Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Frage zu NTFS-Rechten

Mitglied: Maik87

Maik87 (Level 2) - Jetzt verbinden

25.02.2011 um 11:55 Uhr, 4933 Aufrufe, 20 Kommentare

Hallo zusammen,
zunächst mal Sorry für die Überschrift. Ich weiß leider nicht, wie ich mein Problem kurz beschreiben soll.

Also hier die lange Version:
Ich habe einen Ordner im Netz freigegen, nennen wir ihn mal root.

Root hat folgende Rechte:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Lesen, Diesen Ordner

In Root sind Unterordner mit folgenden Berechtigungen:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Ändern, Unterordner, Dateien

So, in Root selbst kann niemand was fuschen, außer der Admin - Richtig so!
In den Unterordnern kann auch so gearbeitet werden wie es soll - Richtig so!

Einziges Problem:
Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!
Die User sollen IN den Unterordnern tun und lassen können was sie wollen, aber im Rootordner haben sie rein GARNICHTS zu verändern!

Wie genau setz ich das um??
Mitglied: -s-v-o-
25.02.2011 um 12:01 Uhr
Tach auch

Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!

Dann musst du auf dem Root-Ordner den Benutzern das -erstellen,löschen- zusätzlich VERWEIGERN

Mfg
-s-v-o-
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 12:06 Uhr
Mit Verweigern ist aber leider der Admin auch in den Hintern gekniffen, weil er auch als User in Gruppen steckt, die von dem Verweigern betroffen sind.

Gehts also noch anders?
Bitte warten ..
Mitglied: -s-v-o-
25.02.2011 um 12:12 Uhr
Tach nochmal

Du musst ja auch nur bei den Benutzern - Nur dieser Ordner verweigern.

Sollte so aussehen

Root:
Admin
- Vollzugriff

Benutzer - Nur dieser Ordner
- Auflisten - ja
- Lesen,Ausführen - ja
- löschen - verweigern
- erstellen - verweigern

Domäne Benutzer - Nur Unterordner und Dateien
- Auflisten - ja
- Lesen,Ausführen - ja
- schreiben - ja
- ändern - ja

Achtung, nicht Domäne Benutzer sondern Benutzer.
Wenn du den "Domäne Benutzer" nimmst dann schließt das den "Admin" ein.

Mfg
-s-v-o-
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 12:20 Uhr
Hey,
danke aber ich glaub das ist nochnicht das was ich suche.

Fehlt wohl noch ein wenig Hintergrundwissen:
Der Administrator den ich als solchen bezeichne ist kein Domänenadministrator. Er ist nur Admin für diesen Share und die ihm zugeteilten Workstations. Ansonsten ist er ganz normaler Benutzer, der auch in Gruppen im AD steckt, die hier von dem Verweigerungsrecht angesprochen werden. Aus den Gruppen nehmen geht leider nicht, weil er auf anderen Shares (wo er kein Admin ist) damit Zugriff erhält.

Ich meinte mit "Benutze" auch nicht eien fertige Gruppe etc die so heißt, sondern allgemein meine Leute hier. Diese stecken in Gruppen, mit denen ich die Sache regeln will.

Also fassen wir mal zusammen:
Gruppe Administratoren: User 1
Gruppe Abteilung 1: User 1, User 2, User 3
Gruppe Abteilung 2: User 1, User 4
Gruppe Abteilung 3: User 3, User 6

Jetzt sollen halt die Mitglieder der Gruppe Administratoren alles dürfen und die anderen nur in den Unterordnern arbeiten. Wenn ich nun Gruppe Abteilung 1 verweigere, dann ist User 1 machtlos.
Bitte warten ..
Mitglied: Urlicht
25.02.2011 um 12:29 Uhr
Dein Hauptproblem ist die Vererbung an untergeordnete Ordner. Diese hebst Du über Eigenschaften, Sicherheit, Erweiutert auf, indem Du das Häkchen zur Vererbung entfernst. Danach kannst Du für untergeordenete Ordner eigene Rechte einrichten. Hoffe, das wars, was Du wolltest.
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 12:37 Uhr
Wieso ist das mein Hauptproblem? Die Vererbung hab ich schon angepasst. Läuft auch soweit alles wie es soll. Frage ist nur, wie kann ich in Root (Bis dahin haben alle Gruppen außer Administratoren nur Leserechte) das Löschrecht des Ordners abschalten, IN dem die das Schreibrecht haben? In Root kann jeder bis auf die Admins nur lesen. Ich berechtige einen Unterordner mit Ändernrechten. Jetzt können die Benutzer darin arbeiten. Aber sie könne auch diesen Ordner löschen, obwohl er in Root liegt und sie in Root nur Leserechte haben, verstehste? Umbennen hingegen können sie ihn nicht.
Bitte warten ..
Mitglied: -s-v-o-
25.02.2011 um 12:55 Uhr
Tach auch

Wenn ich das richtig verstanden habe bekommst du das so zumindest nicht hin.

Verweigern hat immer höhere Prio wie freigeben, d.h. Du gibt einem user Vollzugriff und parallel
verweigerst du ihm alles dann darf er nichts mehr und genau da liegt das problem.

Ich denke so kannst du das erstmal nicht lösen da der "Admin" Benutzer auch in untergruppen
Mitglied ist.

Mfg
-s-v-o-
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 12:59 Uhr
Ja genau da bin ich auch ;)

Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht kann.

Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Bitte warten ..
Mitglied: Logan000
25.02.2011 um 14:00 Uhr
Moin moin

Zitat von Maik87:
Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht
kann.
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.

Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die
Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Du must im Unterordner (nicht in Root) die Gruppe der User die dort ändern sollen 2x hinzufügen:
1x mit schreiben/Löschen usw. Übernehmen für: Unterordner und Dateien
1x mit ohne Löschen: Übernehmen für: Diesen Ordner

Ich hoffe das hilft dir weiter.

Gruß L.
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 17:49 Uhr
Wie mit ohne löschen?
Wieso zweimal, das geht doch in einen Eintrag?!

Hab ich dann auch das Problem umgangen, dass der Admin teil der Usergruppe ist?
Bitte warten ..
Mitglied: bastla
25.02.2011 um 19:36 Uhr
Hallo Maik87!
Hab ich dann auch das Problem umgangen, dass der Admin teil der Usergruppe ist?
Wo wäre das Problem?

Wenn der "Admin" bestimmte Rechte benötigt, gibst Du ihm die einfach "persönlich" (oder besser der "Administratoren"-Gruppe) ...

Grüße
bastla
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 19:56 Uhr
Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Bitte warten ..
Mitglied: bastla
25.02.2011 um 20:46 Uhr
Hallo Maik87!

Und wo hätte Logan000 eine Verweigerung vorgeschlagen?

Grüße
bastla
Bitte warten ..
Mitglied: 98094
27.02.2011 um 19:38 Uhr
Hier mal eine Erklärung, wie Microsoft sich das mit den Rechten genau vorstellt:

1. Share anlegen und Vollzugriff für authentifizierte Benutzer einrichten(feinere Rechte werden über NTFS eingerichtet)
2. Bitte niemals mit Deny arbeiten. Erhöht die Komplexität und schafft nur Probleme
3. Wichtig ist auf dem Root! (damit es eben auch nicht vererbt wird) den "Ersteller/Besitzer" entfernen. Dieser hat nämlich immer Vollzugriff auf die von ihm erstellen Ressourcen
4. für jeden Berechtigungstyp pro Ressource eine Gruppe anlegen: für "Ändern" z.B. Gr_Pfad_md; für "Lesen und Ausführen" z.B. "GR_Pfad_r"
5. in diese Gruppen die zu berechtigenden Personen und oder Gruppen einfügen

Wenn man jetzt mehrere Ebenen in Verzeichnisbaum hat und weiter unten Berechtigungen anders sein sollen, dann Berechtigt man die User die weiter unten Ändernrechte haben sollen, damit sie sich überhaupt zu dem Pfad durchbrowsen können mit Listrechten. Am besten vergibt man die Listrechte der explizit angelegt "Ändergruppe"

Ich hoffe das hilft.

Viele Grüße, Thomas
www.aikux.com
Bitte warten ..
Mitglied: Logan000
28.02.2011 um 13:05 Uhr
Moin Moin

Zitat von Maik87:
Wie mit ohne löschen?
Wieso zweimal, das geht doch in einen Eintrag?!
Eben nicht.

Wenn Du für einen Unterordner (z.B. Root\Abteilung1) einer Gruppe (z.B. Abteilung1) einfach nur Lesen/Schreiben Rechte vergiebst beziehen dise sich auch auf den Ordner selbst.
Du musst schon über die Schaltfläche Erweitert die Rechte bearbeiten und dabei die Auswahl Übernehmen für beachten.
Und hier wählst du 1x für die Gruppe Abteilung1 Lesen und schreiben Übernehmen für: Unterordner und Dateien.
und ein weiteresmal für die Gruppe Abteilung1 Lesen Übernehmen für diesen Ordner.
Jetzt taucht deine Gruppe Abteilung1 in den erweiterten Sicherheitseinstellungen 2x auf.

Jetzt kannst du für deinen "Share Admin" (oder für eine Gruppe "ShareAdmin") gerne erweiterte Rechte setzen ohne ihn aus der Gruppe Abteilung1 entfernen zu müssen.

Zitat von Maik87:
Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Zitat von Logan000:
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.
Damit hast du übrigens ein schönes Bsp. dafür geschaffen, warum es vernünftig ist, auf "Verweigern" Rechte zu verzichten.

Gruß L.
Bitte warten ..
Mitglied: Maik87
02.03.2011 um 11:28 Uhr
Ich krieg es einfach nicht hin...
Wenn ich es so mache, wie ich es verstehe, dann schaff ich es zwar, dass der Unterordner sicher ist, ich aber auch nicht drin arbeiten kann. Scheinbar wirkt sich dieses "Unterordner udn Dateien" nur auf bereits bestehende Objekte aus. Nicht generell auf den Ordnerinhalt, der noch entstehen kann.
Bitte warten ..
Mitglied: Maik87
02.03.2011 um 12:26 Uhr
Poahr, es läuft =)
Man... Also hier mal meine Zusammenfassung:

Root:
Nur diesen Ordner
Shareadmin: Vollzugriff
Usergruppe: Ordner durchsuchen / Datei ausführen + Ordner auflisten / Daten lesen

Unterordner:
Shareadmin erbt Rechte

Nur diesen Ordner
Usergruppe: Ordner durchsuchen/Datei ausführen + Ordner auflisten/Daten lesen + Datei erstellen /Daten schreiben + Ordner erstellen/Daten anhängen

Nur Unterordner udn Dateien
Ändern


Danke für eure Ausdauer!!

Jetzt aber noch ein Problem:
Rechtekonzept läuft nun sauber bis ein User ein Objekt anlegt. Er ist jetzt Eigentümer des Objekts und hat Vollzugriff. Soll er aber nicht...
Was ist zu tun? Hier kann er wieder meine Berechtigung kaputt machen.
Bitte warten ..
Mitglied: bastla
02.03.2011 um 12:33 Uhr
Hallo Maik87!

Soferne er lokal an dem Rechner arbeitet, kannst Du eigentlich nur (zB regelmäßig per Taskplaner) den Besitz (auf die Administratorengruppe) übernehmen; muss der Zugriff über eine Freigabe erfolgen, kannst Du dort einfach als Freigabeberechtigung nur "Ändern" erlauben ...

Grüße
bastla
Bitte warten ..
Mitglied: Maik87
02.03.2011 um 12:37 Uhr
Danke bastla!
Da ich nur ShareAdmin bin und nicht lokal am Server arbeiten kann, werde ich mich mal mit dem Serverbetreiber in Verbindung setzen. Ich meld mich, sobald ich mehr weiß!!
Bitte warten ..
Mitglied: Maik87
15.03.2011 um 09:59 Uhr
Geht geht geht!!

Danke Jungs!!
Bitte warten ..
Ähnliche Inhalte
Windows 10
Robocopy + NTFS-Rechte
gelöst Frage von anteNopeWindows 104 Kommentare

Moin zusammen, ich muss morgen ein paar Ordner von einer Festplatte zu einer anderen kopieren, möchte aber die NTFS-Rechte ...

Windows Server

Benutzer können NTFS-Rechte nicht setzten

gelöst Frage von john-doeWindows Server4 Kommentare

Hallo Jungs und Mädels Vielleicht kann mir jemand kurz auf die Sprünge helfen, ich hab einen Knopf im Gehirn ...

Windows Server

Zusammensetzung NTFS-Rechte

gelöst Frage von Philipp711Windows Server5 Kommentare

Hallo, ich habe eine kleine Verständnisfrage zur Zusammensetzung der NTFS-Berechtigungen. Zunächst ist unsere Ordnerstruktur auf dem Fileserver nach unseren ...

Netzwerke

NTFS-Rechte (Schnell vs. Erweitert)

gelöst Frage von JohnMcClaneNetzwerke5 Kommentare

Hallo zusammen, mir ist bei der Rechtevergabe etwas aufgefallen, was ich mir bisher nicht ganz erklären kann. 1) Ich ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 12 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 12 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 13 StundenHardware11 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
solved Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...