7
Frage zu Besitzrechten
Hallo zusammen.
Ich habe vor kurzem das seltsame Phänomen bemerkt, daß ein user sobald er in einem Ordner, wo er Schreibrechte hat, einen Ordner erstellt er als Besitzer dieses erstellten Ordners eingetragen wird. Infolge dessen kann er in diesem von ihm erstellten Ordner auch die Berechtigungen verändern und kann auch die Rechtevererbung unterbrechen (was er in diesem Fall auch getan hat). Ich habe die Berechtigung des übergeordneten Ordners überprüft. Keine Gruppe bis auf die Domänenadmingruppe hat Vollzugriff auf diesen Ordner. Der User selber ist aber kein Domänenadmin. Ich hatte diesen Fall noch nie gehabt aber mein Kollege meinte es wäre normal. Allerdings kann ich mir das nicht vorstellen, daß das von Microsoft so gewollt ist da wenn die User ins Rechtesystem eingreifen können großer Schaden entstehen kann. Vielleicht weiss einer von euch was hier falsch läuft. Danke euch schon mal im vorraus.
Viele Grüße
Robert
Ich habe vor kurzem das seltsame Phänomen bemerkt, daß ein user sobald er in einem Ordner, wo er Schreibrechte hat, einen Ordner erstellt er als Besitzer dieses erstellten Ordners eingetragen wird. Infolge dessen kann er in diesem von ihm erstellten Ordner auch die Berechtigungen verändern und kann auch die Rechtevererbung unterbrechen (was er in diesem Fall auch getan hat). Ich habe die Berechtigung des übergeordneten Ordners überprüft. Keine Gruppe bis auf die Domänenadmingruppe hat Vollzugriff auf diesen Ordner. Der User selber ist aber kein Domänenadmin. Ich hatte diesen Fall noch nie gehabt aber mein Kollege meinte es wäre normal. Allerdings kann ich mir das nicht vorstellen, daß das von Microsoft so gewollt ist da wenn die User ins Rechtesystem eingreifen können großer Schaden entstehen kann. Vielleicht weiss einer von euch was hier falsch läuft. Danke euch schon mal im vorraus.
Viele Grüße
Robert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 232811
Url: https://administrator.de/contentid/232811
Printed on: April 23, 2024 at 06:04 o'clock
7 Comments
Latest comment
Hi!
ist bei uns auch so und ich hab vor kurzem auch wieder drauf vergessen:
Geerbte Berechtigungen werden nicht automatisch aktualisiert, wenn Sie Ordner verschieben
ich überleg derzeit, die Rechte einfach immer wieder "drüber zu bügeln", per Skript.
Der User kann aber zumindest niemand unbefugten Zugriff verschaffen.
sg Dirm
ist bei uns auch so und ich hab vor kurzem auch wieder drauf vergessen:
Geerbte Berechtigungen werden nicht automatisch aktualisiert, wenn Sie Ordner verschieben
ich überleg derzeit, die Rechte einfach immer wieder "drüber zu bügeln", per Skript.
Der User kann aber zumindest niemand unbefugten Zugriff verschaffen.
sg Dirm
Moin.
Lässt sich beheben. Es resultiert aus dem gern gemachten Fehler, bei den Freigaberechten mit jeder:Vollzugriff zu arbeiten. Nimm jeder:ändern, und es passt.
Lässt sich beheben. Es resultiert aus dem gern gemachten Fehler, bei den Freigaberechten mit jeder:Vollzugriff zu arbeiten. Nimm jeder:ändern, und es passt.
Also der User konnte es. Der hat nämlich alle Gruppen aus der Liste geworfen und hat nur sich selbst mit Schreibrechten eingetragen. Dadurch bin ich erst aufmerksam geworden. Wenn das aber mehrere machen kann das ziemlich ungemütliche Folgen haben. Alleine schon weil das Backup somit ausgesperrt wird und das Backupsystem nicht mehr auf den Ordner kommt.
Allerdings gab es dieses Problem in meiner vorherigen Firma nicht. Da war der Besitzer eines neu erstellten Ordners immer der des übergeordneten Ordners.
Allerdings gab es dieses Problem in meiner vorherigen Firma nicht. Da war der Besitzer eines neu erstellten Ordners immer der des übergeordneten Ordners.
@DerWoWusste
Die Gruppe jeder ist gar nicht im Ordner drin und es haben nur die Domänen Admins Vollzugriff. Daher finde ich das ganze total suspekt.
Die Gruppe jeder ist gar nicht im Ordner drin und es haben nur die Domänen Admins Vollzugriff. Daher finde ich das ganze total suspekt.
Euer Backup Programm sollte mit einem Konto ausgeführt werden, dass Mitglied in der Gruppe Sicherheitsoperatoren (Oder so ähnlich, müsst ich nachgucken) ist. Das Konto hat dann Zugriff auf alle Dateien und Ordner, egal wie die NTFS Berechtigungen sind.
Ich habe es jetzt mal mit einem anderen User getestet. Es stimmt. Wenn er einen Ordner erstellt wird der User der den Ordner erstellt hat als Besitzer eingetragen aber kann keine Gruppe aus der Liste rauswerfen oder die Berechtigung ändern. Strange dass es der andere Hansl irgendwie geschafft hat. Ich werde dem seine Rechte nocheinmal genauer unter die Lupe nehmen.
Danke euch alle für eure Hilfe!
Danke euch alle für eure Hilfe!
Die Gruppe jeder ist gar nicht im Ordner drin
"Im Ordner"? Bitte mal ein wenig genauer. Ich spreche von den Freigabeberechtigunegn und nicht von den NTFS-Berechtigungen, nebenbei.
