Jump to content

Frage zu Verzeichnis und Dateiberechtigungen, fehlende Rechte


Anubis2k

Recommended Posts

Hallo an die Spezialisten hier im Forum... ich hoffe, ich bin hier richtig da ich mich an der Beschreibung "Alles zum Thema Windows Server" orientiert habe.

 

Es dreht sich um folgendes, seit ein paar Monaten bin ich bei einem neuen Arbeitgeber, ich habe mich gut eingelebt, dass Team ist top, die Struktur ist größer als meine vorherige (vorher 8 Personen Unternehmen, jetzt Großunternehmen) und es gibt durch die Geschichte der IT einige Themen die ich selbst auch gerne in Angriff nehmen würde.

 

Bei einem Problem kann ich mir theoretisch selbst helfen, aber vielleicht gibt es da einen besseren Weg als der, den ich im Kopf habe.

 

Sowohl dem einen oder anderen Kollegen aus meinem IT Team als auch den 1st Level Support Leuten passiert es immer wieder mal, dass wir zu einem Verzeichnis gehen, der Mitarbeiter hat Probleme und wir haben keine Berechtigung. Obwohl wir mit erhöhten Berechtigungen (Administrative Rechte) mittels Powershell oder einem separaten Programm (z.B. Total Commander etc.) in das Verzeichnis gucken wollen, weil es ja da Probleme gibt, kommen wir nicht rein.

 

Windows bietet uns dann an "möchtest du Berechtigung haben?", natürlich und zack steht unser User dann separat mit den Berechtigungen (Vollzugriff) in diesem Verzeichnis drin.

 

Eigentlich wollen wir ja dass z.B. die Gruppe "Administratoren" immer Zugriff darin hat, aber aus irgend einem historischen Grund ist das nicht immer der Fall. Mein Teamkollege der nun seit zig Jahren dort im Unternehmen ist, hatte so spontan auch keinen Reim darauf und ich nehme das so hin.

 

Nun komme ich ja z.B. in das eine oder andere Verzeichnis auch nicht rein, wenn ich Powershell als Administrator ausführe, was auch doof ist.

 

Jetzt wäre also folgende Frage (und vielleicht habt ihr da aufgrund der Erfahrungen etc. eine Idee), wie kann man denn trotz fehlender Berechtigung, den Administratoren oder einer separaten Benutzer Gruppe (z.B. Gruppe "Support" für das 1st Level Team) volle Zugriffe für Verzeichnisse und deren Inhalte einräumen, ohne dass ich die aktuelle Berechtigung kaputt mache?

 

Bei meinem ehemaligen Arbeitgeber oder den IT Kunden die ich betreue, setze ich einfach die Besitzer auf "Administratoren", stelle alle NTFS Berechtigungen so eine wie ich sie brauche und stelle die Besitzer dann zurück. Das sind dann aber maximal 10 Personen pro Unternehmen / Kunden, doch hier haben wir eine Mitarbeiterzahl jenseits des zweistelligen Bereichs.

 

Mir fällt gerade beim schreiben ein, besonders dann ist es doof, wenn wir z.B. an die Schattenkopien wollen und was wiederherstellen müssen, uns dann aber Berechtigungen fehlen.

 

Gibt es dafür einen guten oder simplen Tipp / Trick, so dass ich das im Vorfeld mal für alle Verzeichnisse / Freigaben, gerade biegen kann? :)

 

Vielen Dank im Voraus und noch einen Schönen Abend euch allen.

 

Gruß, Dominik

 
Edited by Anubis2k
Link to comment

Moin,

 

der simple Trick heißt Planung und Dokumentation. Klingt jetzt vielleicht arrogant, aber es geht kein Weg daran vorbei.

 

Auf dem Weg dorthin zwei Tipps:

  1. Besorgt euch SetACL Studio, das ist seit einigen Jahren kostenlos und gibt euch einen besseren Blick auf die Berechtigungen (und eine bessere Handhabe).
    https://helgeklein.com/setacl-studio/
  2. Lest euch hier noch mal das Nötige durch.
    [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
    https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/
    [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
    https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

Gruß, Nils

 

Link to comment

Nabend... Planung, Organisation und Dokumentation ist ja auch richtig... keine Frage :)

 

SetACL und die Links schaue ich mir mal an, ich glaube mit SetACL habe ich auch schon mal was gemacht bei einem meiner Kunden, ist aber nicht so dass ich immer wieder mal was gerade biegen muss.

 

Unter anderem durch Dokumentation der Berechtigungen mittels Programms ist mir auch aufgefallen, dass nicht alle Verzeichnisse und Strukturen korrekt ausgelesen werden konnten.

 

Bei Roaming Profilen weiß ich, hier sollte man eine GPO erstellen, keine Frage... aber bei einem Fileserver mit Freigaben hab ich das auch schon im Nachhinein erlebt, dass irgendwann mal (wieso auch immer) die ACL verstellt sind. Hab das nicht hinterfragt, weil es kleine Strukturen waren und einfach gerade gezogen :)

 

Aber schon mal vielen Dank für die schnelle Rückmeldung und noch einen schönen Abend.

 

Nachtrag1: Die erwähnte "Die elegante Lösung" aus dem einen Link habe ich lustigerweise sogar schon bei meinem alten Arbeitgeber und Kunden durchgeführt. Ich war mir nicht sicher ob das wirklich gut ist, aber scheinbar war das gar nicht so doof :)

 

Dann muss ich also einmal schauen, dass ich eine Gruppe neben den "Administratoren" mit Vollzugriff (z.B. TeamSupport, TeamNetzwerk oder FileAdmin etc.) dort unterbringen kann. Da bei uns sowieso ein "Admin Tearing" (glaube so schreibt sich das) geplant ist, werde ich das wohl in Kombination mit dem Dienstleister durchführen.

 

ABER dann weiß ich schon mal Bescheid, dass selbst wenn ich eine Gruppe "FileAdmins" erstellen würde, diese nicht in die Gruppe "Administratoren" packen darf da sonst die UAC eingreift.

 

Nachtrag2: Im Nachhinein fällt mir ein, wenn man z.B. FileAdmins (oder so etwas) neben den Administratoren anlegt, könnte man ja jetzt auch "Nesting groups" (also Gruppe in Gruppe) machen. Oder ist das auch eher wieder eine doofe Sache aus Gründen der Erfahrungen?

Edited by Anubis2k
Link to comment

Huch... ich wusste gestern selbst nicht genau wie sich das "Admin Tiering" schreibt, hatte es kurz in der Suche eingegeben, Treffer bekommen und ging davon aus dass richtig geschrieben war :D

 

Ich werde mal mit unserer Doku-Software alle Verzeichnisse ausgeben lassen, auf die ich mit meinen Berechtigungen keine Rechte habe und dann werden wir händisch schauen, dass wir das gerade biegen können. Gefährlich ist natürlich (wie es in dem einen Link stand), dass sich ein Admin die Berechtigung holt, er dann separat mit seinem User drin steht, eventuell dann kein Admin mehr ist, aber in diverse Verzeichnisse immer noch hinein kommt... und das müssen wir damit ausschließen :-)

 

Vor allem, wenn es mal ein Security Audit gibt.

Link to comment

Wenn man sich mal mit UAC auseinandergesetzt hat, ist es in Dateisystemen eine gute Idee, die Builtin Admins NICHT zu verwenden, um überall Zugriff zuzulassen. Besser eine "FileServiceAdmin"-Gruppe nachbauen, die überall Vollzugriff hat. Dann hat man keine Probleme mehr damit.

 

Und ja, ich weiß wovon ich rede - wir haben das 2004 angefangen umzusetzen (Domain Admins nachgebaut, lokale Admins nachgebaut). Da gab's zwar noch kein UAC, aber als das dann kam, war's auch kein Problem :-)

Link to comment

Moin, bei irgend einem meiner Kunden habe ich das vor Jahren mal gemacht... ich hab eine Sicherheitsgruppe "FileAdmins" (oder so etwas) angelegt und wusste irgendwann mal nicht mehr, warum eigentlich. Aber wenn ich so an gestern und heute denke, ist mir bewusst warum ich das mal gemacht habe. Scheinbar stand ich vor X Jahren schon mal vor diesem Phänomen und habe es dann dadurch gelöst :)

 

Ich muss mir die Tage nur mal Zeit nehmen, ein Verzeichnis auf dem File Server nehmen wo ich mir die Rechte einräumen müsste aufgrund der Meldung "Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner" und dann schauen, dass ich mir mit SetACL Studio oder einem anderen Trick, die Berechtigung besorgen kann ohne dass ich die bereits bestehenden ACL lösche :)

 

Das war nämlich auch eines der Probleme... Mitarbeiter rief an, wir wollten helfen, haben uns die Berechtigung besorgt und zack, stand erst einmal nur der Account des Admins drin, der da gerade aktiv war.

 

Ich bin auch gespannt, wann das Admin Tiering los geht. Sichtung des Dienstleisters ist ein paar Wochen her und er meinte, dass er sich meldet bezüglich Termin.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...