Jump to content

User-Rechte - merkwürdiges Verhalten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Liebe Gemeinde,

 

nach einer notwendigen Neuistallation meines Server (2008 R2, Domaincontroller) kämpfe ich mir Berechtigungs-Problemen, die ich mir nicht so richtig erlöären kann:

 

Ich habe als Beispiel drei User User1, User2 und User3 in der AD, auf eines zweiten Festplatte ist ein freigegebener Order "Data". Innerhalb dessen sind jeweils User-Ordner mit mehreren Unter-Ordnern und Zugriff für immer genau diesen User, ein vierter Ordner ist freigegeben für alle drei.

 

Ich stelle nun fest: Dir jeden User möchte ich eine Zugriffsberechtigung erstellen ersten z. B. auf Ordner User1 für den Administrator (Vollzugriff) und User1 (kein Vollzugriff, aber lesen, schreiben, löschen etc.). Im freigegebenen Netzwerkordner stellt es sich so dar, daß User1 und der Admin Rechte haben auf den Ordner User1. Das selbe gilt auf die Ordner der zweiten Ebene innerhalb des Ordners User1. Auf der dritten Ebene, also in den weiteren Unterordnern, ist aber Schluß. Der Administrator bekommt keine Zugriffsrechte auf diese Ordner, das darf nur der User. Möchte ich das in den Rechten ändern, habe ich keinen Zugriff und muß wieder den Besitz der Ordner übernehmen. Damit fliegen aber die Rechte für User1 raus. Er steht sauber eingetragen in den Ordner-Rechten, kommt aber über das Netzwerk nicht dran. Ich habe alle Daten schon auf eine andere Platte verschoben, die Platte formatiert, alle Daten zurückgeschoben und alles neu eingerichtet, die Zugriffsrechte auf die Ordner bleiben wacklig. Eine weitere Konsequenz daraus ist, daß der Administrator im Rahmen des Backup auf 40 % der Ordner keinen Zugriff hat und die Daten nicht ins Backup schreiben darf. MIt viel Hin und Her habe ich das halbswegs hinbekommen, aber stabil geht anders.

 

Ist mein AD kaputt oder kennt jemand dieses Phänomen?

bearbeitet von Hepprum Hulk
Link zu diesem Kommentar
vor 13 Minuten schrieb Hepprum Hulk:
 

Liebe Gemeinde,

 

nach einer notwendigen Neuistallation meines Server (2008 R2, Domaincontroller) kämpfe ich mir Berechtigungs-Problemen, die ich mir nicht so richtig erlöären kann:

Warum war eine Neuinstallation notwendig?

 

Gibt es weitere Server?

 

Die Maschine (Physik oder VM?) ist komplett auf Stand?

 

2008R2 ist ja nun auch schon am Ende angekommen, warum nicht auf ein neueres OS gegangen? :eye2:

Link zu diesem Kommentar

Guten morgen,

also, gehört habe ich von dem Problem auch noch nicht, jedoch komme ich auch nicht ganz mit, was du genau vor hast. Ich würde dir empfehlen, entweder die Vererbung zu deaktivieren und die Berechtigungen explizit zu geben, damit kannst du sie auch bearbeiten, wie du magst, sowie User, die keinen Zugriff erhalten sollen, dementsprechend löschen. Sonst solltest du dir die Freigabeberechtigung genau ansehen. Das restriktivere Recht sitzt sich immer gegenüber der Berechtigung via AD durch; Bsp.: User1 bekommt über das AD die Berechtigung "Vollzugriff", über die Freigabeberechtigung aber nur lesenden Zugriff, dann darf User1 auf diesem Ordner nur lesen.

 

Schöne Grüße...

Alex

Link zu diesem Kommentar

Es handelt sich im meinen privaten "Test-Server", da ist das immer so eine Geldfrage mit neuen Server-Betriebssystemen ;-) Neu aufgesetzt wurde er, weil die Systemplatte kaputtging und ich jetzt eine SSD reingeschraubt habe. Der Server ist Hardware, drauf laufen noch zwei VMs unter Windows 7. Updates mache ich regelmäßig, alle Computer im Netz sind auf dem neuesten Stand.

vor 7 Minuten schrieb anoscr:

Ich würde dir empfehlen, entweder die Vererbung zu deaktivieren und die Berechtigungen explizit zu geben ...

Ist das nicht eine ewige Fummelei, wenn der User beispielweise in seinem Ordner einen Unterordner erstellt? Diese Rechte wandern bei mir nämlich nicht mit. Genau so, wenn ich als Admin ein Dokument von User1 in User2 kopiere. Früher hatte der User2 Rechte auf dieses Dokument und konnte es bearbeiten. Jetzt muß ich der Datei als Admin erst die Rechte von User2 zuteilen, damit die Datei von User2 zu öffnen ist.

bearbeitet von Hepprum Hulk
Link zu diesem Kommentar
vor 18 Minuten schrieb Hepprum Hulk:

Früher hatte der User2 Rechte auf dieses Dokument und konnte es bearbeiten. Jetzt muß ich der Datei als Admin erst die Rechte von User2 zuteilen, damit die Datei von User2 zu öffnen ist.

Ich muss zugeben, das klingt schon sehr merkwürdig.

 

Eigentlich ist das mit restriktiven Berechtigungen gar nicht mal eine so große Fummelei. Wir handhaben das in der Firma genau so, allerdings haben wir auch nur flache Hierarchien. Eine Freigabe, darauf ein Rootverzeichnis, darauf Projektordner und darunter dann 8 Unterordner. Daran können die User dann machen, was sie wollen. Ordner anlegen, Dokumente kopieren, etc. Funktioniert alles sauber.

Wenn ein User einen Ordner bei dir in seinem Ordner anlegt, dann sollte er darauf aber Rechte haben, weil die Vererbung ja vom Überordner kommt, sprich es ist "unmöglich" für den User, auf seinen selbst angelegten Ordner keinen Zugriff zu haben.

 

Schöne Grüße...

Alex

Link zu diesem Kommentar

Moin,

 

ohne jetzt näher eingestiegen zu sein, klingt das für mich erst mal nicht "kaputt", sondern nach einer Mischung aus Missverständnissen und technischer Komplexität. Allgemein sollte man bei Berechtigungen möglichst simpel bleiben, weil sich rein technisch zwar einiges machen und noch mehr vorstellen lässt, was aber in der Praxis oft an andere Grenzen stößt. So ist etwa das Vererbungssystem von NTFS-Berechtigungen an vielen Stellen nicht besonders gut implementiert, und auch die Aufteilung und Kombination einzelner NTFS-Berechtigungen ermöglicht faktisch viel weniger Freiheiten, als man zunächst denken mag.

 

Ein wichtiger Punkt ist aber der Zusammenhang von Berechtigungen und Backups. Es ist ein Missverständnis, dass "der Administrator" Rechte auf Ordner haben müsse, damit er Datensicherungen ausführen kann. Es gibt in Windows ein Privileg "Backup" (SeBackupPrivilege), mit dem ein User (typischerweise: ein Service Account, mit dem die Backupsoftware läuft) Daten auch dann lesen kann, wenn er keine Rechte darauf hat. Der einfachste Weg, dieses Privileg zu nutzen, besteht darin, den Account in die Gruppe "Backup-Operatoren" des jeweiligen Rechners aufzunehmen und eine Software zu verwenden, die dieses Privileg auch einsetzt (zum Testen eignet sich Robocopy mit dem Schalter /B).

 

Gruß, Nils

 

Link zu diesem Kommentar

Moin,

Da es sich ja um ein zweites Laufwerk handelt würde ich in der Root folgende NTFS Rechte setzen: Erst mal alles rausschmeissen.

System-Vollzugriff mit Vererbung

Administratoren- Vollzugriff mit Vererbung

Benutzer-Lesen, Ausführen: Ordnerinhalt anzeigen; Lesen mit Vererbung

Ordner Data

Freigabe Berechtigung Vollzugriff Jeder.

User1 Ordner: User1 Ändern, und in den erweiterten Berechtigungen Unterordner und Dateien löschen mit Vererbung

User2 Ordner: User2 Ändern, und in den erweiterten Berechtigungen Unterordner und Dateien löschen mit Vererbung

User3 Ordner: User3 Ändern, und in den erweiterten Berechtigungen Unterordner und Dateien löschen mit Vererbung

Gemeinsamer Ordner User1,2 & 3 Ändern,  und in den erweiterten Berechtigungen Unterordner und Dateien löschen mit Vererbung

Bist Du aus Hepprum? wegen dem Namen, ich bin von Bensem. ;-D

bearbeitet von Tektronix
Link zu diesem Kommentar

Moin,

 

wenn man schon dabei ist, würde ich auf der obersten Ebene auch noch eine eigene Dateiserver-Admin-Gruppe berechtigen. Das erspart Umstände mit der UAC beim administrativen Zugriff.

 

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...