Jump to content

Builtin\Users plötzlich Zugriffsrechte


Direkt zur Lösung Gelöst von Norman-79,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Gemeinde,

wir habe ein Phänomen welches wir uns nicht erklären können. Aus irgendwelchen Gründen sind auf einigen Ordnern plötzlich folgende Gruppen berechtigt:

  • BUILTIN\USERS (Read\Execute)  This folder, subfolders and files
  • BUILTIN\USERS (Special (Create Files and Folders))  Subfolders and files only
  • CREATOR OWNER (Full control) Subfolders and files only

Dies verursacht natürlich eine grosses Sicherheitsleck da plötzlich Nutzer Zugriff auf vertrauliche Daten haben. 

Wir arbeiten grundsätzlich nicht mit diesen Gruppen. Das komische ist das die Gruppen angeblich vom Parent-Ordner vererbt worden sind?? Wenn ich aber den übergeordneten Ordner überprüfe kann ich diese Gruppen nicht finden!!!

 

Unser Standard ist:

  • Wir vererben nur Domain-Admins, lokale Administratoren und System
  • zusätzliche Berechtigungen werden dann auf die betreffenden Ordner separat vergeben    

Bsp:

Fileserver:

  • D:\Shares (Freigabe: Everyone(Full Control))
  • NTFS:
    • Vererbung unterbrochen
    • SYSTEM (Full Control)
    • Domain Admins (Full Control)
    • BUILTIN\Administrators (Full Control) 
    • Domain Users (Read & Execute) This Folder only
  • Zugriff über DFS Struktur
    • Einstellung: Use inherited permissions from the local file system
    • keine Replikation

 

Infrastruktur:

  • Server 2012R2 (Cluster)
  • DFS
  • Nutzung von Volume Shadow Copy

 

Wir können uns einfach nicht erklären wo die Gruppen plötzlich herkommen. Ich hoffe ihr habt ein paar Ideen :-) 

 

Vielen Dank.

 

Gruss Norman 

 

Link zu diesem Kommentar
  • 1 Monat später...
  • Beste Lösung

Hallo liebe Gemeinde,

ich denke wir haben nun das Problem gefunden.

 

Der Artikel ist zwar schon älter aber ich denke genau das war unser Problem.  Die Gruppen(USER; Creator Owner) und die dazugehörigen Rechte stimmen komplett überein.

 

Also müssen wir immer daran denken die NTFS Rechte nur über den Serverpfad und nicht über den DFS Pfad zu setzen.

 

Danke und schönes WE.

 

 

bearbeitet von Norman-79
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...