Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Probleme mit ACLs

Mitglied: JanWie

JanWie (Level 1) - Jetzt verbinden

10.08.2011 um 17:16 Uhr, 3463 Aufrufe, 25 Kommentare

Hallo, ich habe ein Problem mit dem Setzen von Rechten mittels ACLs auf einem NTFS Laufwerk eines SBS 2003.

Und zwar können Benutzer Dateien löschen obwohl sie dazu keine Berechtigung haben. Das Öffnen zB kann ich ihnen wirksam verbieten. Aber das löschen geht immer. Wo ist der Haken?
Ich habe zB alle geerbten Rechte gelöscht und dem Administrator volle Rechte eingeräumt. Sonst beinfden sich keine Rechtezuweisungen auf der Datei. Aber die Benutzer können trotzdem die Dateien löschen, während Öffnen nicht funktioniert. Besitzer ist ebenfalls der Administrator.


Auch habe ich zB alle geerbten Rechte gelöscht und dem Administrator volle Rechte eingeräumt der Gruppe in denen sich die relevanten Benutzer befinden alles verweigert. Aber die Benutzer können trotzdem die Dateien löschen, während Öffnen nicht funktioniert. Besitzer ist ebenfalls der Administrator.
Sonst beinfden sich keine Rechtezuweisungen auf der Datei.

Was habe ich falsch gemacht oder übersehen?
Mitglied: Pjordorf
10.08.2011 um 17:22 Uhr
Hallo,

Zitat von JanWie:
wirksam verbieten. Aber das löschen geht immer. Wo ist der Haken?
Benutzer danach neu Angemeldet?

Was habe ich falsch gemacht oder übersehen?
Verweigern hat vorrang vor Erlauben.

Benutzer neu Angemeldet nach änderungen an der ACL?

Gruß,
Peter
Bitte warten ..
Mitglied: JanWie
10.08.2011 um 17:32 Uhr
Ja, Benutzer jeweils ab und neu angemeldet (alles per remote), Administrator nicht ab und angemeldet
Bitte warten ..
Mitglied: Xaero1982
10.08.2011 um 17:33 Uhr
Hi,

check mal die Sicherheitseinstellungen auf einem Client.

Also meld dich als Admin an oder jemand der Berechtigungen auf die Datei hat und check da die Einstellungen erneut.
Habs schon gehabt, dass die Einstellungen die mir auf dem Server für die Datei/Ordner angezeigt worden sind vollkommen dem widersprochen hat was mir vom Client aus angezeigt wurde und wie es auch tatsächlich war...

Und wie Peter sagte: Neu anmelden nach Änderungen

VG
Bitte warten ..
Mitglied: dog
10.08.2011 um 20:43 Uhr
Geht es um eine Freigabe?
Wenn ja, dann darf die Freigabeberechtigung ausschließlich "Jeder: Lesen/Schreiben" sein, nichts anderes!
Bitte warten ..
Mitglied: JanWie
10.08.2011 um 22:03 Uhr
Die Berechtigungen werden bei einem Client, der eine entsprechende Freigabe als Netzlaufwerk (nach Änderung der Rechte neu) verbunden hat, korrekt angezeigt. Auch die Funktion effektive Berechtigung zeigt auf allen System an, dass der Benutzer kein Recht zum Löschen hat. Aber er kann trotzdem löschen.
Bitte warten ..
Mitglied: JanWie
10.08.2011 um 22:05 Uhr
Nein, es geht erst einmal nicht um den Zugriff über CIFS (Windowsfreigabe). Das ist zwar später das Ziel, aber nun scheitert es schon bei normaler lokaler Anmeldung des Benutzers am SBS. Am SBS als Benutzer angemeldet (per RDP allerdings) kann der Benutzer die Datei Löschen obwohl er überhaupt keine Rechte an der Datei hat. Auch ist mir mit der Freigabeberechtigung nicht geholfen, da zumindest nach meinem Wissen dort nicht differenziert für einzelne Dateien Zugriffsrechte gesetzt werden können. Am Ende brauche ich eine Lösung, bei der die Benutzer auf dem Netzlaufwerk lesen, schreiben und löschen dürfen aber einzelne versteut in den einzelnen Ordnern des Netzlaufwerks liegende Dateien nur lesen dürfen.
Bitte warten ..
Mitglied: Pjordorf
11.08.2011 um 13:15 Uhr
Hallo,

Zitat von JanWie:
scheitert es schon bei normaler lokaler Anmeldung des Benutzers am SBS. Am SBS als Benutzer angemeldet (per RDP allerdings)
Ein normaler Benutzer kann sich nicht am SBS 2003 Anmelden. Weder Lokal noch per RDP. Du hast also hier schon die Rechte gravierend geändert.

Auch ist mir mit der Freigabeberechtigung nicht geholfen,
Richtig. er ist LOKAL angemeldet (auch per RDP).

Gruß,
Peter
Bitte warten ..
Mitglied: JanWie
11.08.2011 um 13:48 Uhr
Alle Benutzer die ich im Active Directory-Benutzer und -Computer anlege können sich am SBS anmelden. Das wunder auch mich. Aber ich bin mir keiner Änderung bewußt. Ich kann natürlich einschränken, dass sie sich nur an manchen Computern anmelden dürfen. Aber Standard ist hier Anmeldung an allen Computern erlaubt.
Bitte warten ..
Mitglied: Pjordorf
11.08.2011 um 14:05 Uhr
Hallo,

Zitat von JanWie:
Alle Benutzer die ich im Active Directory-Benutzer und -Computer anlege können sich am SBS anmelden. Das wunder auch mich.
Und wenn du den Asisstenten zum Anlegen von Benutzern nimmst? Serververwaltungskonsole, benutzer -> Neuer Benutzer (denk dran, es gibt verschieden Vorlagen)

Aber Standard ist hier Anmeldung an allen Computern erlaubt.
An allen Domänencomputern ist ja auch OK und Standard. Aber nicht an DC's und dein SBS 2003 ist nun mal ein DC.
Bitte warten ..
Mitglied: JanWie
11.08.2011 um 15:21 Uhr
Hi und danke,
über den Assistenten mit dem User Template angelegte Benutzer können sich auf dem SBS nicht anmelden. Mein normaler Benutzer untershied sich von denen durch die Mitgliedschaft in Remotedesktopbenutzer und konnte sich nur über rdp aber nicht direkt am SBS anmelden. Das habe ich nun erst einmal beseitigt. Benutzer kann sich also nicht mehr am SBS anmelden.

Test darauf hin wiederholt:
.Datei als Admin angelegt, Rechte eingeschränkt, effektive Berechtigung überprüft. Zum client gegangen, Netzlaufwerk verbunden, Datei umbenennen geht nicht, Datei löschen funktioniert aber!
Bitte warten ..
Mitglied: DerWoWusste
11.08.2011 um 20:51 Uhr
@Pjordorf:
Benutzer neu Angemeldet nach änderungen an der ACL?
Das muss man nicht, nie. Nur wenn Du die Gruppenmitgliedschaft des Users änderst und die Gruppe in der ACL steht.
Bitte warten ..
Mitglied: DerWoWusste
11.08.2011 um 20:54 Uhr
effektive Berechtigung überprüft
Du hast den Usernamen eingegeben - welche Rechte sind dabei rausgekommen, exakt wie erwartet?
Teste nun quer mit einem anderen belibigen PC mit einer Freigabe.
Bitte warten ..
Mitglied: Pjordorf
11.08.2011 um 21:02 Uhr
Hallo dww,

Zitat von DerWoWusste:
Das muss man nicht, nie. Nur wenn Du die Gruppenmitgliedschaft des Users änderst und die Gruppe in der ACL steht.
Da hast du recht. Das ist normal nicht nötig. Ich wollte diese evtl. Fehlerquelle nur ausgeschaltet wissen und es war nicht eindeutig ob er auch Gruppenmitgliedschaften gleichzeitig geändert hat(te). Seine Benuttzer im SBS waren im nach hinein ja auch nicht mit den zu erwartenden Rechten unterwegs.

Aber du hast grundsätzlich Recht.

Gruß,
Peter
Bitte warten ..
Mitglied: JanWie
12.08.2011 um 00:11 Uhr
Hi,

Ja, die effektive Berechtigung sieht immer so aus, wie ich es erwarte. Aber von jedem belibigen PC aus kann ich über die Freigabe mit jedem Benutzer die Dateien löschen - aber wenn entsprechende Recht nicht gegeben sind zb nicht öffnen oder nicht umbenennen.
Bitte warten ..
Mitglied: DerWoWusste
12.08.2011 um 00:20 Uhr
Evtl. hat die Installation des Server einen Schuss weg. Ich würde nun ein Laufwerk auf dem Server erstellen, eine Freigabe drauflegen, den Fehler reproduzieren, ein Image vom Laufwerk ziehen und auf einem anderen PC der Domäne wiederherstellen (und erneut freigeben) und schauen, ob man auf dieser Freigabe löschen kann.
Bitte warten ..
Mitglied: JanWie
12.08.2011 um 00:50 Uhr
Danke,

werde ich morgen mal testen. Und dann kommen auch erst einmal 2 Wochen Urlaub...
Bitte warten ..
Mitglied: JanWie
12.08.2011 um 16:43 Uhr
Hallo,

so habe nun erst einmal auf einem anderen Laufwerk getestet. Da ist es so, dass vom Client aus auch die flaschen Berechtigungen angezeigt werden. Also ich ändere auf dem SBS die Rechte, melde den Client neu an und prüfe die effektiven Berechitgungen des Benutzers auf dem Client. Die auf dem SBS gemachten Änderungen kommen gar nicht an. Was kann ich nun tun?

Danke
Bitte warten ..
Mitglied: Pjordorf
12.08.2011 um 16:48 Uhr
Hallo,

Zitat von JanWie:
Was kann ich nun tun?
Schreib doch mal die von dir vergebenen NTFS Rechte sowie die eingestellen Freigabe Rechte hier rein. In welchen Gruppen ist denn der Benutzer enthalten? Vielleicht hast du etwas übersehen.

Gruß,
Peter
Bitte warten ..
Mitglied: Xaero1982
12.08.2011 um 16:52 Uhr
Zitat von JanWie:
Hallo,

so habe nun erst einmal auf einem anderen Laufwerk getestet. Da ist es so, dass vom Client aus auch die flaschen Berechtigungen
angezeigt werden. Also ich ändere auf dem SBS die Rechte, melde den Client neu an und prüfe die effektiven
Berechitgungen des Benutzers auf dem Client. Die auf dem SBS gemachten Änderungen kommen gar nicht an. Was kann ich nun tun?

Danke

Ändere die Einstellungen vom Client aus.

VG
Bitte warten ..
Mitglied: DerWoWusste
12.08.2011 um 19:06 Uhr
Du musst genau sein. Fast alles, was Du schreibst, könnte ich hinterfragen mit "was machst Du wo genau?".
Hast Du es so gemacht, wie geraten? Sieht nicht so aus. Es ging darum, das Image (bei dem die Berechtigungen unweigerlich erhalten bleiben) einem anderen PC unterzuschieben, um zu sehen, ob der die ALCs anders auswertet. So kann man sehen, ob der Server eine Meise hat.

Dennoch schönen Urlaub Dir
Bitte warten ..
Mitglied: JanWie
12.08.2011 um 20:42 Uhr
Danke, das Image habe ich nicht mehr geschafft - werde mich bemühen, genauer zu sein
Bitte warten ..
Mitglied: JanWie
02.09.2011 um 13:51 Uhr
Hello again,

also habe images mit entsprechenden Dateien sowohl auf einem cleint als auch auf dem SBS erstellt und jeweils aufs andere System gebracht. Das Gleiche habe ich auch mit einem NTFS formatierten USB Stick gemacht. In jedem Fall kann der Benutzer ohne Löschrechte löschen. Schreiben/Öffnen etc kann er nicht, wenn ihm dies nicht erlaubt wurde. Effektive Berechtigungen werden so angezeigt, wie ich mir das vorstele. - Ich bin erneut/immer noch ratlos.

Kann mir noch jemand mit Ideen weiterhelfen?

Danke
Bitte warten ..
Mitglied: Xaero1982
02.09.2011 um 16:11 Uhr
Hi,

was sagen denn die speziellen Berechtigungen?

VG
Bitte warten ..
Mitglied: JanWie
06.09.2011 um 15:28 Uhr
Hi,

wenn du die speziellen Berechtigungen Ordner durchsuchen/Datei ausführen, Ordner auflisten/Daten lesen, Attribute lesen etc meinst, die ich über die Eigenschaften der Datei ansehen bzw verändern kann, so werden sie korrekt angezeigt und wenn ich sie ändere geht das auch problemlos. Aber wenn dort löschen verboten, kann sie trotzdem gelöscht werden.
Bitte warten ..
Mitglied: JanWie
12.10.2011 um 11:48 Uhr
Ich habe es nun folgendermaßen gelöst. Ich setze auf die Dateien einen Schreibschutz und setze dann die folgendne ACLs entweder auf verweigern oder entziehe sie den Benutzern

FileSystemRights.Delete
FileSystemRights.Write
FileSystemRights.TakeOwnership
FileSystemRights.ChangePermissions


Vielen Dank für Eure Hilfe
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs

SG300 mit VLAN für DMZ - ACL und Routing Probleme

Frage von droehnSwitche und Hubs3 Kommentare

Tach! als Ersatz für zwei unmanaged Switches habe ich einen Cisco SG300-28 mit neuster Firmware (1.4.1.3) im Layer-3 Modus ...

Windows Userverwaltung

ACL - Vererbung

gelöst Frage von TlBERlUSWindows Userverwaltung8 Kommentare

Guten Morgen, ich schreibe zur Zeit ein Powershell-Skript, um Berechtigungen zu vergeben. Dabei bin ich entsprechend auf Inheritance-Flags gestoßen. ...

Switche und Hubs

Cisco ACL Übungen Erklärung

Frage von Luzifer696Switche und Hubs3 Kommentare

Hallo, Bin derzeit in der Schule und machen dort gerade Cisco Router und Switches durch. Ich habe am MI ...

Batch & Shell

PowerShell: Fileserver ACLs auslesen

gelöst Frage von itsmetimBatch & Shell2 Kommentare

Hallo zusammen, ich habe mir ein kleines Script gebaut, um ACLs von Ordnern und deren Unterordnern auszulesen. Get-ChildItem \\Pfad\Freigabe ...

Neue Wissensbeiträge
Windows Server
Erneutes Release von WS2019 und Win10 v1809
Tipp von IT-Pro vor 2 StundenWindows Server1 Kommentar

Hi, nachdem der Windows Server 2019 und Windows 10 in der Version 1809 aufgrund von verschwinden von Dateien nach ...

CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 5 StundenCPU, RAM, Mainboards4 Kommentare

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 13 StundenWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 23 StundenWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Heiß diskutierte Inhalte
Microsoft Office
Lizenzierung
Frage von opc123Microsoft Office29 Kommentare

Hallo, eventuell ein oft bekanntes Thema. Office 365 ist mir zu teuer, da wir als Bildungsträger andere Konditionen beim ...

Windows 10
Windows 10 mit CRITICAL PROCESS DIED
Frage von liquidbaseWindows 1028 Kommentare

Das aktuelle Problem was ich habe steht bereits im Threadtitel. Etwas mehr zum Hintergrund soll nun folgen. Problemkind ist ...

Windows Server
Windows Server 2016 Lizenzierung - 7 Hyper V VMs
Frage von staybbWindows Server18 Kommentare

Hallo zusammen, wir haben zwei HP Server gekauft mit jeweils pro Server 2 CPUs à 10 Cores. Also insgesamt ...

Batch & Shell
Ordnernamen mit String aus Ziffern-Zahlenkombination erstellen
Frage von MmarKussBatch & Shell13 Kommentare

Hallo zusammen, ich habe ein etwas komplexeres Problem, welches ich selbst mittels einer Batch-Datei lösen will / muss, da ...