8
Denkfehler bei Zugriffrechten?
Hi@community,
OS: Windows Server 2003
Benutzer sind in Gruppen eingeteilt und dementsprechend sind auch die Zugriffsrechte vergeben.
Trotzdem gibt es noch Ausnahmen, die dann als Einzelbenutzer direkt eingetragen werden müssen.
Folgendes Problem:
An den Rechten wurde nicht geschraubt und nun sieht Person1 aus dem Ordner XYZ nicht mehr alles.
Ordner XYZ (Rechte für Vollzugriff für: Person1, Gruppe2, Gruppe3)
- Ordner XYZ.1 (Person1 sieht den, Gruppe2 sieht den)
- Ordner XYZ.2 (Person1 sieht den nicht, Gruppe2 sieht den)
- Ordner XYZ.3 (Person1 sieht den nicht, Gruppe2 sieht den, Manuell Person7)
- Ordner XYZ.4 (Person1 sieht den nicht, Gruppe2 sieht den)
- Ordner XYZ.5 (Person1 sieht den nicht, Gruppe2 sieht den, Manuell Person9)
- Ordner XYZ.6 (Person1 sieht den nicht, Gruppe2 sieht den)
Bei der Rechtedefinition, wurde die Option gesetzt das dies auch für Subdirs und Files gelten soll.
Ich könnte nun bei jedem Subdir die Rechte manuell setzen, das geht auch, aber ist ja voll an der Idee vorbei.
Der gesetzte Vollzugriff für Gruppe2 und Person1 müsste doch, wenn für Files, Dirs und Subdirs eingestellt, auch mehr als nur Ordner XYZ.1 und Dateien sichtbar machen oder??
Wenn ich nun die Rechte für Person1 gesetzt habe und dann auf Erweitert klicke bekomme ich eine Liste
Person1 Vollzugriff gilt für Files, Dirs, Subdirs
Gruppe2 Vollzugriff gilt für Files, Dirs, Subdirs
Gruppe3 eingeschränkter Zugriff einstellungen geerbt von ...
und da die Möglichkeit einen Haken zu setzen: "Berechtigungen für alle untergeordneten Objekte, durch die angezeigten Einträge, sofern anwendbar, ersetzen. "
Mach den Haken rein, kommt beim übernehmen ein Dialog:
"Alle Berechtigungen in allen untergeordneten werden entfernt und die Option vererbarer Berechtigungen aktiviert. Es werden nur die vererbbaren Berechtigungen in Ordner XYZ geändert."
Heißt das im Klartext, das alle Manuell gesetzen Berechtigungen für Einzelpersonen bestehen bleiben oder gehen die dann verloren?
gruß
H41mSh1C0r
OS: Windows Server 2003
Benutzer sind in Gruppen eingeteilt und dementsprechend sind auch die Zugriffsrechte vergeben.
Trotzdem gibt es noch Ausnahmen, die dann als Einzelbenutzer direkt eingetragen werden müssen.
Folgendes Problem:
An den Rechten wurde nicht geschraubt und nun sieht Person1 aus dem Ordner XYZ nicht mehr alles.
Ordner XYZ (Rechte für Vollzugriff für: Person1, Gruppe2, Gruppe3)
- Ordner XYZ.1 (Person1 sieht den, Gruppe2 sieht den)
- Ordner XYZ.2 (Person1 sieht den nicht, Gruppe2 sieht den)
- Ordner XYZ.3 (Person1 sieht den nicht, Gruppe2 sieht den, Manuell Person7)
- Ordner XYZ.4 (Person1 sieht den nicht, Gruppe2 sieht den)
- Ordner XYZ.5 (Person1 sieht den nicht, Gruppe2 sieht den, Manuell Person9)
- Ordner XYZ.6 (Person1 sieht den nicht, Gruppe2 sieht den)
Bei der Rechtedefinition, wurde die Option gesetzt das dies auch für Subdirs und Files gelten soll.
Ich könnte nun bei jedem Subdir die Rechte manuell setzen, das geht auch, aber ist ja voll an der Idee vorbei.
Der gesetzte Vollzugriff für Gruppe2 und Person1 müsste doch, wenn für Files, Dirs und Subdirs eingestellt, auch mehr als nur Ordner XYZ.1 und Dateien sichtbar machen oder??
Wenn ich nun die Rechte für Person1 gesetzt habe und dann auf Erweitert klicke bekomme ich eine Liste
Person1 Vollzugriff gilt für Files, Dirs, Subdirs
Gruppe2 Vollzugriff gilt für Files, Dirs, Subdirs
Gruppe3 eingeschränkter Zugriff einstellungen geerbt von ...
und da die Möglichkeit einen Haken zu setzen: "Berechtigungen für alle untergeordneten Objekte, durch die angezeigten Einträge, sofern anwendbar, ersetzen. "
Mach den Haken rein, kommt beim übernehmen ein Dialog:
"Alle Berechtigungen in allen untergeordneten werden entfernt und die Option vererbarer Berechtigungen aktiviert. Es werden nur die vererbbaren Berechtigungen in Ordner XYZ geändert."
Heißt das im Klartext, das alle Manuell gesetzen Berechtigungen für Einzelpersonen bestehen bleiben oder gehen die dann verloren?
gruß
H41mSh1C0r
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123489
Url: https://administrator.de/contentid/123489
Printed on: April 23, 2024 at 06:04 o'clock
8 Comments
Latest comment
hi,
also vieleicht ersteinmal etwas algemeines.
Erstens:
Es gibt ein Prinzip (Es gibt mehrere) welches sich AGDLP nennt.
Bedeutet:
Account/Globalgroup/DomainlocalGroup/Permission
Es werden also Rechte NUR auf Gruppen vergeben, nicht auf User. (Selbst wenn es nur ein User ist - ist dafür eine Gruppe zu definieren!)
Zweitens:
Verweigern VOR Erlauben
Bedeutet:
Wenn du einer Gruppe etwas verweigerst und ein Benutzer ist in dieser Gruppe und einer anderen Gruppe die ein Erlauben auf den Selben Ordner wie die Verweigern-Gruppe hatt, wird der Zugriff verweigert
Explizit
Bedeutet:
Du kannst Expliziet einem Benutzer ein Recht auf eine DAtei zuweisen
So...und nu zu deinem Problem:
kannst du das auch etwas knapper erklären, wo genau es hackt bzw. was du genau machen willst
also vieleicht ersteinmal etwas algemeines.
Erstens:
Es gibt ein Prinzip (Es gibt mehrere) welches sich AGDLP nennt.
Bedeutet:
Account/Globalgroup/DomainlocalGroup/Permission
Es werden also Rechte NUR auf Gruppen vergeben, nicht auf User. (Selbst wenn es nur ein User ist - ist dafür eine Gruppe zu definieren!)
Zweitens:
Verweigern VOR Erlauben
Bedeutet:
Wenn du einer Gruppe etwas verweigerst und ein Benutzer ist in dieser Gruppe und einer anderen Gruppe die ein Erlauben auf den Selben Ordner wie die Verweigern-Gruppe hatt, wird der Zugriff verweigert
Explizit
Bedeutet:
Du kannst Expliziet einem Benutzer ein Recht auf eine DAtei zuweisen
So...und nu zu deinem Problem:
kannst du das auch etwas knapper erklären, wo genau es hackt bzw. was du genau machen willst
Danke erst einmal für die Prinziperklärung ^^. Bin quasi hier nur die Vertretung und hab somit wieder was gelernt =).
Wenn ich das mit den Berechtigungen hier richtig sehe sind für jeden Bereich Gruppen definiert. Ich logg mich als Admin auf dem Terminalserver an und klick mich da bis zu den Berechtigungen durch.
Nun will quasi Person1 die noch keiner direkten Gruppe angehört auf Daten zugreifen die zu einem anderen Bereich gehören.
Jetzt müsste ich also diese Person1 in jede Gruppe(Bereichslokal) eintragen und schon kann Person1 auf alles dort freigegeben zugreifen, ausgenommen die Daten die explizit als Verweigert markiert sind?
Wenn dem so ist versteh ich trotzdem noch nicht den Ablauf so wie er immo nicht funktioniert:
Person1 gehört keiner Gruppe an, somit gibts noch nix was verweigert wird. Wenn ich nun dieser Person1 das Recht gebe wie ich es im Startpost beschreibe, also explizit Person1 auf einen Ordner setze, müsste diese Person1 doch alles sehen bzw. machen dürfen was die Rechteauswahl her gibt oder? Immer bezogen auf den Startordner und alles was dadrinnen ist.
Es ist die Option gesetzt, das von dem Ordner aus alle Subdirs und Files mit den Rechten genutzt werden dürfen, trotzdem sieht bzw. kann Person1 nur auf die Sachen(Files und Subs) zugreifen bei denen explizit Person1 erneut drinnen steht in den Zugriffsrechten. =(
Wenn ich das mit den Berechtigungen hier richtig sehe sind für jeden Bereich Gruppen definiert. Ich logg mich als Admin auf dem Terminalserver an und klick mich da bis zu den Berechtigungen durch.
Nun will quasi Person1 die noch keiner direkten Gruppe angehört auf Daten zugreifen die zu einem anderen Bereich gehören.
Jetzt müsste ich also diese Person1 in jede Gruppe(Bereichslokal) eintragen und schon kann Person1 auf alles dort freigegeben zugreifen, ausgenommen die Daten die explizit als Verweigert markiert sind?
Wenn dem so ist versteh ich trotzdem noch nicht den Ablauf so wie er immo nicht funktioniert:
Person1 gehört keiner Gruppe an, somit gibts noch nix was verweigert wird. Wenn ich nun dieser Person1 das Recht gebe wie ich es im Startpost beschreibe, also explizit Person1 auf einen Ordner setze, müsste diese Person1 doch alles sehen bzw. machen dürfen was die Rechteauswahl her gibt oder? Immer bezogen auf den Startordner und alles was dadrinnen ist.
Es ist die Option gesetzt, das von dem Ordner aus alle Subdirs und Files mit den Rechten genutzt werden dürfen, trotzdem sieht bzw. kann Person1 nur auf die Sachen(Files und Subs) zugreifen bei denen explizit Person1 erneut drinnen steht in den Zugriffsrechten. =(
Jetzt müsste ich also diese Person1 in jede
Gruppe(Bereichslokal) eintragen und schon kann Person1 auf alles dort
freigegeben zugreifen, ausgenommen die Daten die explizit als
Verweigert markiert sind?
Gruppe(Bereichslokal) eintragen und schon kann Person1 auf alles dort
freigegeben zugreifen, ausgenommen die Daten die explizit als
Verweigert markiert sind?
Freigaben und NTFS-Berechtigungen sind zwei paar schuhe.
Berechtigungen auf "Freigaben "sind allerdings mit NTFS Berechtigungen "verknüpft"
Wenn User1 unter Freigabeberechtigungen (freigegebenr Ordner->rechtklick->freigabe) zum beispiel vollzugriff hat, in den NTFS-Berechtigungen aber nur lesen oder gar Verweigert, bekommt er das restriktivere Recht nur zugesprochen, Netzwerkseitig also lesen oder verweigert.
Wenn User1 unter Freigabeberechtigungen lesen hat, in den NTFS-Berechtigungen aber vollzugriff, bekommt er Netzwerkseitig lesen und auf dateieben vollzugriff!
Person1 gehört keiner Gruppe an, somit gibts noch nix was
verweigert wird. Wenn ich nun dieser Person1 das Recht gebe wie ich es
im Startpost beschreibe, also explizit Person1 auf einen Ordner setze,
müsste diese Person1 doch alles sehen bzw. machen dürfen was
die Rechteauswahl her gibt oder? Immer bezogen auf den Startordner und
alles was dadrinnen ist.
verweigert wird. Wenn ich nun dieser Person1 das Recht gebe wie ich es
im Startpost beschreibe, also explizit Person1 auf einen Ordner setze,
müsste diese Person1 doch alles sehen bzw. machen dürfen was
die Rechteauswahl her gibt oder? Immer bezogen auf den Startordner und
alles was dadrinnen ist.
Wie ich gerade schon sagte, hängt von Frei- und NTFS-Berechtigungen ab
Gruß
ups, ne freigabe nicht.
anmelden als Admin am --> Terminal Server -> Laufwerk -> rechte Maustaste-> Eigenschaften -> Sicherheit -> Gruppen- und Benutzernamen --> Benutzer eintragen und Rechte spezifizieren
anmelden als Admin am --> Terminal Server -> Laufwerk -> rechte Maustaste-> Eigenschaften -> Sicherheit -> Gruppen- und Benutzernamen --> Benutzer eintragen und Rechte spezifizieren
ja, aber wie greifen die User zu?
Über freigaben auf die Ordner oder oder direkt ?
Über freigaben auf die Ordner oder oder direkt ?
Wir halten die Daten via redundantem SAN für alle Nutzer bereit. Wenn ich das richtig verstanden habe:
- alle melden sich an der Domaine an
- werden einenm TS zugeordnet
--> können losarbeiten
Innerhalb der Domaine gibt es verschiedene Abteilungen und jede Abteilung hat Ihre einzelnen Benutzer, ausgenommen Person1(Sekretärin, die gehört in keine Gruppe, aber zur Domaine).
In dem Tab Sicherheit: stehen die Admins, Gruppe2, Gruppe3 und ab und an einzelne Benutzer drinnen, mitunter auch die Sekretärin.
Da für den TS das SAN ein großes Laufwerk ist und der Rest via Netzlaufwerk gemappt wird, ist der Zugriff schon direkt oder?
Sprich ich stell die Rechte ein und dann sollte die Sekretärin auch Zugriff auf diesen Ordner haben oder?
- alle melden sich an der Domaine an
- werden einenm TS zugeordnet
--> können losarbeiten
Innerhalb der Domaine gibt es verschiedene Abteilungen und jede Abteilung hat Ihre einzelnen Benutzer, ausgenommen Person1(Sekretärin, die gehört in keine Gruppe, aber zur Domaine).
In dem Tab Sicherheit: stehen die Admins, Gruppe2, Gruppe3 und ab und an einzelne Benutzer drinnen, mitunter auch die Sekretärin.
Da für den TS das SAN ein großes Laufwerk ist und der Rest via Netzlaufwerk gemappt wird, ist der Zugriff schon direkt oder?
Sprich ich stell die Rechte ein und dann sollte die Sekretärin auch Zugriff auf diesen Ordner haben oder?
Ja, wie gesagt, hängt immer von der Zugriffsrichtung ab.
Also, wenn über Netzwerkfreigaben zugegriffen wird müssen sowohl Freigabe als auch NTFS-Berechtigungen angepasst werden, wenn auf die "lokalen Platten" auf dem Server, also auch SAN-da der Server diese als Lokale Platte SIeht, müssen nur die NTFS-Berechtigungen eingestellt werden.
Wenn du also einen Ordner die NTFS-Berechtigungen lesen für UserGruppe1 vergibst und einer UserGruppe2 das lesen verweigerst, und user1 mitglied beider gruppen ist, wird im der zugriff verweigert.
Wenn du aber bei der selben Konstelation, dem user1 in einem unterordner diese ordners explizit etwas erlaubst, bekommt er den zugriff auf diese datei obwohl im übergeordneten ordner der zugriff verweigert wurde.
Wenn du die ganzen eigenschaften nach unten hin vererbst, hat er trotzdem immer noch zugriff auf diese datei.
Du kannst natürlich auch die vererbung "aufbrechen" in dem du den Hacken aus die "Vererbbaren Berechtigungen des Übergeordneten Ordners übernehmen" rausnimmst.
Du hast dann die möglichkeit die übergeordneten Berechtigungen zu kopieren oder zu leeren und die Möglichkeit die vererbbaren eigenschaften DIESE ORDNERS auf alle unterordner zu vererben.
Neu erstellte Ordner, unterhalb des Ordners auf den du die vererbung deaktiviert hast, erben dann nur noch von dem ordner der die ordnervererbung (des übergeordneten Ordners) deaktiviert hat und nicht mer vom obersten...bzw. vom root
Und ja, alle berechtigungen die du für einzelpersonen Explizit erstellt hast, bleiben.
Also, wenn über Netzwerkfreigaben zugegriffen wird müssen sowohl Freigabe als auch NTFS-Berechtigungen angepasst werden, wenn auf die "lokalen Platten" auf dem Server, also auch SAN-da der Server diese als Lokale Platte SIeht, müssen nur die NTFS-Berechtigungen eingestellt werden.
Wenn du also einen Ordner die NTFS-Berechtigungen lesen für UserGruppe1 vergibst und einer UserGruppe2 das lesen verweigerst, und user1 mitglied beider gruppen ist, wird im der zugriff verweigert.
Wenn du aber bei der selben Konstelation, dem user1 in einem unterordner diese ordners explizit etwas erlaubst, bekommt er den zugriff auf diese datei obwohl im übergeordneten ordner der zugriff verweigert wurde.
Wenn du die ganzen eigenschaften nach unten hin vererbst, hat er trotzdem immer noch zugriff auf diese datei.
Du kannst natürlich auch die vererbung "aufbrechen" in dem du den Hacken aus die "Vererbbaren Berechtigungen des Übergeordneten Ordners übernehmen" rausnimmst.
Du hast dann die möglichkeit die übergeordneten Berechtigungen zu kopieren oder zu leeren und die Möglichkeit die vererbbaren eigenschaften DIESE ORDNERS auf alle unterordner zu vererben.
Neu erstellte Ordner, unterhalb des Ordners auf den du die vererbung deaktiviert hast, erben dann nur noch von dem ordner der die ordnervererbung (des übergeordneten Ordners) deaktiviert hat und nicht mer vom obersten...bzw. vom root
Und ja, alle berechtigungen die du für einzelpersonen Explizit erstellt hast, bleiben.
danke für die ausführlich erklärung, werde das morgen in angriff nehmen =), wenn ich wieder auf arbeit bin. =)
