20
Frage zu NTFS-Rechten
Hallo zusammen,
zunächst mal Sorry für die Überschrift. Ich weiß leider nicht, wie ich mein Problem kurz beschreiben soll.
Also hier die lange Version:
Ich habe einen Ordner im Netz freigegen, nennen wir ihn mal root.
Root hat folgende Rechte:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Lesen, Diesen Ordner
In Root sind Unterordner mit folgenden Berechtigungen:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Ändern, Unterordner, Dateien
So, in Root selbst kann niemand was fuschen, außer der Admin - Richtig so!
In den Unterordnern kann auch so gearbeitet werden wie es soll - Richtig so!
Einziges Problem:
Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!
Die User sollen IN den Unterordnern tun und lassen können was sie wollen, aber im Rootordner haben sie rein GARNICHTS zu verändern!
Wie genau setz ich das um??
zunächst mal Sorry für die Überschrift. Ich weiß leider nicht, wie ich mein Problem kurz beschreiben soll.
Also hier die lange Version:
Ich habe einen Ordner im Netz freigegen, nennen wir ihn mal root.
Root hat folgende Rechte:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Lesen, Diesen Ordner
In Root sind Unterordner mit folgenden Berechtigungen:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Ändern, Unterordner, Dateien
So, in Root selbst kann niemand was fuschen, außer der Admin - Richtig so!
In den Unterordnern kann auch so gearbeitet werden wie es soll - Richtig so!
Einziges Problem:
Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!
Die User sollen IN den Unterordnern tun und lassen können was sie wollen, aber im Rootordner haben sie rein GARNICHTS zu verändern!
Wie genau setz ich das um??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161576
Url: https://administrator.de/contentid/161576
Printed on: April 24, 2024 at 18:04 o'clock
20 Comments
Latest comment
Tach auch
Dann musst du auf dem Root-Ordner den Benutzern das -erstellen,löschen- zusätzlich VERWEIGERN
Mfg
-s-v-o-
Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!
Dann musst du auf dem Root-Ordner den Benutzern das -erstellen,löschen- zusätzlich VERWEIGERN
Mfg
-s-v-o-
Mit Verweigern ist aber leider der Admin auch in den Hintern gekniffen, weil er auch als User in Gruppen steckt, die von dem Verweigern betroffen sind.
Gehts also noch anders?
Gehts also noch anders?
Tach nochmal
Du musst ja auch nur bei den Benutzern - Nur dieser Ordner verweigern.
Sollte so aussehen
Root:
Admin
- Vollzugriff
Benutzer - Nur dieser Ordner
- Auflisten - ja
- Lesen,Ausführen - ja
- löschen - verweigern
- erstellen - verweigern
Domäne Benutzer - Nur Unterordner und Dateien
- Auflisten - ja
- Lesen,Ausführen - ja
- schreiben - ja
- ändern - ja
Achtung, nicht Domäne Benutzer sondern Benutzer.
Wenn du den "Domäne Benutzer" nimmst dann schließt das den "Admin" ein.
Mfg
-s-v-o-
Du musst ja auch nur bei den Benutzern - Nur dieser Ordner verweigern.
Sollte so aussehen
Root:
Admin
- Vollzugriff
Benutzer - Nur dieser Ordner
- Auflisten - ja
- Lesen,Ausführen - ja
- löschen - verweigern
- erstellen - verweigern
Domäne Benutzer - Nur Unterordner und Dateien
- Auflisten - ja
- Lesen,Ausführen - ja
- schreiben - ja
- ändern - ja
Achtung, nicht Domäne Benutzer sondern Benutzer.
Wenn du den "Domäne Benutzer" nimmst dann schließt das den "Admin" ein.
Mfg
-s-v-o-
Hey,
danke aber ich glaub das ist nochnicht das was ich suche.
Fehlt wohl noch ein wenig Hintergrundwissen:
Der Administrator den ich als solchen bezeichne ist kein Domänenadministrator. Er ist nur Admin für diesen Share und die ihm zugeteilten Workstations. Ansonsten ist er ganz normaler Benutzer, der auch in Gruppen im AD steckt, die hier von dem Verweigerungsrecht angesprochen werden. Aus den Gruppen nehmen geht leider nicht, weil er auf anderen Shares (wo er kein Admin ist) damit Zugriff erhält.
Ich meinte mit "Benutze" auch nicht eien fertige Gruppe etc die so heißt, sondern allgemein meine Leute hier. Diese stecken in Gruppen, mit denen ich die Sache regeln will.
Also fassen wir mal zusammen:
Gruppe Administratoren: User 1
Gruppe Abteilung 1: User 1, User 2, User 3
Gruppe Abteilung 2: User 1, User 4
Gruppe Abteilung 3: User 3, User 6
Jetzt sollen halt die Mitglieder der Gruppe Administratoren alles dürfen und die anderen nur in den Unterordnern arbeiten. Wenn ich nun Gruppe Abteilung 1 verweigere, dann ist User 1 machtlos.
danke aber ich glaub das ist nochnicht das was ich suche.
Fehlt wohl noch ein wenig Hintergrundwissen:
Der Administrator den ich als solchen bezeichne ist kein Domänenadministrator. Er ist nur Admin für diesen Share und die ihm zugeteilten Workstations. Ansonsten ist er ganz normaler Benutzer, der auch in Gruppen im AD steckt, die hier von dem Verweigerungsrecht angesprochen werden. Aus den Gruppen nehmen geht leider nicht, weil er auf anderen Shares (wo er kein Admin ist) damit Zugriff erhält.
Ich meinte mit "Benutze" auch nicht eien fertige Gruppe etc die so heißt, sondern allgemein meine Leute hier. Diese stecken in Gruppen, mit denen ich die Sache regeln will.
Also fassen wir mal zusammen:
Gruppe Administratoren: User 1
Gruppe Abteilung 1: User 1, User 2, User 3
Gruppe Abteilung 2: User 1, User 4
Gruppe Abteilung 3: User 3, User 6
Jetzt sollen halt die Mitglieder der Gruppe Administratoren alles dürfen und die anderen nur in den Unterordnern arbeiten. Wenn ich nun Gruppe Abteilung 1 verweigere, dann ist User 1 machtlos.
Dein Hauptproblem ist die Vererbung an untergeordnete Ordner. Diese hebst Du über Eigenschaften, Sicherheit, Erweiutert auf, indem Du das Häkchen zur Vererbung entfernst. Danach kannst Du für untergeordenete Ordner eigene Rechte einrichten. Hoffe, das wars, was Du wolltest.
Wieso ist das mein Hauptproblem? Die Vererbung hab ich schon angepasst. Läuft auch soweit alles wie es soll. Frage ist nur, wie kann ich in Root (Bis dahin haben alle Gruppen außer Administratoren nur Leserechte) das Löschrecht des Ordners abschalten, IN dem die das Schreibrecht haben? In Root kann jeder bis auf die Admins nur lesen. Ich berechtige einen Unterordner mit Ändernrechten. Jetzt können die Benutzer darin arbeiten. Aber sie könne auch diesen Ordner löschen, obwohl er in Root liegt und sie in Root nur Leserechte haben, verstehste? Umbennen hingegen können sie ihn nicht.
Tach auch
Wenn ich das richtig verstanden habe bekommst du das so zumindest nicht hin.
Verweigern hat immer höhere Prio wie freigeben, d.h. Du gibt einem user Vollzugriff und parallel
verweigerst du ihm alles dann darf er nichts mehr und genau da liegt das problem.
Ich denke so kannst du das erstmal nicht lösen da der "Admin" Benutzer auch in untergruppen
Mitglied ist.
Mfg
-s-v-o-
Wenn ich das richtig verstanden habe bekommst du das so zumindest nicht hin.
Verweigern hat immer höhere Prio wie freigeben, d.h. Du gibt einem user Vollzugriff und parallel
verweigerst du ihm alles dann darf er nichts mehr und genau da liegt das problem.
Ich denke so kannst du das erstmal nicht lösen da der "Admin" Benutzer auch in untergruppen
Mitglied ist.
Mfg
-s-v-o-
Ja genau da bin ich auch ;)
Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht kann.
Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht kann.
Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Moin moin
1x mit schreiben/Löschen usw. Übernehmen für: Unterordner und Dateien
1x mit ohne Löschen: Übernehmen für: Diesen Ordner
Ich hoffe das hilft dir weiter.
Gruß L.
Zitat von @Maik87:
Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht
kann.
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht
kann.
Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die
Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Du must im Unterordner (nicht in Root) die Gruppe der User die dort ändern sollen 2x hinzufügen:Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
1x mit schreiben/Löschen usw. Übernehmen für: Unterordner und Dateien
1x mit ohne Löschen: Übernehmen für: Diesen Ordner
Ich hoffe das hilft dir weiter.
Gruß L.
Wie mit ohne löschen?
Wieso zweimal, das geht doch in einen Eintrag?!
Hab ich dann auch das Problem umgangen, dass der Admin teil der Usergruppe ist?
Wieso zweimal, das geht doch in einen Eintrag?!
Hab ich dann auch das Problem umgangen, dass der Admin teil der Usergruppe ist?
Hallo Maik87!
Wenn der "Admin" bestimmte Rechte benötigt, gibst Du ihm die einfach "persönlich" (oder besser der "Administratoren"-Gruppe) ...
Grüße
bastla
Hab ich dann auch das Problem umgangen, dass der Admin teil der Usergruppe ist?
Wo wäre das Problem?Wenn der "Admin" bestimmte Rechte benötigt, gibst Du ihm die einfach "persönlich" (oder besser der "Administratoren"-Gruppe) ...
Grüße
bastla
Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Hallo Maik87!
Und wo hätte Logan000 eine Verweigerung vorgeschlagen?
Grüße
bastla
Und wo hätte Logan000 eine Verweigerung vorgeschlagen?
Grüße
bastla
Hier mal eine Erklärung, wie Microsoft sich das mit den Rechten genau vorstellt:
1. Share anlegen und Vollzugriff für authentifizierte Benutzer einrichten(feinere Rechte werden über NTFS eingerichtet)
2. Bitte niemals mit Deny arbeiten. Erhöht die Komplexität und schafft nur Probleme
3. Wichtig ist auf dem Root! (damit es eben auch nicht vererbt wird) den "Ersteller/Besitzer" entfernen. Dieser hat nämlich immer Vollzugriff auf die von ihm erstellen Ressourcen
4. für jeden Berechtigungstyp pro Ressource eine Gruppe anlegen: für "Ändern" z.B. Gr_Pfad_md; für "Lesen und Ausführen" z.B. "GR_Pfad_r"
5. in diese Gruppen die zu berechtigenden Personen und oder Gruppen einfügen
Wenn man jetzt mehrere Ebenen in Verzeichnisbaum hat und weiter unten Berechtigungen anders sein sollen, dann Berechtigt man die User die weiter unten Ändernrechte haben sollen, damit sie sich überhaupt zu dem Pfad durchbrowsen können mit Listrechten. Am besten vergibt man die Listrechte der explizit angelegt "Ändergruppe"
Ich hoffe das hilft.
Viele Grüße, Thomas
www.aikux.com
1. Share anlegen und Vollzugriff für authentifizierte Benutzer einrichten(feinere Rechte werden über NTFS eingerichtet)
2. Bitte niemals mit Deny arbeiten. Erhöht die Komplexität und schafft nur Probleme
3. Wichtig ist auf dem Root! (damit es eben auch nicht vererbt wird) den "Ersteller/Besitzer" entfernen. Dieser hat nämlich immer Vollzugriff auf die von ihm erstellen Ressourcen
4. für jeden Berechtigungstyp pro Ressource eine Gruppe anlegen: für "Ändern" z.B. Gr_Pfad_md; für "Lesen und Ausführen" z.B. "GR_Pfad_r"
5. in diese Gruppen die zu berechtigenden Personen und oder Gruppen einfügen
Wenn man jetzt mehrere Ebenen in Verzeichnisbaum hat und weiter unten Berechtigungen anders sein sollen, dann Berechtigt man die User die weiter unten Ändernrechte haben sollen, damit sie sich überhaupt zu dem Pfad durchbrowsen können mit Listrechten. Am besten vergibt man die Listrechte der explizit angelegt "Ändergruppe"
Ich hoffe das hilft.
Viele Grüße, Thomas
www.aikux.com
Moin Moin
Eben nicht.
Wenn Du für einen Unterordner (z.B. Root\Abteilung1) einer Gruppe (z.B. Abteilung1) einfach nur Lesen/Schreiben Rechte vergiebst beziehen dise sich auch auf den Ordner selbst.
Du musst schon über die Schaltfläche Erweitert die Rechte bearbeiten und dabei die Auswahl Übernehmen für beachten.
Und hier wählst du 1x für die Gruppe Abteilung1 Lesen und schreiben Übernehmen für: Unterordner und Dateien.
und ein weiteresmal für die Gruppe Abteilung1 Lesen Übernehmen für diesen Ordner.
Jetzt taucht deine Gruppe Abteilung1 in den erweiterten Sicherheitseinstellungen 2x auf.
Jetzt kannst du für deinen "Share Admin" (oder für eine Gruppe "ShareAdmin") gerne erweiterte Rechte setzen ohne ihn aus der Gruppe Abteilung1 entfernen zu müssen.
Gruß L.
Eben nicht.
Wenn Du für einen Unterordner (z.B. Root\Abteilung1) einer Gruppe (z.B. Abteilung1) einfach nur Lesen/Schreiben Rechte vergiebst beziehen dise sich auch auf den Ordner selbst.
Du musst schon über die Schaltfläche Erweitert die Rechte bearbeiten und dabei die Auswahl Übernehmen für beachten.
Und hier wählst du 1x für die Gruppe Abteilung1 Lesen und schreiben Übernehmen für: Unterordner und Dateien.
und ein weiteresmal für die Gruppe Abteilung1 Lesen Übernehmen für diesen Ordner.
Jetzt taucht deine Gruppe Abteilung1 in den erweiterten Sicherheitseinstellungen 2x auf.
Jetzt kannst du für deinen "Share Admin" (oder für eine Gruppe "ShareAdmin") gerne erweiterte Rechte setzen ohne ihn aus der Gruppe Abteilung1 entfernen zu müssen.
Zitat von @Maik87:
Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Zitat von @Logan000:
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.
Damit hast du übrigens ein schönes Bsp. dafür geschaffen, warum es vernünftig ist, auf "Verweigern" Rechte zu verzichten.Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Zitat von @Logan000:
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.
Gruß L.
Ich krieg es einfach nicht hin...
Wenn ich es so mache, wie ich es verstehe, dann schaff ich es zwar, dass der Unterordner sicher ist, ich aber auch nicht drin arbeiten kann. Scheinbar wirkt sich dieses "Unterordner udn Dateien" nur auf bereits bestehende Objekte aus. Nicht generell auf den Ordnerinhalt, der noch entstehen kann.
Wenn ich es so mache, wie ich es verstehe, dann schaff ich es zwar, dass der Unterordner sicher ist, ich aber auch nicht drin arbeiten kann. Scheinbar wirkt sich dieses "Unterordner udn Dateien" nur auf bereits bestehende Objekte aus. Nicht generell auf den Ordnerinhalt, der noch entstehen kann.
Poahr, es läuft =)
Man... Also hier mal meine Zusammenfassung:
Root:
Nur diesen Ordner
Shareadmin: Vollzugriff
Usergruppe: Ordner durchsuchen / Datei ausführen + Ordner auflisten / Daten lesen
Unterordner:
Shareadmin erbt Rechte
Nur diesen Ordner
Usergruppe: Ordner durchsuchen/Datei ausführen + Ordner auflisten/Daten lesen + Datei erstellen /Daten schreiben + Ordner erstellen/Daten anhängen
Nur Unterordner udn Dateien
Ändern
Danke für eure Ausdauer!!
Jetzt aber noch ein Problem:
Rechtekonzept läuft nun sauber bis ein User ein Objekt anlegt. Er ist jetzt Eigentümer des Objekts und hat Vollzugriff. Soll er aber nicht...
Was ist zu tun? Hier kann er wieder meine Berechtigung kaputt machen.
Man... Also hier mal meine Zusammenfassung:
Root:
Nur diesen Ordner
Shareadmin: Vollzugriff
Usergruppe: Ordner durchsuchen / Datei ausführen + Ordner auflisten / Daten lesen
Unterordner:
Shareadmin erbt Rechte
Nur diesen Ordner
Usergruppe: Ordner durchsuchen/Datei ausführen + Ordner auflisten/Daten lesen + Datei erstellen /Daten schreiben + Ordner erstellen/Daten anhängen
Nur Unterordner udn Dateien
Ändern
Danke für eure Ausdauer!!
Jetzt aber noch ein Problem:
Rechtekonzept läuft nun sauber bis ein User ein Objekt anlegt. Er ist jetzt Eigentümer des Objekts und hat Vollzugriff. Soll er aber nicht...
Was ist zu tun? Hier kann er wieder meine Berechtigung kaputt machen.
Hallo Maik87!
Soferne er lokal an dem Rechner arbeitet, kannst Du eigentlich nur (zB regelmäßig per Taskplaner) den Besitz (auf die Administratorengruppe) übernehmen; muss der Zugriff über eine Freigabe erfolgen, kannst Du dort einfach als Freigabeberechtigung nur "Ändern" erlauben ...
Grüße
bastla
Soferne er lokal an dem Rechner arbeitet, kannst Du eigentlich nur (zB regelmäßig per Taskplaner) den Besitz (auf die Administratorengruppe) übernehmen; muss der Zugriff über eine Freigabe erfolgen, kannst Du dort einfach als Freigabeberechtigung nur "Ändern" erlauben ...
Grüße
bastla
Danke bastla!
Da ich nur ShareAdmin bin und nicht lokal am Server arbeiten kann, werde ich mich mal mit dem Serverbetreiber in Verbindung setzen. Ich meld mich, sobald ich mehr weiß!!
Da ich nur ShareAdmin bin und nicht lokal am Server arbeiten kann, werde ich mich mal mit dem Serverbetreiber in Verbindung setzen. Ich meld mich, sobald ich mehr weiß!!
Geht geht geht!!
Danke Jungs!!
Danke Jungs!!
