Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Ordnerberechtigung Server 2003

Mitglied: Chevyvan2000

Chevyvan2000 (Level 1) - Jetzt verbinden

28.05.2008, aktualisiert 16:48 Uhr, 3728 Aufrufe, 5 Kommentare

Hallo,

ich habe einen Windows Server 2003 laufen.
VPN funktioniert soweit, habe einfach unter der Benutzerverwaltung, unter "Einwählen" "Zugriff gestatten" aktiviert.

Nun möchte ich aber einen Benutzer einrichten, der auch per VPN drauf kommt, aber der nur einen bestimmten Ordner sieht und auch nur darin Daten verändern kann.

Irgendwie kann der VPN-Benutzer aber immer auf alle freigegeben Ordner zugreifen, auch wenn ich nur dem Adminstrator Zugriffsrechte gebe.

Ist da noch was falsch eingestellt, oder geht das so garnicht.

Vielen Dank
Tim.
Mitglied: 60897
28.05.2008 um 08:49 Uhr
Moin,

also: Wenn der USer korrekt angelegt ist, ist es völlig egal, ob er sich per VPN oder sonstwie anmeldet.
Er sollte in der Gruppe "SpezielleRechte" sein, die Gruppe "SpezielleRechte" sollte ausschließlich Zugriff auf den Ordner haben und gut is. Wenn allerdings "SpezielleRechte" über Umwege oder direkt in der Gruppe "DomänenBenutzer" ist und diese Gruppe auf alles mögliche schauen darf, dann hast Du den Effekt, wie Du ihn beschreibst.
Tödlich ist auch immer das wunderbar einfache "Jeder". Das vererbt sich dann schon mal an Stellen, wo man es nicht gebrauchen kann.

Bonkers
Bitte warten ..
Mitglied: Chevyvan2000
28.05.2008 um 10:25 Uhr
Hi Jörg,

vielen Dank für Deine Hilfe.

Ich habe eine neue Gruppe "KannNix" angelegt. Habe mit der Gruppe nichts weiter gemacht und der VPN-Benutzer ist nur in dieser Gruppe und trotzdem kann er überall drauf zugreifen...

Wo kann ich denn dieser Gruppe/User alle Rechte entziehen.
Bitte warten ..
Mitglied: 60897
28.05.2008 um 12:11 Uhr
Also wenn das der Fall ist, wie Du es beschreibst, würde ich sagen, ist irgendwas am Sicherheitssystem so richtig ganz im Eimer.

Wie ist das denn, wenn Du Dich mit dem User lokal irgendwo anmeldest, also nicht über VPN? Und wie sieht das mit anderen Sicherheitsberechtigungen aus, funktionieren die Einstellungen auch nicht?

Es gibt keine zentrale Stelle, wo Du einer Gruppe alle Rechte entziehen kannst. Wenn aber zum Beispiel der Ordner D:\Daten freigegeben ist und in den Freigabeberechtigungen "Jeder - Vollzugriff" drinsteht, dann ist schon mal sicher, dass Jeder in diesen Ordner schauen kann. Jeder ist keine Person oder abgeschlossene Gruppe als solches, sondern einfach jeder. Seit Server 2003 R2 sind wenigstens mal die anonymen Verbindungen da raus, aber alles, was irgendwie mit einer identifizierbaren Anmeldung arbeitet, ist da enthalten.

Wenn jetzt auf D:\Daten die NTFS-Berechtigungen auch noch mit "Jeder" bedacht sind, dann darf eben jeder darauf zugreifen. Und genau nach sowas würde ich suchen.

Die Gruppe "Jeder" darf einfach nicht da drinstehen, wo mindestens ein User keinen Zugriff haben soll. Du kannst natürlich auch explizit diesem User oder der Gruppe "KannNix" die Rechte entziehen (verweigern, überall da, wo es Berechtigungen gibt), das ist aber nicht der Hit. Erstens werden Fehlersuchen komplizierter und zweitens hast Du eine Umkehrung der Logik am Start, die Du in einem halben Jahr selbst nicht mehr durchblickst.

Wenn Du "jeder" aus den Rechten herausnimmst, musst Du natürlich darauf achten, dass alle Berechtigten weiterhin da drin stehen. Wenn irgendwas nicht läuft, versuche, "System" mit Vollzugriff hinzuzufügen, hat besonders bei Datenbankgeschichten schon öfter geholfen.

Bonkers
Bitte warten ..
Mitglied: Chevyvan2000
28.05.2008 um 16:43 Uhr
Vielen Dank für die ausfürliche Antwort.

Also der Server ist ein 1&1 Server.

Per Remotedesktop komme ich mit dem VPN-Benutzer nicht drauf.

Ich hab jetzt einen neuen Ordner Test gemacht.
Wenn ich dann auf Sicherheit gehen sind dort 4 Gruppen drin:
- Adminstrators
- Authentifizierte Benutzer
- SYSTEM
- Users

Wenn ich versuche alle ausser Adminstrators zu entfernen kommt die Meldung "Kann nicht entfernt werden, das Übergeordnete Bereichtignungen übernommen werden..."

Klick auf "Erweitert" dort dann den hacken weg genommen bei "Berechtigungen übergeordneter ... einbeziehen"
Dann kommt eine Meldung, dass Berechtigungen nicht mehr anegwendet werden... klick auf "Kopieren".

Nun kann ich auch die Gruppen entfernen. Ich entferne alle bis auf Adminstrator.
Nun noch eine Freigabe, dort "Jeder" gelöscht und nur Adminsitrators hinzugefügt.
Und trotzdem kommt der VPN-Benutzer immer noch auf den Ordner.
Bitte warten ..
Mitglied: Chevyvan2000
28.05.2008 um 16:48 Uhr
Achso der Test-Ordner liegt direkt unter D:

Ich hab jetzt noch mal von D: die Sicherheit angeschaut, da waren auch die 4 Gruppen drin. Habe da Users und Authentifizierte Benutzer raus genommen. VPN-Benutzer kommt immer noch drauf. Ist jetzt noch System drin bei D: kann es das sein. wollte da aber jetzt nix verkehrt machen...

An dei Berechtigung von D: komme ich nicht ran:

"Diese Freigabe ist nur für administrative Zwecke eingerichtet. Berechtigungen können nicht gesetzt werden"
Bitte warten ..
Ähnliche Inhalte
SAN, NAS, DAS
QNAP - Ordnerberechtigungen
Frage von emeriksSAN, NAS, DAS7 Kommentare

Hi, ich will für zuhause ein QNAP TS-251 einrichten und bleibe schon bei der Einrichtung der Ordnerstruktur hängen. Ich ...

Windows Server

Windows Server 2012 R2 Ordnerberechtigungen für Datenaustausch

Frage von alwin1993Windows Server1 Kommentar

Guten Tag, ich stehe momentan an einer Wand und komme nicht weiter Und Zwar möchte ich einen Datenaustausch bei ...

Windows Server

Windows Server 2K8R2SP1: Ordnerberechtigung für CREATOR-OWNER wird nicht gespeichert

gelöst Frage von Head-CrashWindows Server3 Kommentare

Hallo zusammen, ich kämpfe hier mit einem Problem. Auf dem D: Laufwerk gibt es einen Ordner. Nennen wir ihn ...

Windows Server

Spezielle Ordnerberechtigungen bei Offcie Produkten

Frage von AMStylesWindows Server4 Kommentare

Guten Morgen folgendes Problem: Ich möchte einen Windows Ordner erstellen auf dem alle Lese + Schreibrechte haben, jedoch keine ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 StundeSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 StundeMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 StundeHardware2 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 1 StundeMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux22 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL13 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...