9
keine Rechte als Administrator mehr auf Verzeichnis
...nach Domänenumstellung und Ordnerumleitung
Hallo Ihr Wissenden...
Ich hab meinen Server als AD-Server umgestellt und mittels Ordnerumleitung (Gruppenrichtlinie) einige "Eigene Dateien" Ordner anlegen lassen.
Lustigerweise habe ich jetzt selbst als Administrator keine! Rechte mehr auf diesen Verzeichnissen. Ich kann auch den Besitz nicht mehr an mich reissen...
Die Struktur sieht folgendermaßen aus:
Auf'm Server: D:\home\UserName\Eigene Dateien
den Ordner Username kann ich noch öffnen, bei Eigene Dateien gehts dann nicht mehr weiter.
Am Anfang hatte ich den Usern exclusive Rechte auf ihren Verzeichnissen eingeräumt. Das war vermutlich der Grund für diese Rechtevergabe. Aber wie bekomme ich jetzt die Rechte zurück?
Mein Problem ist eigentlich, dass die User zeitgleich mit einer Intranetsoftware auf ihre Verzeichnisse zugreifen können und hier wird natürlich nur der Internetdienst als User zugreifen.
Wenn ich schon als Admin keine Rechte hab, wird der IIS das auch net mehr haben.
Also meine Fragen:
1. Wie bekomme ich die Rechte zurück?
2. Wie sollten die Rechte der verschiedenen Verzeichnisse eingestellt sein, damit die Ordner möglichst sicher sind?
Bin für jeden Tip dankbar.
MfG
Carsten
Ich hab meinen Server als AD-Server umgestellt und mittels Ordnerumleitung (Gruppenrichtlinie) einige "Eigene Dateien" Ordner anlegen lassen.
Lustigerweise habe ich jetzt selbst als Administrator keine! Rechte mehr auf diesen Verzeichnissen. Ich kann auch den Besitz nicht mehr an mich reissen...
Die Struktur sieht folgendermaßen aus:
Auf'm Server: D:\home\UserName\Eigene Dateien
den Ordner Username kann ich noch öffnen, bei Eigene Dateien gehts dann nicht mehr weiter.
Am Anfang hatte ich den Usern exclusive Rechte auf ihren Verzeichnissen eingeräumt. Das war vermutlich der Grund für diese Rechtevergabe. Aber wie bekomme ich jetzt die Rechte zurück?
Mein Problem ist eigentlich, dass die User zeitgleich mit einer Intranetsoftware auf ihre Verzeichnisse zugreifen können und hier wird natürlich nur der Internetdienst als User zugreifen.
Wenn ich schon als Admin keine Rechte hab, wird der IIS das auch net mehr haben.
Also meine Fragen:
1. Wie bekomme ich die Rechte zurück?
2. Wie sollten die Rechte der verschiedenen Verzeichnisse eingestellt sein, damit die Ordner möglichst sicher sind?
Bin für jeden Tip dankbar.
MfG
Carsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 89999
Url: https://administrator.de/contentid/89999
Printed on: April 23, 2024 at 06:04 o'clock
9 Comments
Latest comment
Moin,
du mußt bei den Rechten eine "Etage" höher einsteigen, also nicht erst auf \eigene dateien sondern bei \username\eigene dateien und von da aus als Admin den Besitz übernehmen, inclusive der Unterordner und Dateien. Danach kannst Du dann wieder die Rechte einschränken auf die Benutzer, die Zugriff haben sollen.
Am einfachsten (und übersichtlichsten) legst Du Gruppen an, in die die berechtigten Benutzer kommen und diese Gruppen berechtigst Du dann an den Ordnern. Also auf \home eine Gruppe mit dem Internetdienst und eine Gruppe mit den berechtigten Usern, alle mit Vererbung nach unten. In den abhängigen Verzeichnissen schließt Du dann die Usergruppe wieder aus und berechtigst nur den einzelnen User.
Gruß J
chem
du mußt bei den Rechten eine "Etage" höher einsteigen, also nicht erst auf \eigene dateien sondern bei \username\eigene dateien und von da aus als Admin den Besitz übernehmen, inclusive der Unterordner und Dateien. Danach kannst Du dann wieder die Rechte einschränken auf die Benutzer, die Zugriff haben sollen.
Am einfachsten (und übersichtlichsten) legst Du Gruppen an, in die die berechtigten Benutzer kommen und diese Gruppen berechtigst Du dann an den Ordnern. Also auf \home eine Gruppe mit dem Internetdienst und eine Gruppe mit den berechtigten Usern, alle mit Vererbung nach unten. In den abhängigen Verzeichnissen schließt Du dann die Usergruppe wieder aus und berechtigst nur den einzelnen User.
Gruß J
chem
Hallo Jochem...
danke für die schnelle Antwort.
So, den Besitz hab ich wieder...
Was macht denn der Domain-Controller, wenn er nen neuen User anlegt?
Welche Rechte vergibt er, wenn die Benutzer in der OU keine Exclusiven Rechte haben?
Muss ich das bei jedem neuen User manuell anpassen?
danke für die schnelle Antwort.
So, den Besitz hab ich wieder...
Was macht denn der Domain-Controller, wenn er nen neuen User anlegt?
Welche Rechte vergibt er, wenn die Benutzer in der OU keine Exclusiven Rechte haben?
Muss ich das bei jedem neuen User manuell anpassen?
Moin,
der DC macht diesbezüglich gar nix. Du als Admin legst für die Verzeichnisse/Ordner die Berechtigungen fest, und sobald neue Verzeichnisse/Ordner angelegt werden, erhalten diese die Berechtigungen, die in der übergeordneten Hierarchiestufe vergeben wurden.
Du nimmst Deine User in globale Gruppen auf. Diese globalen Gruppen schiebst Du in eine lokale Gruppe. Und die lokale Gruppe berechtigst Du an den Verzeichnissen/Ordnern.
Kommt jetzt ein neuer User hinzu, wird der in die entsprechende globale Gruppe aufgenommen und der Rest erledigt sich von selbst.
Gruß J chem
der DC macht diesbezüglich gar nix. Du als Admin legst für die Verzeichnisse/Ordner die Berechtigungen fest, und sobald neue Verzeichnisse/Ordner angelegt werden, erhalten diese die Berechtigungen, die in der übergeordneten Hierarchiestufe vergeben wurden.
Du nimmst Deine User in globale Gruppen auf. Diese globalen Gruppen schiebst Du in eine lokale Gruppe. Und die lokale Gruppe berechtigst Du an den Verzeichnissen/Ordnern.
Kommt jetzt ein neuer User hinzu, wird der in die entsprechende globale Gruppe aufgenommen und der Rest erledigt sich von selbst.
Gruß J
chem
hmm...
Dann hätte aber jeder in der Gruppe Zugang zu den Eigenen Dateien des Anderen.
Im Moment hab ich es so gelöst, dass ich jeden User einzeln auf seinem Verzeichnis Vollzugriff gewährt habe.
Ich denke dass ich das Verzeichnis zwar verstecken kann (User$) aber manche meiner Kollegen finden das schnell raus und könnten dann doch direkt auf die Kollegenverzeichnisse oder?
Was bringt denn die lokale Gruppe? Ich könnte doch direkt die Globale Gruppe berechtigen...
Sorry falls meine Gedanken etwas daneben sind aber ich stehe im Moment noch etwas auf Kriegsfuß mit den Rechten ...
Danke
Dann hätte aber jeder in der Gruppe Zugang zu den Eigenen Dateien des Anderen.
Im Moment hab ich es so gelöst, dass ich jeden User einzeln auf seinem Verzeichnis Vollzugriff gewährt habe.
Ich denke dass ich das Verzeichnis zwar verstecken kann (User$) aber manche meiner Kollegen finden das schnell raus und könnten dann doch direkt auf die Kollegenverzeichnisse oder?
Was bringt denn die lokale Gruppe? Ich könnte doch direkt die Globale Gruppe berechtigen...
Sorry falls meine Gedanken etwas daneben sind aber ich stehe im Moment noch etwas auf Kriegsfuß mit den Rechten ...
Danke
Moin,
Rechte sollten nur lokal vergeben werden, daher immer der Weg: User in globale Gruppe, globale Gruppe in lokale Gruppe, lokale Gruppe mit Rechten versehen, lokale Gruppe an Ordner berechtigen.
Wie überall im Leben hast Du auch bei der Rechtevergabe in Windows zwei Möglichkeiten: Du arbeitest mit dem System oder aber gegen das System. Mit dem System ist wie oben beschrieben, gegen das System ist Dein bisheriger Weg.
Innerhalb einr Firma arbeiten doch wohl alle Mitarbeiter für die Firma und das, was sie an speicherbaren Daten erzeugen, sind generell "Firmendaten". Insoweit ist die speicherungstechnische "Privatspahäre" nicht gegeben, also warum müssen die Mitarbeiter gegeneinander abgeschottet sein? Ich kann nachvollziehen, daß die Buchhaltung andere Sicherheitskriterien anwenden muß, als der Versand oder die Warenwirtschaft, aber innerhalb der Gruppe dürften doch wohl alle "gleich" behandelt werden.
Wenn es bei Dir anders läuft, dann hast Du bzw. die Firma ein Problem: der Automatismus wird ausgehebelt und Du darfst alle Einstellungen "mit der Hand am Arm machen". Da sind rechtetechnische Lücken geradezu vorprogrammiert.
Wie hast Du denn die User überhaupt gruppiert bzw. wie sieht der Aufbau der Firma aus? Vielleicht solltest Du da mal ansetzen und Überlegungen anstellen, wie man diese Struktur rechtetechnisch umsetzen kann.
Wenn es nicht anders lösbar ist, mußt Du halt die Vererbung von Gruppenrechten am "privaten" Ordner der Mitarbeiter beenden und dort nur den eigentlichen User berechtigen. Das ist aber, wie gesagt, IMHO EDV zu Fuß.
Gruß J chem
Rechte sollten nur lokal vergeben werden, daher immer der Weg: User in globale Gruppe, globale Gruppe in lokale Gruppe, lokale Gruppe mit Rechten versehen, lokale Gruppe an Ordner berechtigen.
Wie überall im Leben hast Du auch bei der Rechtevergabe in Windows zwei Möglichkeiten: Du arbeitest mit dem System oder aber gegen das System. Mit dem System ist wie oben beschrieben, gegen das System ist Dein bisheriger Weg.
Innerhalb einr Firma arbeiten doch wohl alle Mitarbeiter für die Firma und das, was sie an speicherbaren Daten erzeugen, sind generell "Firmendaten". Insoweit ist die speicherungstechnische "Privatspahäre" nicht gegeben, also warum müssen die Mitarbeiter gegeneinander abgeschottet sein? Ich kann nachvollziehen, daß die Buchhaltung andere Sicherheitskriterien anwenden muß, als der Versand oder die Warenwirtschaft, aber innerhalb der Gruppe dürften doch wohl alle "gleich" behandelt werden.
Wenn es bei Dir anders läuft, dann hast Du bzw. die Firma ein Problem: der Automatismus wird ausgehebelt und Du darfst alle Einstellungen "mit der Hand am Arm machen". Da sind rechtetechnische Lücken geradezu vorprogrammiert.
Wie hast Du denn die User überhaupt gruppiert bzw. wie sieht der Aufbau der Firma aus? Vielleicht solltest Du da mal ansetzen und Überlegungen anstellen, wie man diese Struktur rechtetechnisch umsetzen kann.
Wenn es nicht anders lösbar ist, mußt Du halt die Vererbung von Gruppenrechten am "privaten" Ordner der Mitarbeiter beenden und dort nur den eigentlichen User berechtigen. Das ist aber, wie gesagt, IMHO EDV zu Fuß.
Gruß J
chem
Hmm...
grundsätzlich gebe ich Dir Recht, innerhalb einer Firma gibt es keine wirkliche Privatsphäre aber....
Ich denke Du musst Dein Bild etwas überdenken. Es geht hier nicht darum Geheimnisse den Anderen gegenüber zu haben sondern um die Sicherheit, dass "meine" Daten auch nur von mir bearbeitet werden können. Das hat bei uns was mit Verantwortung zu tun. Meine Kollegen haben ihre eigenen Passwörter, damit jeder sicher sein kann, wenn Mitarbeiter A unter dem Dokument steht, hat auch Mitarbeiter A die letzte Änderung durchgeführt (unsere CAD-Softwaren machen das alle automatisch am Login fest). Das gleiche Thema hab ich auch bei Dokumenten, wo nicht automatisch der letzte Bearbeiter eingetragen wird. Diese Dokumente müssen dann sicher sein (wenn man das möchte...).
Das Gesetz schreibt der Geschäftsleitung vor, keine Mitarbeiter zu beschnüffeln (Desktop-Recorder etc). Da kann es ja wohl kaum sein, dass alle anderen in Daten schnüffeln dürfen wie sie grade Lust haben.
Aber egal, dann muss ich halt manuell die Rechte vergeben.
Was meine erdachte Struktur angeht:
Es gibt Mitarbeiter der Geschäftsleitung
Es gibt MAs die mit CAD-Software A arbeiten
Es gibt MAs die mit CAD-Software B arbeiten
Es gibt MAs die mit CAD-Software C arbeiten
Für jede Software gibts eine Gruppe, samt freigegebener share
Zusätzlich eine Gruppe mit share für "Gemainsame Daten" (Projektverzeichnisse, Kundenverzeichnisse etc)
und eine Gruppe, samt share für die GL
jeder, der eine der Softwaren beherrscht (A,B oder C) oder auch alle, kommt in die entsprechende Gruppe. So kann kein unerfahrener etwas kaputt machen (es gibt machmal auch Leihpersonal).
jeder Firmeninterne MA kommt an die "Gemeinsamen" Daten.
Die GL kommt an alle shares
Die Shares werden automatisch per script zugewiesen.
Ich habe am Server halt einfach für jede share eine Gruppe erzeugt und die Gruppen entsprechend mit den MAs verknüpft.
Ist das jetzt lokal oder Global?
Ist das ein brauchbare Modell?
grundsätzlich gebe ich Dir Recht, innerhalb einer Firma gibt es keine wirkliche Privatsphäre aber....
Ich denke Du musst Dein Bild etwas überdenken. Es geht hier nicht darum Geheimnisse den Anderen gegenüber zu haben sondern um die Sicherheit, dass "meine" Daten auch nur von mir bearbeitet werden können. Das hat bei uns was mit Verantwortung zu tun. Meine Kollegen haben ihre eigenen Passwörter, damit jeder sicher sein kann, wenn Mitarbeiter A unter dem Dokument steht, hat auch Mitarbeiter A die letzte Änderung durchgeführt (unsere CAD-Softwaren machen das alle automatisch am Login fest). Das gleiche Thema hab ich auch bei Dokumenten, wo nicht automatisch der letzte Bearbeiter eingetragen wird. Diese Dokumente müssen dann sicher sein (wenn man das möchte...).
Das Gesetz schreibt der Geschäftsleitung vor, keine Mitarbeiter zu beschnüffeln (Desktop-Recorder etc). Da kann es ja wohl kaum sein, dass alle anderen in Daten schnüffeln dürfen wie sie grade Lust haben.
Aber egal, dann muss ich halt manuell die Rechte vergeben.
Was meine erdachte Struktur angeht:
Es gibt Mitarbeiter der Geschäftsleitung
Es gibt MAs die mit CAD-Software A arbeiten
Es gibt MAs die mit CAD-Software B arbeiten
Es gibt MAs die mit CAD-Software C arbeiten
Für jede Software gibts eine Gruppe, samt freigegebener share
Zusätzlich eine Gruppe mit share für "Gemainsame Daten" (Projektverzeichnisse, Kundenverzeichnisse etc)
und eine Gruppe, samt share für die GL
jeder, der eine der Softwaren beherrscht (A,B oder C) oder auch alle, kommt in die entsprechende Gruppe. So kann kein unerfahrener etwas kaputt machen (es gibt machmal auch Leihpersonal).
jeder Firmeninterne MA kommt an die "Gemeinsamen" Daten.
Die GL kommt an alle shares
Die Shares werden automatisch per script zugewiesen.
Ich habe am Server halt einfach für jede share eine Gruppe erzeugt und die Gruppen entsprechend mit den MAs verknüpft.
Ist das jetzt lokal oder Global?
Ist das ein brauchbare Modell?
Moin,
tja, das Problem "meine Daten bearbeite nur ich" haben wir hier nicht. Alleine die Vertretungsregelung macht da schon einen Strich durch die Rechnung. Aber seis drum.
Grundsätzlich macht Deine Aufteilung Sinn. Die Einteilung, ob globale oder lokale Gruppe legst Du bei der Erstellung der Gruppe im AD fest.
Gruß J chem
tja, das Problem "meine Daten bearbeite nur ich" haben wir hier nicht. Alleine die Vertretungsregelung macht da schon einen Strich durch die Rechnung. Aber seis drum.
Grundsätzlich macht Deine Aufteilung Sinn. Die Einteilung, ob globale oder lokale Gruppe legst Du bei der Erstellung der Gruppe im AD fest.
Gruß J
chem
Ok, stimmt... das hatte ich.
Ich hab die Gruppen im Moment auf Global stehen.
Das Bedeutet doch im Grunde, dass diese Gruppe an allen weiteren PDCs dieser Domain auch gelten würden (Wenn wir noch welche hätten
) oder?
Danke für Deine Gedult
Gruß Carsten
Ich hab die Gruppen im Moment auf Global stehen.
Das Bedeutet doch im Grunde, dass diese Gruppe an allen weiteren PDCs dieser Domain auch gelten würden (Wenn wir noch welche hätten
) oder?Danke für Deine Gedult
Gruß Carsten
Moin,
jep, die Globalen Gruppen gelten domänenweit.
BTW: Ab W2K gibt es keine Unterscheidung mehr zwischen PDC und BDC. Es gibt nur noch einen DC, alle weiteren Server sind diesem untergeordnet.
Gruß J chem
jep, die Globalen Gruppen gelten domänenweit.
BTW: Ab W2K gibt es keine Unterscheidung mehr zwischen PDC und BDC. Es gibt nur noch einen DC, alle weiteren Server sind diesem untergeordnet.
Gruß J
chem
