Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Activ Directory - Vererbung verschwindet bei speziellen Berechtigungen

Frage Microsoft Windows Server

Mitglied: devnull

devnull (Level 1) - Jetzt verbinden

05.03.2008, aktualisiert 06.03.2008, 5938 Aufrufe, 5 Kommentare

Hallo,

bei der Vorbereitung auf eine Neustrukturierung von Zugriffsberechtigungen stoße ich auf folgendes Problem. Die Zugriffsberechtigung soll eine Flache Struktur bekommen, und möglichst einfach sein.

Geplant ist daher einen Ordner in der 1 Struktur anzulegen, und darunter in der 2 Ebene Abteilungsbezogene Ordner. Eine Vererbung zw. 1-2 findet nicht statt.
Die gesamte Zugriffsberechtigung soll ausschliesslich auf der 2 Ordnerebene abgebildet werden. Unter dem 2 Ordner können die Mitglieder der Abteilungen dann Ordner anlegen, löschen etc. Dazu wird ab dem 2 Ordner alles vererbt.

Problem:

Wenn ich jetz verhindern möchte, das der 2 Ordner (Abteilungsordner) gelöscht wird, dann vergebe ich eine Verweigerung zum Löschen und wende diese nur "auf diesen Ordner" an. Damit wird eine spezielle Berechtigung vergeben.

Nun geht ein User der Gruppe hin, und legt einen Ordner an. Da er damit Besitzer des Ordners ist, kann er auch die Berechtigungen sehen und ändern. Das kann ich m.E. auch nicht verhindern.

Wenn er nun einen Benutzer hinzufügt oder ähnliches, und die Einstellung übernimmt, werden alle anderen vererbten Berechtigungen entfernt.

Wie kann ich das verhindern?
Mitglied: geTuemII
05.03.2008 um 12:51 Uhr
Ordner --> Sicherheit --> Erweitert --> Bearbeiten --> Berechtigungen schreiben

geTuemII
Bitte warten ..
Mitglied: devnull
05.03.2008 um 14:04 Uhr
Hallo,

Du meinst "Berechtigungen ändern"?

Problem ist, das diese Einstellung für den Besitzer nicht gilt. Ich habe es auch mit "Ersteller-Besitzer" etc.. probiert.

Problem wie gesagt auch, da sdurch die speziellen Berechtigungen, die Vererbung nicht durchgängig ist.
Bitte warten ..
Mitglied: datasearch
05.03.2008 um 20:14 Uhr
Warum machst du das nicht wie folgt?

Auf der 2. Ebene markierst du die Abteilungsordner und gibst die Berechtigung "lesen" für die entsprechende Gruppe auf dem normalem Weg. Anschließend fügst du unter Erweitert nochmals die Gruppe hinzu, und gibst die Berechtigung zum erstellen von Ordnern, allerdings mit der Option "nur diesen Ordner". Wenn die Gruppe noch Dateien erstellen darf, das selbe für die Dateien. Zum Schluss fügst du die Gruppe nochmals hinzu und gibst ihr die Berechtigung "ändern", aber nur für "untergeordnete Ordner und Dateien". somit solltest du dein Ziel erreicht haben. Der User der jeweiligen Gruppe darf dann folgendes:

In dem Abteilungsordner selbst:
- Lesen
- Ordner erstellen
- Dateien erstellen

In den Unterordnern der Abteilung (inkl. der Unterordner):
- Ändern (inkl. löschen)

Er darf nun also die hauptordner lesen, darf auch dateien und Ordner erstellen, kann aber den Abteilungsordner nicht löschen. Möchtest du es ganz weit treiben, kannst du die Berechtigung Ändern auch nur für Dateien vergeben und der Gruppe "Ersteller-besitzer" die berechtigung "ändern" auf alle unterordner und dateien geben. Somit kann nur der Ersteller des Ordners diesen löschen, alle können aber alle Dateien ändern und in jedem Ordner neue Unterordner erstellen. Wie weit du das treiben möchtest hängt von dir ab .
Bitte warten ..
Mitglied: devnull
06.03.2008 um 16:08 Uhr
Hallo,

und Danke für Deine Antwort! Im Prinzip hab ich das auch so wie bei Dir beschrieben eingestellt.
Die generelle Frage, die ich mir stelle, ist es überhaupt möglich dem Besitzer eines Objektes das ändern der Berechtigungen zu
verbieten?

Wenn jetzt ein Benutzer unterhalb des Abteilungsordners einen Ordner oder eine Datei anlegt, wir er ja de rBesitzer dieses
Objektes. Und damit kann er die Sicherheitseinstellungen ändern, und neue User/Gruppen hinzufügen oder entfernen. Das würde ich gern verhindern.

Den macht er das, dann wird automatisch die Vererbung aus den Berechtigungen geschmissen.

Grüsse
Bitte warten ..
Mitglied: datasearch
06.03.2008 um 23:05 Uhr
Ungünstigerweise leider nicht. Der Ersteller kann mehr oder weniger alles mit dem Objekt anstellen. Aber was du machen kannst um die Warscheinlichkeit zu minimieren das so etwas passiert, blende den Reiter Sicherheit auf den Clients im Explorer aus. Das jemand cacls verwendet ist ehr unwarscheinlich.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Freigaben, Berechtigung Problem nach Deaktivierung von Vererbung (7)

Frage von opc123 zum Thema Windows Server ...

Exchange Server
gelöst Vererbung von Berechtigungen auf Unterordner in Outlook verhindern (6)

Frage von touro411 zum Thema Exchange Server ...

Microsoft
gelöst NTFS Berechtigungen - Vererbung (11)

Frage von Bierkasten zum Thema Microsoft ...

Neue Wissensbeiträge
Virtualisierung

Docker Monitoring und Steuerung per "sen"

Tipp von Frank zum Thema Virtualisierung ...

Viren und Trojaner

Neues Botnetz über IoT-Geräte

(5)

Information von certifiedit.net zum Thema Viren und Trojaner ...

Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Heiß diskutierte Inhalte
Windows Installation
Windows 10 neu installieren (17)

Frage von imebro zum Thema Windows Installation ...

Router & Routing
Externe IP von innen erreichbar machen (15)

Frage von Windows10Gegner zum Thema Router & Routing ...

Windows Server
Frage zu Server Rack (11)

Frage von rainergugus zum Thema Windows Server ...