25
Domänen User haben vollen Zugriff auf Sicherheitseinstellungen
Guten Tag,
ich habe hier in der Domäne auf einmal das Problem das Domänen User (Mitarbeiter) Zugriff auf die Sicherheitseinstellungen der Domäne haben.
Und zwar können die Domänen User auf den Freigaben auf die sie selbst vollen Zugriffe haben, per Sicherheitseinstellungen andere Domänen User die dort auch Zugriff haben, eliminieren
bzw. neue User hinzufügen.
Sogar kann ein Domänen User mich als Domänen Admin von den Sicherheitseinstellungen eliminieren.
Ich verstehe nicht wo das Problem liegt, die haben keine Domänen Admin Rechte.
habe ich irgendwo eine Richtline übersehen die User auf ihren eigenen Freigaben verbietet Sicherheitsrechte selbst zu setzen?
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
hat jemand eine Idee?
Server Domäne ist Windows 2003 noch
Clienten sind Windows 10 Prof. Domäne und Windows 7 Prof. Domäne.
ich habe hier in der Domäne auf einmal das Problem das Domänen User (Mitarbeiter) Zugriff auf die Sicherheitseinstellungen der Domäne haben.
Und zwar können die Domänen User auf den Freigaben auf die sie selbst vollen Zugriffe haben, per Sicherheitseinstellungen andere Domänen User die dort auch Zugriff haben, eliminieren
bzw. neue User hinzufügen.
Sogar kann ein Domänen User mich als Domänen Admin von den Sicherheitseinstellungen eliminieren.
Ich verstehe nicht wo das Problem liegt, die haben keine Domänen Admin Rechte.
habe ich irgendwo eine Richtline übersehen die User auf ihren eigenen Freigaben verbietet Sicherheitsrechte selbst zu setzen?
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
hat jemand eine Idee?
Server Domäne ist Windows 2003 noch
Clienten sind Windows 10 Prof. Domäne und Windows 7 Prof. Domäne.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 296005
Url: https://administrator.de/contentid/296005
Printed on: April 16, 2024 at 18:04 o'clock
25 Comments
Latest comment
Moin,
Ansonsten solltest Deine Gruppenmitgliedschaften prüfen. Ggfs. sind auch "nur" die Dom-User Mitglied der lokalen Administratoren-Gruppe(n) auf dem/den File-Server(n).
lg,
Slainte
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
Wenn du damit den Haken beim "Vollzugriff" meinst, dann ist das normal, ja.Ansonsten solltest Deine Gruppenmitgliedschaften prüfen. Ggfs. sind auch "nur" die Dom-User Mitglied der lokalen Administratoren-Gruppe(n) auf dem/den File-Server(n).
lg,
Slainte
Hi,
Sofern Benutzer dort das Recht haben, Ordner und/oder Dateien zu erstellen, sind sie nach dem Erstellen dieser deren Besitzer. Ein Besitzer kann ebenfalls die Berechtigungsliste bearbeiten, das kann man nicht verhindern.
ich verstehe nicht wo das Problem liegt, die haben keine Domänen Admin Rechte.
Ich will Dir jetzt wirklich nicht zu nahe treten. Aber vielleicht solltest Du mal vor der eigenen Haustür kehren? Wenn Du der Admin des Systems bist und die Zugriffberechtigungen verwaltest, dann solltest Du es auch verstehen.habe ich irgendwo eine Richtline übersehen die User auf ihren eigenen Freigaben verbietet Sicherheitsrechte selbst zu setzen?
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
Sofern jemand Vollzugriff auf einen Ordner oder eine Datei hat, kann er für diese auch die Berechtigungsliste (ACL) bearbeiten. Das schließt Hinzufügen und Entfernen von Berechtigungseinrrägen (ACE) ein.Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
Sofern Benutzer dort das Recht haben, Ordner und/oder Dateien zu erstellen, sind sie nach dem Erstellen dieser deren Besitzer. Ein Besitzer kann ebenfalls die Berechtigungsliste bearbeiten, das kann man nicht verhindern.
Gibt es nicht irgendwo eine Policy die "zugriff auf Sicherheitseinstellungen der Domänen-Benutzer" Verhindert?
Was schreibst Du denn da? Allein die Frage disqualifiziert Dich als Fileserver-Admin.
Es geht doch um Zugriffsrechte auf Dateien und nicht um Sicherheitseinstellungen der Domänen-Benutzer!? Das sind nicht mal Äppel und Birnen, dass sind Äppel und Schuhe!
Man kann nicht verhindern, dass der Besitzer einer Datei deren Zugriffrechte bearbeitet kann. Ende.
Man könnte höchstens einen Dienst oder einen Task laufen lassen, welcher bei Erstellung einer Datei oder eines Ordner dessen Besitzer auf "Administratoren" o.ä. ändert.
Es geht doch um Zugriffsrechte auf Dateien und nicht um Sicherheitseinstellungen der Domänen-Benutzer!? Das sind nicht mal Äppel und Birnen, dass sind Äppel und Schuhe!
Man kann nicht verhindern, dass der Besitzer einer Datei deren Zugriffrechte bearbeitet kann. Ende.
Man könnte höchstens einen Dienst oder einen Task laufen lassen, welcher bei Erstellung einer Datei oder eines Ordner dessen Besitzer auf "Administratoren" o.ä. ändert.
Was meinst du denn mit "Sicherheitseinstellungen der Domänen-Benutzer"? Die CIFS/NTFS Rechte der User am Fileserver?
Grundsätzlich kann man Rechte per GPP regeln, das macht aber auf dem Fileserver keinen Sinn.
Grundsätzlich kann man Rechte per GPP regeln, das macht aber auf dem Fileserver keinen Sinn.
Ich meine das Feld der sicherheitseinstellungen "Auszugrauen"
Servus,
kurz OT:
Du bist mutig, nach Supportende noch mit MS Server 2003 zu arbeiten...
Ich hoffe doch wenigstens, dass der Server bis zur Umstellung nicht auch noch ins Internet kommt?
Gruß
VGem-e
kurz OT:
Du bist mutig, nach Supportende noch mit MS Server 2003 zu arbeiten...
Ich hoffe doch wenigstens, dass der Server bis zur Umstellung nicht auch noch ins Internet kommt?
Gruß
VGem-e
Ich stimme meinem Vorredner zu.
Einfach vollzugriff entfernen. Lesen Schreiben reicht für 99,9% der User aus.
Einfach vollzugriff entfernen. Lesen Schreiben reicht für 99,9% der User aus.
Man man ...
Also im Explorer den Reiter "Sicherheit" ausblenden?
Computereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
Registerkarte "Sicherheit" entfernen
Das erschwert aber nur, verhindert nicht. Ist eine Einstellunge, die am Client erfolgen muss. Sie gilt dann für den gesamten Client, unabhängig vom Benutzer und für alle Dateien und Ordner, auf welche von diesem Client aus zugegriffen wird.
Edit:
Nee, ist eine Benutzereinstellung. Gilt also nur für diesen Bnutzer.
Benutzereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
Also im Explorer den Reiter "Sicherheit" ausblenden?
Computereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
Registerkarte "Sicherheit" entfernen
Das erschwert aber nur, verhindert nicht. Ist eine Einstellunge, die am Client erfolgen muss. Sie gilt dann für den gesamten Client, unabhängig vom Benutzer und für alle Dateien und Ordner, auf welche von diesem Client aus zugegriffen wird.
Edit:
Nee, ist eine Benutzereinstellung. Gilt also nur für diesen Bnutzer.
Benutzereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
"Also im Explorer den Reiter "Sicherheit" ausblenden"
dann nehm ich eben subinacl oder powershell
dann nehm ich eben subinacl oder powershell
dann nehm ich eben subinacl oder powershell
Schrieb ich ja ...
1
Hi.
Vergib in der Freigabeberechtigung nur ändern-Rechte an die Nutzer und alles wird gut.
Vergib in der Freigabeberechtigung nur ändern-Rechte an die Nutzer und alles wird gut.
Ich meine das Feld der sicherheitseinstellungen "Auszugrauen"
Ok, heute ist Freitag... alles klar Vergib in der Freigabeberechtigung nur ändern-Rechte an die Nutzer und alles wird gut.
Hi DWW,Ja klar, so geht das auch. Das gilt dann aber für die ganze Struktur innerhalb dieser Freigabe. Das kann u.U. nicht immer erwünscht sein.
E.
Das gilt dann aber für die ganze Struktur innerhalb dieser Freigabe. Das kann u.U. nicht immer erwünscht sein.
Welchen Fall sprichst Du an? Wenn ich verhindern will, dass jemand Rechte ändert, dann muss ich es so machen, genau so und nicht anders geht es. Setzt man Ändern-Rechte auf die Freigabe, dann kann nirgendwo unterhalb ein Recht von Nutzern geändert werden. Der Anwendungsfall, dass Nutzer in Unterordner A Rechte nicht ändern dürfen, aber in B wieder ist doch nie gegeben - Nutzern sollen niemals Rechte ändern.
Wir haben bei uns z.B. Ordnerstrukturen, die vorgegeben sind. Nur bestimmte Benutzer dürfen da neue Stammordner erstellen. Dies erfolgt mittels eines Scripts, welches einen Vorlage-Ordner samt Unterstruktur und Berechtigungen kopiert. Dafür benötigen diese Benutzer Vollzugriff in der Freigabe.
Das kann man zwar explizit für nur diese Benutzer einrichten. Aber diese Benutzer sollen danach an den Rechten des neu erstellten Stammordners und der definierten Unterstruktur nachträglich nichts mehr ändern dürfen.
Das kann man zwar explizit für nur diese Benutzer einrichten. Aber diese Benutzer sollen danach an den Rechten des neu erstellten Stammordners und der definierten Unterstruktur nachträglich nichts mehr ändern dürfen.
Verstehe. Aber das könnte nun auch ein Skript für die Nutzer machen, das in einem anderen Rechtekontext handelt.
Hi
bei uns hat kein Nutzer Vollzugriffsrechte auf irgendwelche Dateifreigaben, selbst Ändern von Berechtigungen oder die Besitzübernahme ist auf NTFS "verweigert", dass hat bei uns zu Anfang nicht nur einmal zu Problemen geführt. Zu dem ist die Gesamte Grundstruktur der Ordner komplett vorgeben und durch keinen Anwender editierbar, die können ggf. in tieferen Unterordner etwas anpassen mehr aber auch nicht.
Zu dem Berechtigt man im Regelfall keine Benutzer direkt auf irgendwelche Dateifreigaben, wie lange möchtest denn nach evtl. Freigaben suchen und diese ändern wenn der Personen einen anderen Aufgabenbereich bekommt, nimm dafür immer Gruppen und niemals den Benutzer direkt.
Just my 2 Cent
@clSchak
bei uns hat kein Nutzer Vollzugriffsrechte auf irgendwelche Dateifreigaben, selbst Ändern von Berechtigungen oder die Besitzübernahme ist auf NTFS "verweigert", dass hat bei uns zu Anfang nicht nur einmal zu Problemen geführt. Zu dem ist die Gesamte Grundstruktur der Ordner komplett vorgeben und durch keinen Anwender editierbar, die können ggf. in tieferen Unterordner etwas anpassen mehr aber auch nicht.
Zu dem Berechtigt man im Regelfall keine Benutzer direkt auf irgendwelche Dateifreigaben, wie lange möchtest denn nach evtl. Freigaben suchen und diese ändern wenn der Personen einen anderen Aufgabenbereich bekommt, nimm dafür immer Gruppen und niemals den Benutzer direkt.
Just my 2 Cent
@clSchak
selbst Ändern von Berechtigungen oder die Besitzübernahme ist auf NTFS "verweigert",
Ob Du's glaubst oder nicht, steht in den Freigaberechten Vollzugriff für alle/auth.Ben. drin, dann wird diese Restriktion schlicht übergangen, wenn der Nutzer Ersteller der Datei ist. Wichtiger und somit auch hinreichend für Deine Zwecke ist also das Freigaberecht.
Wir haben immer 3 Gruppen "Lesen/ändern/schreiben" und die sind auch in den NTFS Berechtigungen eingestellt und weder Freigabe noch NTFS Berechtigung haben Vollzugriff 
Ob Du's glaubst oder nicht, steht in den Freigaberechten Vollzugriff für alle/auth.Ben. drin, dann wird diese Restriktion schlicht übergangen, wenn der Nutzer Ersteller der Datei ist.
Ich betrachte das nicht als "übergehen". Es sind zwei verschiedene Objekte. Das eine ist die Datei, das andere die ACL. "Sicherheit bearbeiten" betrifft nicht die Datei selbst.Wir haben immer 3 Gruppen "Lesen/ändern/schreiben" und die sind auch in den NTFS Berechtigungen eingestellt und weder Freigabe noch NTFS Berechtigung haben Vollzugriff
Es ist vollkomme egal, wie Du das machst. Wenn jemand dort eine Datei erstellt, dann ist er der Besitzer dieser. Und er kann dann die ACL bearbeiten.Nur: Wenn man an der Freigabe bereits die Rechte filtert (kein Vollzugriff), dann kommen die Anfragen für diese Rechte gar nicht erst beim NTFS an. Und nur deshalb kann dann der Benutzer sein Besitzrecht nicht in Anspruch nehmen.
Vielen Dank für die Vorschläge ich habe das Konzept überarbeitet und denke das nun eine Lösung gefunden ist.
und Ja ich bin dabei den 2003 aufzulösen bzw die AD an den 2008 er zu übergeben.
und Ja ich bin dabei den 2003 aufzulösen bzw die AD an den 2008 er zu übergeben.
Gerade völlig OT aber im Jahr 2016 noch auf einen Server 2008 migrieren? Auch nicht die beste aller Ideen oder?
Warum nicht die Chance nutzen und gleich auf was aktuelles hochziehen damit man hinterher ein paar Jahre Ruhe hat?
Gruß aus HH
Warum nicht die Chance nutzen und gleich auf was aktuelles hochziehen damit man hinterher ein paar Jahre Ruhe hat?
Gruß aus HH
Wir haben ein dutzend Server 2008 R2 LIZ
