "administratoren" oft ganz einfach nicht gefunden habe.

 

Meistens spät Nachts, oder auch mal zu anderen Zeiten? Z.B. wenn Du versucht hast, diese Gruppe zum Mitglied einer anderen zu machen?

[Wurzerl 10]

Mal zu den Grundlagen:

 

Lokale Gruppen

Sieh Dir die Gruppentypen an. In der OU Builtin befinden sich (ausgenommen des "Herrn" Administrator) nur domänenlokale Gruppen. Diese OU und deren Inhalt sollte unangetastet bleiben.

 

Der domänenlokalen Gruppe werden die Rechte, z.B. im Filesystem vergeben. Mitglieder können sein: domänenlokale, domänenglobale und universelle Gruppen. Jedoch können diese niemals Mitglieder einer domänenglobalen oder universellen Gruppe werden.

 

Daher sind sie auch nicht sichtbar, wenn versucht wird, sie einer universellen oder globalen Gruppe als Mitglieder hinzuzufügen.

 

Profilordner:

Der Ordner selbst ist für Administratoren sichtbar, aber nicht der Inhalt. Der ist nur für den Benutzer sichtbar (und sollte es auch bleiben). Der Administrator kann andere Benutzer hinzufügen (damit übernimmt der Administrator auch den Besitz des Ordners und dessn Inhalt) - daher ist er danach auch durchsuchbar.

 

Das AD und seine Struktur sind kein Geheimnis, sondern logisch aufgebaut. Ich empfehle Dir ein gründliches Studium mit guten Büchern desselben. Es gibt auch gute Kurse, die ein grundlegendes Verständnis für das AD vermitteln.

 

Rechte von Benutzerordnern verändern ist ein heikles Thema, ein grundlegender Kurs im Datenschutzrecht ist auch nicht verkehrt. Sonst muß man möglicherweise für die Fehler von anderen einstehen. Unwissenheit schützt auch hier nicht vor Strafe.

[NilsK 2.785]

Moin,

 

faq-o-matic.net » Windows-Gruppen richtig nutzen

 

zu 1.: Hier funkt dir die UAC dazwischen. Zur Berechtigungsverwaltung auf einem Windows-Dateiserver sollte man den Explorer nicht nehmen, sondern ein Tool, das mit UAC umgehen kann. Beispiele: Total Commander, SetACL Studio.

 

faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen

 

zu 2.: Die Gruppe Builtin\Administratoren kannst du nur auf einem DC auswählen, weil es eine lokale Gruppe der Domänencontroller ist. Auf anderen Rechnern kannst du die dortige lokale Administratoren-Gruppe nehmen (wenn benötigt), die lokal und nicht im AD gespeichert ist.

 

zu 5.: Ja, da gibt es eine Reihe von kommerziellen Tools, z.B. Security Explorer von ScriptLogic (jetzt bei Quest).

 

Gruß, Nils

[NorbertFe 1.800]

zu 5.: Ja, da gibt es eine Reihe von kommerziellen Tools, z.B. Security Explorer von ScriptLogic (jetzt bei Quest).

 

Jetzt bei Quest bei Dell. ;)

 

Bye

Norbert