Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Rechtevergeben: Unberechtigter User wird automatisch Besitzer?

Mitglied: daerb

daerb (Level 1) - Jetzt verbinden

16.05.2006, aktualisiert 19.05.2006, 5984 Aufrufe, 9 Kommentare

Hallo
Ich habe auf einem "Server"- PC in unserer Domäne eine Freigabe "test" erstellt.
mit folgenden rechten:
-Jeder : überall Häkchen bis auf Vollzugriff.
-Lokale Administratorgruppe: Vollzugriff
sonst ist nichts definiert.

Ich habe eine Batch-Datei erstellt, welche einem user einen persöndlichen Ordner anelgen sollte auf den nur er und die lokalen Admins zugreiffen können.
folgendes ist der Code der Batch-Datei
@Echo off
if exist \\chbnpasw106\test\%username% goto next


mkdir \\chbnpasw106\test\%UserName%

\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /G Administratoren:F /Y
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /E /G %username%:F
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /E /R Administrator

Echo Persoenlicher Ordner wurde erstellt.

:next

if exist R: goto nexte
net use R: \\chbnpasw106\test\uspsfllb02
Echo Netzlaufwerk R wurde verbunden (Persoenlicher Ordner)
:nexte
pause


Es werden auf den ordnern automatisch mit hilfe der xcacls die rechte gesetzt.
zwar sind wiederum die lokalen admins mit vollzugriff und der entsprechende user mit vollzugriff definiert.

nun irgendwie habe ich das gefühl ich mache das total falsch...

wie muss ich da was beachten, bei der rechtevergabe?
was muss ich beim ordner test beachten und was bei den unterordnern die ich erstelle?
Mitglied: Atti58
16.05.2006 um 14:23 Uhr
Du solltest auf dem übergeordneten Ordner der Gruppe "Jeder" nur "Lesen" und "liste Verzeichnisse" Berechtigungen geben und die Gruppe "Jeder" dann aus den Berechtigungen des neu erstellten Ordners "%USERNAME%" herausnehmen,

Gruß

Atti.
Bitte warten ..
Mitglied: Metzger-MCP
16.05.2006 um 16:48 Uhr
Ich meine du kannst nicht über eine Netzfreigabe wie oben Rechte administrieren.
Das geht nur lokal an dem Server oder über einen Terminalservice auf der Kiste.
Des weiteren schümpft sich der Befehl cacls nicht xcacls ausser der Befehl kommt
aus dem Resourcekit was ich auf anhieb nicht weis.

Liegt die xcacls.exe in dem Ordner \\chbnpasw106\test\ ? wenn nein geht es nicht.

\\chbnpasw106\test\%username% /G Administratoren:F /y

/y -> kenne ich nicht

\\chbnpasw106\test\%username% /E /R administrator

nicht nötig da ja schon alle Rechte überschrieben / gelöscht wurden.

net use R: \\chbnpasw106\test\uspsfllb02

-> sollen alle User dieses Verzeichnis "uspsfllb02" als persönlichen Ordner gemappt bekommen ?

Ich würde dir empfehlen ganz anders vor zu gehen.

Als erstes würde ich die Ordner bei der Usereinrichtung gleich mit erstellen lassen.
Da gibt es dann keine Rechte ? Probleme und alles ist fertig . Falls das versäumt wurde, würde ich auf dem Server ein Verzeichnis erstellen ( Home ), und dort alle Verzeichnisse der User erstellen. ( Das geht vielleicht auch per Batch Datei ) Nun solltest du die NTFS Rechte für den Admingruppe durchvererben. Im Anschluß würde ich dann auch mit cacls.exe die Berechtigungen der User setzen.
Tipp in Stichpunkten dazu

Dir /b > user.txt, user.txt in Excel importieren
Spalte a nach b verschieben und nach d kopieren.
In a eintragen cacls.exe ?
In b sollten User sein,
In c ? /E /G
In d sollten wieder User sein,
In e :F

Spalte a,c,e nach unten ausfüllen und in txt exportieren. Umbenennen in rechte.bat und in dem Ordner Home ausführen. Rechte stichpunktartig überprüfen.

Zum Schluß sollte man aber in einem Anmeldescripte die Laufwerke mappen. Das Scripte wird im AD in der Userverwaltung eingetragen und ist eigentlich eine Batchdatei mit der Endung cmd. In der solltest du folgende Zeilen einarbeiten.

@ECHO ON
NET USE * /D /Y
NET USE H: \\servername\Home\%Username%

Beachte aber das NT4 Clients keine Maps auf Ordner in Freigaben machen können, das geht erst ab 2000, sonst mußt da die Ordner selber freigeben. Sonst sehen alle User alle Verzeichnisse können aber nur bei sich rein.

Fertig

Mfg Metzger
Bitte warten ..
Mitglied: daerb
17.05.2006 um 11:37 Uhr
administratoren wäre die gruppe gewesen die ich hinzugefügt habe.

danke vielmals für den tip mit excel. werde es jetzt so machen.
melde mich nochmals , wenn ich es geschafft, oder eben nicht geschafft habe.
Bitte warten ..
Mitglied: daerb
17.05.2006 um 14:35 Uhr
okay, das erstellen der batch datei ging bereits mal gut.
sie lief durch. erstellte die ordner. und setzte die berechtigungen für die gruppe administratoren und für den jeweiligen user.

dennoch kann ich mit einem total anderen user von einem anderen pc auf diese ordner zugreiffen...

immer noch das gleiche problem.
der user der eigentlich nicht zugreiffen dürfte, wird automatisch als besitzer eingetragen...
warum das?
was könnten die Gründe sein?
Bitte warten ..
Mitglied: Metzger-MCP
17.05.2006 um 15:27 Uhr
hm gehe mal in dein Verzeichnis hinein und lasse dir mal mit cacls die Berechtigungsstruckturen angezeigen.

In meinem Beispiel mit den Unterverzeichnissen 1,2

E:\123>
E:\123\1>
E:\123\2>

E:\123>cacls 1

E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
JederOI)(CI)F
NT-AUTORITÄT\SYSTEMOI)(CI)F

hier hat jeder Vollzugriff ( Administratoren, Jeder, System )

Ich nehme an das es bei dir fast genau so aussieht. Desweiteren nehme ich an, das du vergessen hast, alle User/Gruppen aus der NTFS Struckturen zu nehmen. Ich gebe es ja zu, im oberen Teil erwähnt zu haben, aber es nicht expliziet es in die Batchdatei mit eingepflegt zu haben .

Mit E:\123>cacls * /G administratoren:F kannst du das nachholen.
Setze das mal anhand eines Verzeichnises schritweise um.
E:\123>cacls 1 /G administratoren:F

Sind Sie sicher (J/N)?j
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
E:\123>cacls 1 /E /G 1:R
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
VN6430\1OI)(CI)R
E:\123>cacls 1 /E /G 2:F
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
VN6430\1OI)(CI)R
VN6430\2OI)(CI)F
Dabei können eigentlich keine User Berechtigungen bekommen die du nicht expliziet gegeben hast.

P.S

mit /T werden auch die Unterverzeichnisse mit berücksichtigt.

Mfg Metzger
Bitte warten ..
Mitglied: daerb
17.05.2006 um 15:54 Uhr
also bei mir sieht das so aus

D:\test\U500069 VORDEFINIERT\AdministratorenOI)(IO)F
VORDEFINIERT\AdministratorenCI)F
SPS\u500069OI)(IO)F
SPS\u500069CI)F

sollte doch so klappen oder?
ich kann aber immernoch zugreiffen mit einem anderen user...
er wird dann zwar nciht in der berechtigung aufgeführt, aber e wird wie gesagt, automatisch besitzer des ordners, obwohl der benutzer mit dem ich zugreiffe absolut nichts mit dem ordner zu tun hat......
Bitte warten ..
Mitglied: Metzger-MCP
18.05.2006 um 11:22 Uhr
hm das ist interressant. Auf dem Ordner

D:\test\U500069

hast du die Gruppe der Administratoren 2mal definiert. Ich denke da wurde die
Rechte der NTFSEBENE vererbt und gleichzeitig auch kopiert.

VORDEFINIERT\AdministratorenOI)(IO)F
VORDEFINIERT\AdministratorenCI)F

CI Diesen Ordner und Unterordner
(OI)(IO) Nur Dateien

Das gleiche gilt auch für die User / Gruppe u500069 vom Rechner / Domaine SPS

SPS\u500069OI)(IO)F
SPS\u500069CI)F


sollte doch so klappen oder?
eigentlich ja

ich kann aber immernoch zugreiffen mit einem anderen user...
hat der vielleicht adminrechte ?

er wird dann zwar nciht in der berechtigung
aufgeführt, aber e wird wie gesagt,
automatisch besitzer des ordners, obwohl der
benutzer mit dem ich zugreife absolut nichts
mit dem ordner zu tun hat......

Besitzer eines Ordners / einer Datei ist der der sie erstellt hat. Oder der der
Ihren Besitz übernehmen kann.

Schaue mal nach wie es mit den Berechtigungen innerhalb der Ordner an.
Du kannst dazu cacls nehmen oder auch folgende Methode.

Re. Maus auf Ordner, Eigenschalften, Sicherheit, Erweitert.

Dort stehen alle kopierten Rechte, vererbte Rechte, ... Schaue mal da ob
hier ""fehlerhafte"" Einträge vorhanden sind, über die die User Rechte
bekommen. Alternative kannst du natürlich auch folgendes machen

Re. Maus auf Haupt-Ordner( Test ) , Eigenschalften, Sicherheit, Erweitert.
Haken Raus bei Berechtigungne übergeordneter ... , Kopieren, alle
Berechtigungseinträge entfernen außer Administratoren. Die bearbeiten
so das die Vollzugriff haben. Jeder sollte die Berechtigung Ordner auflisten
haben, Berechtigungen für... Hacken setzen, übernehmen, ok. GGF. sollten
auch der Besitz übernommen werden. Jetzt sollte keiner mehr Zugriff darauf
haben ausser die Admins. Nun sollte im weiteren Verlauf die
Berechtigungssetz.bat noch mal ausgeführt werden.

P.S. auf welchen Order wurde den die Freigabe gesetzt ? Die müssen meines
wissens nach alle von Hand erstellt werden.

MFG Metzger
Bitte warten ..
Mitglied: daerb
18.05.2006 um 15:24 Uhr
aaaalso,
ich habe jetzt nochmals alles durchgecheckt udn habe gemerkt das ich nicht mit der gruppe administratoren arbeiten darf. also habe ich einfach nur den admin genommen.
das mit dem zugriff klappt jetzt wunderbar. ich kann nur auf meinen persönlichen ordner zugreifen. wenn ich auf einen fremden ordner gehe, dor bei sicherheit - erweiter -effektive rechte prüfe gibt es kein häkchen, allerdings kann ich dennoch einfach dan den berechtigungen des ordners herumspielen....
wie kann ich das jetzt noch verhindern?
Bitte warten ..
Mitglied: Metzger-MCP
19.05.2006 um 09:39 Uhr
übernimmt er die dann auch ? Denke nicht sonst hast du aber ein seltsames Serverding vorort !

Notfalls kannst du da auch bei sicherheit - erweiter - bearbeiten die "Berechtigungen ... " entfernen und ggf auch die "Attribute ..." entfernen.

Das mit der Gruppe der Administratoren kann ich nicht nachfolziehen. Bei mir klappte das immer einwandfrei ... naja.

MFG Metzger
Bitte warten ..
Ähnliche Inhalte
Windows Server

Besitzer automatisch in NTFS-Rechten drin

gelöst Frage von achneinWindows Server1 Kommentar

Hallo zusammen, ich habe einen seit Jahren laufenden Server übernommen, bei dem ich ein Problem habe, das ich gerade ...

Windows Server

Windows 2008 Netzwerk - Ordner für unberechtigte User unsichtbar machen

Frage von Rene1976Windows Server4 Kommentare

Hi! Wir haben eine Win 2008 Domäne mit AD und ich möchte eine Netzwerkfreigabe eines Ordners mit Unterordner von ...

Windows Server

Besitzer über ICALCS-Script setzen

gelöst Frage von Winfried-HHWindows Server7 Kommentare

Hallo in die Runde, Hier ging es darum, in einem Script die Ordnerberechtigungen hinzuzufügen, wobei der Ordnername dem Benutzernamen ...

Windows 7

Automatische User Abmeldung nach Inaktivität (30s)

gelöst Frage von IT-BlondiWindows 711 Kommentare

Hallo an alle, ich habe folgendes Problem; ich möchte gern, dass sich der User automatisch nach 30s Inaktivität abmeldet. ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...