5
VPN Ordnerberechtigung Server 2003
Hallo,
ich habe einen Windows Server 2003 laufen.
VPN funktioniert soweit, habe einfach unter der Benutzerverwaltung, unter "Einwählen" "Zugriff gestatten" aktiviert.
Nun möchte ich aber einen Benutzer einrichten, der auch per VPN drauf kommt, aber der nur einen bestimmten Ordner sieht und auch nur darin Daten verändern kann.
Irgendwie kann der VPN-Benutzer aber immer auf alle freigegeben Ordner zugreifen, auch wenn ich nur dem Adminstrator Zugriffsrechte gebe.
Ist da noch was falsch eingestellt, oder geht das so garnicht.
Vielen Dank
Tim.
ich habe einen Windows Server 2003 laufen.
VPN funktioniert soweit, habe einfach unter der Benutzerverwaltung, unter "Einwählen" "Zugriff gestatten" aktiviert.
Nun möchte ich aber einen Benutzer einrichten, der auch per VPN drauf kommt, aber der nur einen bestimmten Ordner sieht und auch nur darin Daten verändern kann.
Irgendwie kann der VPN-Benutzer aber immer auf alle freigegeben Ordner zugreifen, auch wenn ich nur dem Adminstrator Zugriffsrechte gebe.
Ist da noch was falsch eingestellt, oder geht das so garnicht.
Vielen Dank
Tim.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 88581
Url: https://administrator.de/contentid/88581
Printed on: April 26, 2024 at 09:04 o'clock
5 Comments
Latest comment
Moin,
also: Wenn der USer korrekt angelegt ist, ist es völlig egal, ob er sich per VPN oder sonstwie anmeldet.
Er sollte in der Gruppe "SpezielleRechte" sein, die Gruppe "SpezielleRechte" sollte ausschließlich Zugriff auf den Ordner haben und gut is. Wenn allerdings "SpezielleRechte" über Umwege oder direkt in der Gruppe "DomänenBenutzer" ist und diese Gruppe auf alles mögliche schauen darf, dann hast Du den Effekt, wie Du ihn beschreibst.
Tödlich ist auch immer das wunderbar einfache "Jeder". Das vererbt sich dann schon mal an Stellen, wo man es nicht gebrauchen kann.
Bonkers
also: Wenn der USer korrekt angelegt ist, ist es völlig egal, ob er sich per VPN oder sonstwie anmeldet.
Er sollte in der Gruppe "SpezielleRechte" sein, die Gruppe "SpezielleRechte" sollte ausschließlich Zugriff auf den Ordner haben und gut is. Wenn allerdings "SpezielleRechte" über Umwege oder direkt in der Gruppe "DomänenBenutzer" ist und diese Gruppe auf alles mögliche schauen darf, dann hast Du den Effekt, wie Du ihn beschreibst.
Tödlich ist auch immer das wunderbar einfache "Jeder". Das vererbt sich dann schon mal an Stellen, wo man es nicht gebrauchen kann.
Bonkers
Hi Jörg,
vielen Dank für Deine Hilfe.
Ich habe eine neue Gruppe "KannNix" angelegt. Habe mit der Gruppe nichts weiter gemacht und der VPN-Benutzer ist nur in dieser Gruppe und trotzdem kann er überall drauf zugreifen...
Wo kann ich denn dieser Gruppe/User alle Rechte entziehen.
vielen Dank für Deine Hilfe.
Ich habe eine neue Gruppe "KannNix" angelegt. Habe mit der Gruppe nichts weiter gemacht und der VPN-Benutzer ist nur in dieser Gruppe und trotzdem kann er überall drauf zugreifen...
Wo kann ich denn dieser Gruppe/User alle Rechte entziehen.
Also wenn das der Fall ist, wie Du es beschreibst, würde ich sagen, ist irgendwas am Sicherheitssystem so richtig ganz im Eimer.
Wie ist das denn, wenn Du Dich mit dem User lokal irgendwo anmeldest, also nicht über VPN? Und wie sieht das mit anderen Sicherheitsberechtigungen aus, funktionieren die Einstellungen auch nicht?
Es gibt keine zentrale Stelle, wo Du einer Gruppe alle Rechte entziehen kannst. Wenn aber zum Beispiel der Ordner D:\Daten freigegeben ist und in den Freigabeberechtigungen "Jeder - Vollzugriff" drinsteht, dann ist schon mal sicher, dass Jeder in diesen Ordner schauen kann. Jeder ist keine Person oder abgeschlossene Gruppe als solches, sondern einfach jeder. Seit Server 2003 R2 sind wenigstens mal die anonymen Verbindungen da raus, aber alles, was irgendwie mit einer identifizierbaren Anmeldung arbeitet, ist da enthalten.
Wenn jetzt auf D:\Daten die NTFS-Berechtigungen auch noch mit "Jeder" bedacht sind, dann darf eben jeder darauf zugreifen. Und genau nach sowas würde ich suchen.
Die Gruppe "Jeder" darf einfach nicht da drinstehen, wo mindestens ein User keinen Zugriff haben soll. Du kannst natürlich auch explizit diesem User oder der Gruppe "KannNix" die Rechte entziehen (verweigern, überall da, wo es Berechtigungen gibt), das ist aber nicht der Hit. Erstens werden Fehlersuchen komplizierter und zweitens hast Du eine Umkehrung der Logik am Start, die Du in einem halben Jahr selbst nicht mehr durchblickst.
Wenn Du "jeder" aus den Rechten herausnimmst, musst Du natürlich darauf achten, dass alle Berechtigten weiterhin da drin stehen. Wenn irgendwas nicht läuft, versuche, "System" mit Vollzugriff hinzuzufügen, hat besonders bei Datenbankgeschichten schon öfter geholfen.
Bonkers
Wie ist das denn, wenn Du Dich mit dem User lokal irgendwo anmeldest, also nicht über VPN? Und wie sieht das mit anderen Sicherheitsberechtigungen aus, funktionieren die Einstellungen auch nicht?
Es gibt keine zentrale Stelle, wo Du einer Gruppe alle Rechte entziehen kannst. Wenn aber zum Beispiel der Ordner D:\Daten freigegeben ist und in den Freigabeberechtigungen "Jeder - Vollzugriff" drinsteht, dann ist schon mal sicher, dass Jeder in diesen Ordner schauen kann. Jeder ist keine Person oder abgeschlossene Gruppe als solches, sondern einfach jeder. Seit Server 2003 R2 sind wenigstens mal die anonymen Verbindungen da raus, aber alles, was irgendwie mit einer identifizierbaren Anmeldung arbeitet, ist da enthalten.
Wenn jetzt auf D:\Daten die NTFS-Berechtigungen auch noch mit "Jeder" bedacht sind, dann darf eben jeder darauf zugreifen. Und genau nach sowas würde ich suchen.
Die Gruppe "Jeder" darf einfach nicht da drinstehen, wo mindestens ein User keinen Zugriff haben soll. Du kannst natürlich auch explizit diesem User oder der Gruppe "KannNix" die Rechte entziehen (verweigern, überall da, wo es Berechtigungen gibt), das ist aber nicht der Hit. Erstens werden Fehlersuchen komplizierter und zweitens hast Du eine Umkehrung der Logik am Start, die Du in einem halben Jahr selbst nicht mehr durchblickst.
Wenn Du "jeder" aus den Rechten herausnimmst, musst Du natürlich darauf achten, dass alle Berechtigten weiterhin da drin stehen. Wenn irgendwas nicht läuft, versuche, "System" mit Vollzugriff hinzuzufügen, hat besonders bei Datenbankgeschichten schon öfter geholfen.
Bonkers
Vielen Dank für die ausfürliche Antwort.
Also der Server ist ein 1&1 Server.
Per Remotedesktop komme ich mit dem VPN-Benutzer nicht drauf.
Ich hab jetzt einen neuen Ordner Test gemacht.
Wenn ich dann auf Sicherheit gehen sind dort 4 Gruppen drin:
- Adminstrators
- Authentifizierte Benutzer
- SYSTEM
- Users
Wenn ich versuche alle ausser Adminstrators zu entfernen kommt die Meldung "Kann nicht entfernt werden, das Übergeordnete Bereichtignungen übernommen werden..."
Klick auf "Erweitert" dort dann den hacken weg genommen bei "Berechtigungen übergeordneter ... einbeziehen"
Dann kommt eine Meldung, dass Berechtigungen nicht mehr anegwendet werden... klick auf "Kopieren".
Nun kann ich auch die Gruppen entfernen. Ich entferne alle bis auf Adminstrator.
Nun noch eine Freigabe, dort "Jeder" gelöscht und nur Adminsitrators hinzugefügt.
Und trotzdem kommt der VPN-Benutzer immer noch auf den Ordner.
Also der Server ist ein 1&1 Server.
Per Remotedesktop komme ich mit dem VPN-Benutzer nicht drauf.
Ich hab jetzt einen neuen Ordner Test gemacht.
Wenn ich dann auf Sicherheit gehen sind dort 4 Gruppen drin:
- Adminstrators
- Authentifizierte Benutzer
- SYSTEM
- Users
Wenn ich versuche alle ausser Adminstrators zu entfernen kommt die Meldung "Kann nicht entfernt werden, das Übergeordnete Bereichtignungen übernommen werden..."
Klick auf "Erweitert" dort dann den hacken weg genommen bei "Berechtigungen übergeordneter ... einbeziehen"
Dann kommt eine Meldung, dass Berechtigungen nicht mehr anegwendet werden... klick auf "Kopieren".
Nun kann ich auch die Gruppen entfernen. Ich entferne alle bis auf Adminstrator.
Nun noch eine Freigabe, dort "Jeder" gelöscht und nur Adminsitrators hinzugefügt.
Und trotzdem kommt der VPN-Benutzer immer noch auf den Ordner.
Achso der Test-Ordner liegt direkt unter D:
Ich hab jetzt noch mal von D: die Sicherheit angeschaut, da waren auch die 4 Gruppen drin. Habe da Users und Authentifizierte Benutzer raus genommen. VPN-Benutzer kommt immer noch drauf. Ist jetzt noch System drin bei D: kann es das sein. wollte da aber jetzt nix verkehrt machen...
An dei Berechtigung von D: komme ich nicht ran:
"Diese Freigabe ist nur für administrative Zwecke eingerichtet. Berechtigungen können nicht gesetzt werden"
Ich hab jetzt noch mal von D: die Sicherheit angeschaut, da waren auch die 4 Gruppen drin. Habe da Users und Authentifizierte Benutzer raus genommen. VPN-Benutzer kommt immer noch drauf. Ist jetzt noch System drin bei D: kann es das sein. wollte da aber jetzt nix verkehrt machen...
An dei Berechtigung von D: komme ich nicht ran:
"Diese Freigabe ist nur für administrative Zwecke eingerichtet. Berechtigungen können nicht gesetzt werden"