9
Win XP Prof. Benutzerrechte vererben
Hallo zusammen,
Ich habe mich an das Thema Benutzerrechte und deren Vererbung unter WinXP Prof. gewagt und sitze nun ein wenig in der Klemme.
Habe als "noch" Studen der Technischen Informatik gedacht, dass es ja so schwer nicht sein kann, ein Netzwerk mit Benutzerhirarchien einzurichten. Und jetzt stehen ca. 15 Mitarbeiter auf der Matte, die an ihre Daten wollen. Aber so viel zu meinem Dilemma...
Mein Ziel ist es, eine Benutzerhirarchie als Baumstruktur unter Win XP Prof. SP3 zu erstellen.
Einfaches Beispiel (Man stelle sich eine Baumstruktur vor):
1 Vorgesetzter -> n Mitarbeiter -> n Azubis
Der Vorgesetzte soll Lese/Schreib/Lösch-Rechte in seinem Ordner und allen Unterordnern haben.
Der einzelne Mitarbeiter soll Lese/Schreib/Lösch-Rechte nur in seinem Ordner (nicht den der anderen Mitarbeiter!) und den seiner Azubis besitzen.
Analog soll dies für den einzelnen Azubi gelten.
1) Alle Benutzer als Computeradministrator angelegt
2) Den Ordnern über Freigabe die jeweiligen Benutzer mit Vollzugriff zugewiesen und ein Häkchen bei vererben gemacht.
Lesen und Schreiben funktioniert einwandfrei. D. h., Vorgesetzter kann bei Mitarbier x Dateien Lesen/erstellen.
Nun zu meinem Problem:
Es ist nicht möglich, dass der Benutzer "Vorgesetzter" in dem Ordner eines Mitarbeiters Dateien Löschen/Ändern kann.
Woran kann das liegen bzw. wie bekomme ich das hin?
Vorweg: Ich habe grundsätzlich nichts "Verweigert".
An was für Regeln muss man sich grundsätzlich noch bei der Vererbung von Benutzerrechten halten?
Wäre sehr dankbar über jede Hilfe.
Schöne Grüße!
Einfaches Beispiel (Man stelle sich eine Baumstruktur vor):
1 Vorgesetzter -> n Mitarbeiter -> n Azubis
Der Vorgesetzte soll Lese/Schreib/Lösch-Rechte in seinem Ordner und allen Unterordnern haben.
Der einzelne Mitarbeiter soll Lese/Schreib/Lösch-Rechte nur in seinem Ordner (nicht den der anderen Mitarbeiter!) und den seiner Azubis besitzen.
Analog soll dies für den einzelnen Azubi gelten.
1) Alle Benutzer als Computeradministrator angelegt
2) Den Ordnern über Freigabe die jeweiligen Benutzer mit Vollzugriff zugewiesen und ein Häkchen bei vererben gemacht.
Lesen und Schreiben funktioniert einwandfrei. D. h., Vorgesetzter kann bei Mitarbier x Dateien Lesen/erstellen.
Nun zu meinem Problem:
Es ist nicht möglich, dass der Benutzer "Vorgesetzter" in dem Ordner eines Mitarbeiters Dateien Löschen/Ändern kann.
Woran kann das liegen bzw. wie bekomme ich das hin?
Vorweg: Ich habe grundsätzlich nichts "Verweigert".
An was für Regeln muss man sich grundsätzlich noch bei der Vererbung von Benutzerrechten halten?
Wäre sehr dankbar über jede Hilfe.
Schöne Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 139444
Url: https://administrator.de/contentid/139444
Printed on: April 19, 2024 at 11:04 o'clock
9 Comments
Latest comment
Die Sicherheitseinstellungen der Freigabe und in der Sicherheit des Ordners/Datei sind nicht die gleichen.
Ein Benutzer kann in der Freigabe zwar das Recht besitzen diesen zu öffnen aber Sicherheitsberechtigungen können ihn hindern etwas zu lesen, schreiben, speichern....
Erstelle dir doch erstmal die Ordnerstruktur. Dann gibst du erstmal jedem Nutzer das Recht Vollzugriff (in den Sicherheitseinstellungen des obersten Ordners) und vererbst das nach unten durch. Dann fängst du im untersten Ordner an, den Usern die eingeschränkt werden sollen, die jeweiligen Rechte in dem jeweiligen Ordner zu nehmen. Es ist leichter aus vielen Ordnern einer Gruppe oder mehreren Usern etwas zu nehmen als es explizit zu setzen.
Die Freigabe setzt du dann auf den Root Ordner und gibst den für deine User frei.
Gruß
T.
Ein Benutzer kann in der Freigabe zwar das Recht besitzen diesen zu öffnen aber Sicherheitsberechtigungen können ihn hindern etwas zu lesen, schreiben, speichern....
Erstelle dir doch erstmal die Ordnerstruktur. Dann gibst du erstmal jedem Nutzer das Recht Vollzugriff (in den Sicherheitseinstellungen des obersten Ordners) und vererbst das nach unten durch. Dann fängst du im untersten Ordner an, den Usern die eingeschränkt werden sollen, die jeweiligen Rechte in dem jeweiligen Ordner zu nehmen. Es ist leichter aus vielen Ordnern einer Gruppe oder mehreren Usern etwas zu nehmen als es explizit zu setzen.
Die Freigabe setzt du dann auf den Root Ordner und gibst den für deine User frei.
Gruß
T.
Das hat ja schon mal im Kleinen geklappt. Danke dafür!
Leider ergit sich nun das Problem, dass sich jeder Benutzer, da ja mit Adminrechten ausgestattet, zu jeder Zeit jede Berechtigung wiederholen kann.
Gibt es irgendeine lokale Richtline mit der ich bestimmen kann, dass NUR DER Administrator und nicht die Administratoren (Gruppe) Benutzerrchte vergeben dürfen?
Konnte das analog bisher nur für die erlangung von Besitzrechten finden...
edit:
hatte das zu Beginn mit eingeschränkten Benutzerkonten versucht, weshalb sich das Problem natürlich erst im Nachinien auftut...
Leider ergit sich nun das Problem, dass sich jeder Benutzer, da ja mit Adminrechten ausgestattet, zu jeder Zeit jede Berechtigung wiederholen kann.
Gibt es irgendeine lokale Richtline mit der ich bestimmen kann, dass NUR DER Administrator und nicht die Administratoren (Gruppe) Benutzerrchte vergeben dürfen?
Konnte das analog bisher nur für die erlangung von Besitzrechten finden...
edit:
hatte das zu Beginn mit eingeschränkten Benutzerkonten versucht, weshalb sich das Problem natürlich erst im Nachinien auftut...
hi bremer,
also ich würde quasi 3 "bäume" machen:
zb:
1. d:\chef\%username%
Vorgesetzte: Lese/Schreib/Lösch-Rechte
2. d:\mitarbeiter\%username%
Mitarbeiter: Lese/Schreib/Lösch-Rechte
Vorgesetzte: Lese/Schreib/Lösch-Rechte
3. d:\azubis\%username%
Azubis: Lese/Schreib/Lösch-Rechte
Mitarbeiter: Lese/Schreib/Lösch-Rechte
Vorgesetzte: Lese/Schreib/Lösch-Rechte
Das Ganze mit net use bei login zuweisen (natürlich den azubis nur 3. und dem Vorgesetzten alles .. - oder halt je nach wunsch .. )
Es ist ja trotzdem eig. nur ein baum ( da dein root d:\ wäre ).. aber ich finde so das durchvererben der Rechte gedanklich einfacher ..
noch so am Rande:
wieviele versch. Benutzer möchtest du da realisieren ?
per skript kannst du ja auch zb. die einzelnen Ordner automatisch erstellen lassen ..
und noch wegen den Besitzrechten:
schau mal in die lokalen Gruppenrichtlinien unter:
Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Übernahme des Besitzes von Dateien und Objekten
sollte dich weiterbringen
mfg
Mike
also ich würde quasi 3 "bäume" machen:
zb:
1. d:\chef\%username%
Vorgesetzte: Lese/Schreib/Lösch-Rechte
2. d:\mitarbeiter\%username%
Mitarbeiter: Lese/Schreib/Lösch-Rechte
Vorgesetzte: Lese/Schreib/Lösch-Rechte
3. d:\azubis\%username%
Azubis: Lese/Schreib/Lösch-Rechte
Mitarbeiter: Lese/Schreib/Lösch-Rechte
Vorgesetzte: Lese/Schreib/Lösch-Rechte
Das Ganze mit net use bei login zuweisen (natürlich den azubis nur 3. und dem Vorgesetzten alles .. - oder halt je nach wunsch .. )
Es ist ja trotzdem eig. nur ein baum ( da dein root d:\ wäre ).. aber ich finde so das durchvererben der Rechte gedanklich einfacher ..
noch so am Rande:
wieviele versch. Benutzer möchtest du da realisieren ?
per skript kannst du ja auch zb. die einzelnen Ordner automatisch erstellen lassen ..
und noch wegen den Besitzrechten:
schau mal in die lokalen Gruppenrichtlinien unter:
Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Übernahme des Besitzes von Dateien und Objekten
sollte dich weiterbringen
mfg
Mike
Die Vorgehensweise ist meines Erachtens nicht sinnvoll. Man sollte auf oberster Ebene nur die Zugriffsrechte vergeben, die für alle bis in unterste Ebene gelten sollen. Also zB. rwa und dann geht man von unterster Ebene aufwärts und vergibt erweiterte Rechte für die einzelnen User. Andernfalls würden bei jedem Verzeichnis welches ein User selbst anlegt Vollzugriffsrechte vererbt werden.
Zitat von @bremer2k:
Leider ergit sich nun das Problem, dass sich jeder Benutzer, da ja mit Adminrechten ausgestattet, zu jeder Zeit jede Berechtigung
wiederholen kann.
Gibt es irgendeine lokale Richtline mit der ich bestimmen kann, dass NUR DER Administrator und nicht die Administratoren (Gruppe)
Benutzerrchte vergeben dürfen?
edit:
hatte das zu Beginn mit eingeschränkten Benutzerkonten versucht, weshalb sich das Problem natürlich erst im Nachinien
auftut...
Leider ergit sich nun das Problem, dass sich jeder Benutzer, da ja mit Adminrechten ausgestattet, zu jeder Zeit jede Berechtigung
wiederholen kann.
Gibt es irgendeine lokale Richtline mit der ich bestimmen kann, dass NUR DER Administrator und nicht die Administratoren (Gruppe)
Benutzerrchte vergeben dürfen?
edit:
hatte das zu Beginn mit eingeschränkten Benutzerkonten versucht, weshalb sich das Problem natürlich erst im Nachinien
auftut...
Hallo,
User mit Administratorrechten haben immer die Möglichkeit sich Rechte über alles und jeden auf dem PC zu holen nach Belieben.
Deswegen heißt es ja Administratorrechte oder einfach "Ich Cheffe von alles, Du nix".
Will heißen: Wenn du schon so eine Hirachie aufbauen willst, dann doch bitte gleich über "User mit eingeschränkten Benutzerrechten"
und dem Admin auch seine Adminrechte lassen (und nur dem!).
Alles andere ist ne Milchmädchen Lösung die jederzeit mit ein paar Klicks umgangen werden kann, da kannst du dir das anlegen dann
gleich sparen
Mfg.
Übernahme des Besitzes von Dateien und Objekten <- da die Gruppe raus und nur den ADmin User rein und dann fällt es den usern aus der admingruppe schon eher schwer ...
- Ich finde man darf geskillten usern schon ein bisschen "freiheit" lassen, lokaler admin is doch ok - falls was schief geht einfach image drüber
- Ich finde man darf geskillten usern schon ein bisschen "freiheit" lassen, lokaler admin is doch ok - falls was schief geht einfach image drüber
@Raziel11
da is ganz egal was vererbt wird weil der user der nicht darf .. eh nix machen kann ..
natürlich hast du dann 3 shares .. aber 3 netzwerklaufwerke schlimmstenfalls, sollten ja nicht sooo schlimm sein ..
1. d:\chef\%username%
Vorgesetzte: Lese/Schreib/Lösch-Rechte
2. d:\mitarbeiter\%username%
Mitarbeiter: Lese/Schreib/Lösch-Rechte
Vorgesetzte: Lese/Schreib/Lösch-Rechte
3. d:\azubis\%username%
Azubis: Lese/Schreib/Lösch-Rechte
Mitarbeiter: Lese/Schreib/Lösch-Rechte
Vorgesetzte: Lese/Schreib/Lösch-Rechte
Vorgesetzte: Lese/Schreib/Lösch-Rechte
2. d:\mitarbeiter\%username%
Mitarbeiter: Lese/Schreib/Lösch-Rechte
Vorgesetzte: Lese/Schreib/Lösch-Rechte
3. d:\azubis\%username%
Azubis: Lese/Schreib/Lösch-Rechte
Mitarbeiter: Lese/Schreib/Lösch-Rechte
Vorgesetzte: Lese/Schreib/Lösch-Rechte
da is ganz egal was vererbt wird weil der user der nicht darf .. eh nix machen kann ..
natürlich hast du dann 3 shares .. aber 3 netzwerklaufwerke schlimmstenfalls, sollten ja nicht sooo schlimm sein ..
Hallo bremer2k,
mal von den Benutzerrechten abgesehen, sehe ich hier noch ein weiteres Problem auf Dich zukommen. Wenn ich Dich richtig verstanden habe, willst Du einen Rechner mit XP Prof. SP3 als Dateiserver über Microsoft Netzwerk (SMB-Protokoll) für 15 Benutzer verwenden. Soweit ich weiß, lässt XP Prof. aber nur 10 Verbindungen zum LAN-Manager Server zu, schließlich will MS seine Server-Betriebssysteme verkaufen. Zu diesen Verbindungen zählt auch das Benutzen von im Netzwerk freigegebenen Druckern (ist bei dir evtl. nicht der Fall). Außerdem zählt jedes Öffnen eines Verzeichnisses als eigene Verbindung (z.B. Chef öffnet gleichzeitig Verzeichnis von Mitarbeiter A und B). Sind zu viele Benutzer gleichzeitig mit dem Rechner verbunden, kann ein neu dazu gekommener Benutzer keine Verbindung zu seinem Verzeichnis aufbauen. Ergo, über Anschaffung eines Serverbetriebssystems nachdenken.
Gruß
Friemler
mal von den Benutzerrechten abgesehen, sehe ich hier noch ein weiteres Problem auf Dich zukommen. Wenn ich Dich richtig verstanden habe, willst Du einen Rechner mit XP Prof. SP3 als Dateiserver über Microsoft Netzwerk (SMB-Protokoll) für 15 Benutzer verwenden. Soweit ich weiß, lässt XP Prof. aber nur 10 Verbindungen zum LAN-Manager Server zu, schließlich will MS seine Server-Betriebssysteme verkaufen. Zu diesen Verbindungen zählt auch das Benutzen von im Netzwerk freigegebenen Druckern (ist bei dir evtl. nicht der Fall). Außerdem zählt jedes Öffnen eines Verzeichnisses als eigene Verbindung (z.B. Chef öffnet gleichzeitig Verzeichnis von Mitarbeiter A und B). Sind zu viele Benutzer gleichzeitig mit dem Rechner verbunden, kann ein neu dazu gekommener Benutzer keine Verbindung zu seinem Verzeichnis aufbauen. Ergo, über Anschaffung eines Serverbetriebssystems nachdenken.
Gruß
Friemler
Wenn Du den Wert IRPStackSize in der Registry erhöst, kannst Du das Problem umgehen.
