tierwo
Goto Top

Freigaben per Default nur für Domänen-Benutzer

Hallo

gibt es eine Möglichkeit, einen Server 2016 so zu konfigurieren (z.B. per GPO), dass Freigaben die erstellt werden NICHT per Default mit dem Benutzer "Jeder"/Vollzugriff sondern mit "Domänen-Benutzer"/Ändern (oder Vollzugriff) erstellt werden?

Content-Key: 383803

Url: https://administrator.de/contentid/383803

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.08.2018 um 09:42:12 Uhr
Goto Top
Hallo,

Wäre mir nicht bewusst aber du kannst das sicher Skripten. Um wie viele Freigaben geht es denn? Abgesehen davon musst du es doch sowieso - sorry - solltest du es, immer auf die Gruppen Mappen ein domänenweites jeder hilft fast genau so wenig wie ein generelles jeder.

Traust du den Admin so viel Weitsicht nicht zu, lass ihn nicht an den Server.

VG certifiedit.net
Mitglied: 117471
117471 19.08.2018 um 09:59:03 Uhr
Goto Top
Hallo,

was spricht dagegen, das über die Zugriffsrechte im Dateisystem entsprechend zu regeln?

Gruß,
Jörg
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.08.2018 um 10:28:25 Uhr
Goto Top
Zitat von @117471:

Hallo,

was spricht dagegen, das über die Zugriffsrechte im Dateisystem entsprechend zu regeln?

Gruß,
Jörg

Das sowieso, aber ganz generell war die Standard-Berechtigung doch sowieso nur 'nur lesen'
Mitglied: Penny.Cilin
Penny.Cilin 19.08.2018 aktualisiert um 11:30:24 Uhr
Goto Top
Zitat von @117471:

Hallo,

was spricht dagegen, das über die Zugriffsrechte im Dateisystem entsprechend zu regeln?
Nunja, zunächst benötigst Du die Freigaben und dann regelst Du die Berechtigungen via NTFS.

Wobei @dww hatte mal einen Link / Beitrag bzw. Antwort hier im Forum veröffentlich, wo man statt den Defaultberechtigungen (Jeder/Vollzugriff) auf (Jeder/ändern) anpassen sollte. ich finde allerdings diesen Beitrag / link derzeit nicht, ich suche ihn noch...

Gruß,
Jörg

Gruss Penny
Mitglied: Penny.Cilin
Penny.Cilin 19.08.2018 um 11:31:50 Uhr
Goto Top
Ja und was ist nun die Lösung?
Oder wurde die Frage aus versehen als gelöst markiert?

Status der Frage zurücksetzen

Gruss Penny
Mitglied: tierwo
tierwo 19.08.2018 um 11:35:10 Uhr
Goto Top
Naja es gibt eben in einem System wichtige Nutzer (Chef) die alles dürfen wollen, damit die und alle anderen die womöglich in der Domain Daten freigeben, das zumindest nur für andere Domain User machen konnen, wäre es schön wenn dann nicht jeder sondern eben nur die Domain User per standard berechtigt wären.
Es geht also nicht um die Shares die ich anlege, sondern um die Shares anderer User die dabei eben nicht darüber nachdenken und wenn ich dazu z.B. per GPO das System so konfigurieren könnte, dass neue Shares nur für Domain User freigegeben werden, dann würde das die Sicherheit des Systems erhöhen.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.08.2018 um 11:58:58 Uhr
Goto Top
Dann lass diese Leute eben nicht wild neue shares anlegen. Eigentlich ganz einfach, oder?
Mitglied: Penny.Cilin
Penny.Cilin 19.08.2018 um 12:01:28 Uhr
Goto Top
Zitat von @tierwo:

Naja es gibt eben in einem System wichtige Nutzer (Chef) die alles dürfen wollen,
Hm, was immer das auch bedeuten mag. Das auch Chef nicht immer alles dürfen wollen, sollte diesen eigentlich klar sein.
Dazu gibt es Datenschutzrichtlinien bzw. -Gesetze.
damit die und alle anderen die womöglich in der Domain Daten freigeben, das zumindest nur für andere Domain User machen konnen, wäre es schön wenn dann nicht jeder sondern eben nur die Domain User per standard berechtigt wären.
Auch das halte ich unter Umständen für problematisch. Habe nämlich selbst schon erlebt, daß die Assistenz der Geschäftsleitung die Berechtigungen so verstellt hatte, daß Sie nicht mehr an die Daten auf dem Dateiserver (Fileserver) zugreifen konnte.
Hintergrund der Aktion war, daß Sie nur der Geschäftsleitung sowie Ihrerseits Zugriff gewähren wollte.
Dumm nur, wenn man die Gruppe der Administratoren und auch das System auf verweigern setzt, bzw. löscht.
Es geht also nicht um die Shares die ich anlege, sondern um die Shares anderer User die dabei eben nicht darüber nachdenken und wenn ich dazu z.B. per GPO das System so konfigurieren könnte, dass neue Shares nur für Domain User freigegeben werden, dann würde das die Sicherheit des Systems erhöhen.
Wenn Du so etwas einsetzen willst, würde ich mir das sehr gut überlegen. D.h. Wenn ein Benutzer einen Ordner / Verzeichnis freigibt, dann sollte er Besitzrechte (-berechtigungen) für diesen Ordner/Verzeichnis und darunter haben. Dann kann er dort Berechtigungen verwalten.

Nach besser ist es, wenn er als Besitzer eines Ordners den Auftrag dazu gibt, die Berechtigungen für eine angegebene Gruppe / Personen zu erweitern oder zu entziehen.
Somit hast Du die Kontrolle und der Benutzer bekommt das was er möchte. Wenn Du daß dann mittels Anforderungssheet dokumentierst, hast Du auch die Dokumentation, wenn es mal zu Fragen kommt, warum Person xy Zugriff auf den Ordner / Verzeichnis abc hat. Das beinhaltet auch welche Berechtigungen angefordert und eingerichtet wurden.

Gruss Penny