Jump to content

Homeverzeichnisberechtigung - Erlaubnis geht vor Verbot?!

Gast Iehova

Von Gast Iehova
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Gast Iehova

Gast Iehova  

Geschrieben
Geschrieben

Yo,

 

nehmen wir mal an ich habe einen Benutzer Hans, der ist in der Sicherheitsgruppe Schüler. Der kriegt ein Homeverzeichnis zugeordnet auf \\domänenname\dfs\daten\Hans. Das hat standardmäßig Hans auf Vollzugriff. Weiter kriegt es ein Lehrer-Vollzugriff vererbt von Daten.

 

Das heißt Schüler Hans kann Lehrer aussperren, denn Vollzugriff heißt ja, dass er auch Rechte ändern darf.

 

Ich geh hin und sage dem Ordner daten: Gruppe Schüler -> Verweigern -> Berechtigungen ändern. Das wird auch anstandslos vererbt auf den Ordner Hans.

 

Nun kann Hans aber noch seine Ordnerberechtigung ändern. Wieso? Ich dachte Verweigerungen gehen über Erlaubnisse. Ist das bei Vollzugriff etwa nicht so?

 

Was kann ich da tun?

 

Danke schonmal :)

Link zu diesem Kommentar
Gast Iehova

Gast Iehova  

Geschrieben
Geschrieben

Yo,

 

nein, der bekommt, soweit ich das sehe, eine nicht vererbte Berechtigung gesetzt.

 

Aber das sollte doch eigentlich egal sein, weil ich doch für seine Sicherheitsgruppe ein Verbot setze.

 

Ich kann das Verbot übrigens komplett auf Vollzugriff - also alles verboten - setzen und er kommt immer noch rein.. Solange, bis ich seine Berechtigung Vollzugriff einschränke.

Link zu diesem Kommentar
edv-olaf Grand Master

edv-olaf   10

Geschrieben
Geschrieben

Hallo,

 

Verbote gehen (wie korrekt gesagt) vor Berechtigungen. Habe ich über eine Gruppe z. B. Vollzugriff verweigert, so kann ich nicht mehr drauf zugreifen.

 

Andersrum: hat der Benutzer dann noch Zugriff, ist er entweder der besitzer oder nicht in der Gruppe, der der Vollzugriff verweigert wird. Mir scheint, die einzige Erklärung wäre, bei dir könnte der Benutzer nicht in der Verweigert-Gruppe sein oder der Gruppe wird der Zugriff nicht verweigert.

Einziger Tip: nochmal alles genau prüfen, genau dokumentieren und dann auf dem Papier schauen, was da nicht stimmt.

 

Den Haken für "Berechtigungen nicht zu vererben", würde ich übrigens niemals anfassen. Bringt nur Probleme und wird absolut unübersichtlich. Darin war MS schon immer spitze bei den Berechtigungen.

 

Grüße

Olaf

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Es gibt zwei besondere Berechtigungen, die immer vorhanden sind, ich glaube, die sind hardcodiert, die sind damit weder vererbbar noch wegnehmbar:

 

Der Besitzer eines NTFS-Objekts hat IMMER die Berechtigung, die Berechtigungen zu ändern (auch wenn z.B. er den Vollzugriff verweigert bekommen hat)

 

Ein Mitglied der lokalen Administratorengruppe hat IMMER die Berechtigung des Besitz an einem NTFS-Objekt zu übernehmen.

;)

 

grizzly999

Link zu diesem Kommentar
Gast Iehova

Gast Iehova  

Geschrieben
Geschrieben

Yo,

 

danke für die Antwort!

 

Der Schüler ist aber nicht Besitzer des Ordners, der Ordner gehört "Administratoren". Der Schüler hat aber Vollzugriff drauf. Kann man irgendwo ändern, mit welchen Berechtigungen dieser Ordner erstellt wird?

Link zu diesem Kommentar
Gast Iehova

Gast Iehova  

Geschrieben
Geschrieben

Yo,

 

@edv-olaf: Ein Vererbungsproblem gibt es mE nicht, ich kann ja direkt den Ordner Hans angucken und sehe dann, dass für die Gruppe Schüler (in der Hans wirklich drin ist) verweigert:Vollzugriff ist. Ich kanns mir auch nur so erklären, dass der einzelne Benutzer ja erlaubt:Vollzugriff hat (der Benutzermanager von 2003 macht das so, kann man das nicht ändern?) und deshalb die Erlaubnis für den Benutzer mehr gilt als das Verbot für seine Gruppe (was ich für unmöglich gehalten hab..)

 

@grizzly999: Windows Server 2003 (zwei Stück mit DFS), Win XP Prof. Eine einzelne, alleinstehende Domäne.

Link zu diesem Kommentar
edv-olaf Grand Master

edv-olaf   10

Geschrieben
Geschrieben
Original geschrieben von Iehova

Yo,

 

@edv-olaf: Ich kanns mir auch nur so erklären, dass der einzelne Benutzer ja erlaubt:Vollzugriff hat (der Benutzermanager von 2003 macht das so, kann man das nicht ändern?) und deshalb die Erlaubnis für den Benutzer mehr gilt als das Verbot für seine Gruppe (was ich für unmöglich gehalten hab..)

Das halte (hielt) ich bis jetzt auch für nicht möglich. Ich lese mal weiter mit, ob noch was kommt.

 

Grüße

Olaf

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...