Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Probleme mit ACLs

Mitglied: JanWie

JanWie (Level 1) - Jetzt verbinden

10.08.2011 um 17:16 Uhr, 3453 Aufrufe, 25 Kommentare

Hallo, ich habe ein Problem mit dem Setzen von Rechten mittels ACLs auf einem NTFS Laufwerk eines SBS 2003.

Und zwar können Benutzer Dateien löschen obwohl sie dazu keine Berechtigung haben. Das Öffnen zB kann ich ihnen wirksam verbieten. Aber das löschen geht immer. Wo ist der Haken?
Ich habe zB alle geerbten Rechte gelöscht und dem Administrator volle Rechte eingeräumt. Sonst beinfden sich keine Rechtezuweisungen auf der Datei. Aber die Benutzer können trotzdem die Dateien löschen, während Öffnen nicht funktioniert. Besitzer ist ebenfalls der Administrator.


Auch habe ich zB alle geerbten Rechte gelöscht und dem Administrator volle Rechte eingeräumt der Gruppe in denen sich die relevanten Benutzer befinden alles verweigert. Aber die Benutzer können trotzdem die Dateien löschen, während Öffnen nicht funktioniert. Besitzer ist ebenfalls der Administrator.
Sonst beinfden sich keine Rechtezuweisungen auf der Datei.

Was habe ich falsch gemacht oder übersehen?
Mitglied: Pjordorf
10.08.2011 um 17:22 Uhr
Hallo,

Zitat von JanWie:
wirksam verbieten. Aber das löschen geht immer. Wo ist der Haken?
Benutzer danach neu Angemeldet?

Was habe ich falsch gemacht oder übersehen?
Verweigern hat vorrang vor Erlauben.

Benutzer neu Angemeldet nach änderungen an der ACL?

Gruß,
Peter
Bitte warten ..
Mitglied: JanWie
10.08.2011 um 17:32 Uhr
Ja, Benutzer jeweils ab und neu angemeldet (alles per remote), Administrator nicht ab und angemeldet
Bitte warten ..
Mitglied: Xaero1982
10.08.2011 um 17:33 Uhr
Hi,

check mal die Sicherheitseinstellungen auf einem Client.

Also meld dich als Admin an oder jemand der Berechtigungen auf die Datei hat und check da die Einstellungen erneut.
Habs schon gehabt, dass die Einstellungen die mir auf dem Server für die Datei/Ordner angezeigt worden sind vollkommen dem widersprochen hat was mir vom Client aus angezeigt wurde und wie es auch tatsächlich war...

Und wie Peter sagte: Neu anmelden nach Änderungen

VG
Bitte warten ..
Mitglied: dog
10.08.2011 um 20:43 Uhr
Geht es um eine Freigabe?
Wenn ja, dann darf die Freigabeberechtigung ausschließlich "Jeder: Lesen/Schreiben" sein, nichts anderes!
Bitte warten ..
Mitglied: JanWie
10.08.2011 um 22:03 Uhr
Die Berechtigungen werden bei einem Client, der eine entsprechende Freigabe als Netzlaufwerk (nach Änderung der Rechte neu) verbunden hat, korrekt angezeigt. Auch die Funktion effektive Berechtigung zeigt auf allen System an, dass der Benutzer kein Recht zum Löschen hat. Aber er kann trotzdem löschen.
Bitte warten ..
Mitglied: JanWie
10.08.2011 um 22:05 Uhr
Nein, es geht erst einmal nicht um den Zugriff über CIFS (Windowsfreigabe). Das ist zwar später das Ziel, aber nun scheitert es schon bei normaler lokaler Anmeldung des Benutzers am SBS. Am SBS als Benutzer angemeldet (per RDP allerdings) kann der Benutzer die Datei Löschen obwohl er überhaupt keine Rechte an der Datei hat. Auch ist mir mit der Freigabeberechtigung nicht geholfen, da zumindest nach meinem Wissen dort nicht differenziert für einzelne Dateien Zugriffsrechte gesetzt werden können. Am Ende brauche ich eine Lösung, bei der die Benutzer auf dem Netzlaufwerk lesen, schreiben und löschen dürfen aber einzelne versteut in den einzelnen Ordnern des Netzlaufwerks liegende Dateien nur lesen dürfen.
Bitte warten ..
Mitglied: Pjordorf
11.08.2011 um 13:15 Uhr
Hallo,

Zitat von JanWie:
scheitert es schon bei normaler lokaler Anmeldung des Benutzers am SBS. Am SBS als Benutzer angemeldet (per RDP allerdings)
Ein normaler Benutzer kann sich nicht am SBS 2003 Anmelden. Weder Lokal noch per RDP. Du hast also hier schon die Rechte gravierend geändert.

Auch ist mir mit der Freigabeberechtigung nicht geholfen,
Richtig. er ist LOKAL angemeldet (auch per RDP).

Gruß,
Peter
Bitte warten ..
Mitglied: JanWie
11.08.2011 um 13:48 Uhr
Alle Benutzer die ich im Active Directory-Benutzer und -Computer anlege können sich am SBS anmelden. Das wunder auch mich. Aber ich bin mir keiner Änderung bewußt. Ich kann natürlich einschränken, dass sie sich nur an manchen Computern anmelden dürfen. Aber Standard ist hier Anmeldung an allen Computern erlaubt.
Bitte warten ..
Mitglied: Pjordorf
11.08.2011 um 14:05 Uhr
Hallo,

Zitat von JanWie:
Alle Benutzer die ich im Active Directory-Benutzer und -Computer anlege können sich am SBS anmelden. Das wunder auch mich.
Und wenn du den Asisstenten zum Anlegen von Benutzern nimmst? Serververwaltungskonsole, benutzer -> Neuer Benutzer (denk dran, es gibt verschieden Vorlagen)

Aber Standard ist hier Anmeldung an allen Computern erlaubt.
An allen Domänencomputern ist ja auch OK und Standard. Aber nicht an DC's und dein SBS 2003 ist nun mal ein DC.
Bitte warten ..
Mitglied: JanWie
11.08.2011 um 15:21 Uhr
Hi und danke,
über den Assistenten mit dem User Template angelegte Benutzer können sich auf dem SBS nicht anmelden. Mein normaler Benutzer untershied sich von denen durch die Mitgliedschaft in Remotedesktopbenutzer und konnte sich nur über rdp aber nicht direkt am SBS anmelden. Das habe ich nun erst einmal beseitigt. Benutzer kann sich also nicht mehr am SBS anmelden.

Test darauf hin wiederholt:
.Datei als Admin angelegt, Rechte eingeschränkt, effektive Berechtigung überprüft. Zum client gegangen, Netzlaufwerk verbunden, Datei umbenennen geht nicht, Datei löschen funktioniert aber!
Bitte warten ..
Mitglied: DerWoWusste
11.08.2011 um 20:51 Uhr
@Pjordorf:
Benutzer neu Angemeldet nach änderungen an der ACL?
Das muss man nicht, nie. Nur wenn Du die Gruppenmitgliedschaft des Users änderst und die Gruppe in der ACL steht.
Bitte warten ..
Mitglied: DerWoWusste
11.08.2011 um 20:54 Uhr
effektive Berechtigung überprüft
Du hast den Usernamen eingegeben - welche Rechte sind dabei rausgekommen, exakt wie erwartet?
Teste nun quer mit einem anderen belibigen PC mit einer Freigabe.
Bitte warten ..
Mitglied: Pjordorf
11.08.2011 um 21:02 Uhr
Hallo dww,

Zitat von DerWoWusste:
Das muss man nicht, nie. Nur wenn Du die Gruppenmitgliedschaft des Users änderst und die Gruppe in der ACL steht.
Da hast du recht. Das ist normal nicht nötig. Ich wollte diese evtl. Fehlerquelle nur ausgeschaltet wissen und es war nicht eindeutig ob er auch Gruppenmitgliedschaften gleichzeitig geändert hat(te). Seine Benuttzer im SBS waren im nach hinein ja auch nicht mit den zu erwartenden Rechten unterwegs.

Aber du hast grundsätzlich Recht.

Gruß,
Peter
Bitte warten ..
Mitglied: JanWie
12.08.2011 um 00:11 Uhr
Hi,

Ja, die effektive Berechtigung sieht immer so aus, wie ich es erwarte. Aber von jedem belibigen PC aus kann ich über die Freigabe mit jedem Benutzer die Dateien löschen - aber wenn entsprechende Recht nicht gegeben sind zb nicht öffnen oder nicht umbenennen.
Bitte warten ..
Mitglied: DerWoWusste
12.08.2011 um 00:20 Uhr
Evtl. hat die Installation des Server einen Schuss weg. Ich würde nun ein Laufwerk auf dem Server erstellen, eine Freigabe drauflegen, den Fehler reproduzieren, ein Image vom Laufwerk ziehen und auf einem anderen PC der Domäne wiederherstellen (und erneut freigeben) und schauen, ob man auf dieser Freigabe löschen kann.
Bitte warten ..
Mitglied: JanWie
12.08.2011 um 00:50 Uhr
Danke,

werde ich morgen mal testen. Und dann kommen auch erst einmal 2 Wochen Urlaub...
Bitte warten ..
Mitglied: JanWie
12.08.2011 um 16:43 Uhr
Hallo,

so habe nun erst einmal auf einem anderen Laufwerk getestet. Da ist es so, dass vom Client aus auch die flaschen Berechtigungen angezeigt werden. Also ich ändere auf dem SBS die Rechte, melde den Client neu an und prüfe die effektiven Berechitgungen des Benutzers auf dem Client. Die auf dem SBS gemachten Änderungen kommen gar nicht an. Was kann ich nun tun?

Danke
Bitte warten ..
Mitglied: Pjordorf
12.08.2011 um 16:48 Uhr
Hallo,

Zitat von JanWie:
Was kann ich nun tun?
Schreib doch mal die von dir vergebenen NTFS Rechte sowie die eingestellen Freigabe Rechte hier rein. In welchen Gruppen ist denn der Benutzer enthalten? Vielleicht hast du etwas übersehen.

Gruß,
Peter
Bitte warten ..
Mitglied: Xaero1982
12.08.2011 um 16:52 Uhr
Zitat von JanWie:
Hallo,

so habe nun erst einmal auf einem anderen Laufwerk getestet. Da ist es so, dass vom Client aus auch die flaschen Berechtigungen
angezeigt werden. Also ich ändere auf dem SBS die Rechte, melde den Client neu an und prüfe die effektiven
Berechitgungen des Benutzers auf dem Client. Die auf dem SBS gemachten Änderungen kommen gar nicht an. Was kann ich nun tun?

Danke

Ändere die Einstellungen vom Client aus.

VG
Bitte warten ..
Mitglied: DerWoWusste
12.08.2011 um 19:06 Uhr
Du musst genau sein. Fast alles, was Du schreibst, könnte ich hinterfragen mit "was machst Du wo genau?".
Hast Du es so gemacht, wie geraten? Sieht nicht so aus. Es ging darum, das Image (bei dem die Berechtigungen unweigerlich erhalten bleiben) einem anderen PC unterzuschieben, um zu sehen, ob der die ALCs anders auswertet. So kann man sehen, ob der Server eine Meise hat.

Dennoch schönen Urlaub Dir
Bitte warten ..
Mitglied: JanWie
12.08.2011 um 20:42 Uhr
Danke, das Image habe ich nicht mehr geschafft - werde mich bemühen, genauer zu sein
Bitte warten ..
Mitglied: JanWie
02.09.2011 um 13:51 Uhr
Hello again,

also habe images mit entsprechenden Dateien sowohl auf einem cleint als auch auf dem SBS erstellt und jeweils aufs andere System gebracht. Das Gleiche habe ich auch mit einem NTFS formatierten USB Stick gemacht. In jedem Fall kann der Benutzer ohne Löschrechte löschen. Schreiben/Öffnen etc kann er nicht, wenn ihm dies nicht erlaubt wurde. Effektive Berechtigungen werden so angezeigt, wie ich mir das vorstele. - Ich bin erneut/immer noch ratlos.

Kann mir noch jemand mit Ideen weiterhelfen?

Danke
Bitte warten ..
Mitglied: Xaero1982
02.09.2011 um 16:11 Uhr
Hi,

was sagen denn die speziellen Berechtigungen?

VG
Bitte warten ..
Mitglied: JanWie
06.09.2011 um 15:28 Uhr
Hi,

wenn du die speziellen Berechtigungen Ordner durchsuchen/Datei ausführen, Ordner auflisten/Daten lesen, Attribute lesen etc meinst, die ich über die Eigenschaften der Datei ansehen bzw verändern kann, so werden sie korrekt angezeigt und wenn ich sie ändere geht das auch problemlos. Aber wenn dort löschen verboten, kann sie trotzdem gelöscht werden.
Bitte warten ..
Mitglied: JanWie
12.10.2011 um 11:48 Uhr
Ich habe es nun folgendermaßen gelöst. Ich setze auf die Dateien einen Schreibschutz und setze dann die folgendne ACLs entweder auf verweigern oder entziehe sie den Benutzern

FileSystemRights.Delete
FileSystemRights.Write
FileSystemRights.TakeOwnership
FileSystemRights.ChangePermissions


Vielen Dank für Eure Hilfe
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs

SG300 mit VLAN für DMZ - ACL und Routing Probleme

Frage von droehnSwitche und Hubs3 Kommentare

Tach! als Ersatz für zwei unmanaged Switches habe ich einen Cisco SG300-28 mit neuster Firmware (1.4.1.3) im Layer-3 Modus ...

Windows Userverwaltung

ACL - Vererbung

gelöst Frage von TlBERlUSWindows Userverwaltung8 Kommentare

Guten Morgen, ich schreibe zur Zeit ein Powershell-Skript, um Berechtigungen zu vergeben. Dabei bin ich entsprechend auf Inheritance-Flags gestoßen. ...

Router & Routing

ACL Konfiguration HP1920 mit VLANs

gelöst Frage von markuswoRouter & Routing9 Kommentare

Hallo Community, nach langsamen ersten Erfolgen mit ACL's auf einem HP 1920 stellt sich mir dann doch eine Frage. ...

Windows Server

Wie tote SIDs aus der ACl löschen?

Frage von minimalwerkWindows Server4 Kommentare

Hallo liebe Community, gibt es ein Windows Boardmittel (ich arbeite mit Server 2012 R2) mit dem ich tote SIDs ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...