Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Activ Directory - Vererbung verschwindet bei speziellen Berechtigungen

Frage Microsoft Windows Server

Mitglied: devnull

devnull (Level 1) - Jetzt verbinden

05.03.2008, aktualisiert 06.03.2008, 5893 Aufrufe, 5 Kommentare

Hallo,

bei der Vorbereitung auf eine Neustrukturierung von Zugriffsberechtigungen stoße ich auf folgendes Problem. Die Zugriffsberechtigung soll eine Flache Struktur bekommen, und möglichst einfach sein.

Geplant ist daher einen Ordner in der 1 Struktur anzulegen, und darunter in der 2 Ebene Abteilungsbezogene Ordner. Eine Vererbung zw. 1-2 findet nicht statt.
Die gesamte Zugriffsberechtigung soll ausschliesslich auf der 2 Ordnerebene abgebildet werden. Unter dem 2 Ordner können die Mitglieder der Abteilungen dann Ordner anlegen, löschen etc. Dazu wird ab dem 2 Ordner alles vererbt.

Problem:

Wenn ich jetz verhindern möchte, das der 2 Ordner (Abteilungsordner) gelöscht wird, dann vergebe ich eine Verweigerung zum Löschen und wende diese nur "auf diesen Ordner" an. Damit wird eine spezielle Berechtigung vergeben.

Nun geht ein User der Gruppe hin, und legt einen Ordner an. Da er damit Besitzer des Ordners ist, kann er auch die Berechtigungen sehen und ändern. Das kann ich m.E. auch nicht verhindern.

Wenn er nun einen Benutzer hinzufügt oder ähnliches, und die Einstellung übernimmt, werden alle anderen vererbten Berechtigungen entfernt.

Wie kann ich das verhindern?
Mitglied: geTuemII
05.03.2008 um 12:51 Uhr
Ordner --> Sicherheit --> Erweitert --> Bearbeiten --> Berechtigungen schreiben

geTuemII
Bitte warten ..
Mitglied: devnull
05.03.2008 um 14:04 Uhr
Hallo,

Du meinst "Berechtigungen ändern"?

Problem ist, das diese Einstellung für den Besitzer nicht gilt. Ich habe es auch mit "Ersteller-Besitzer" etc.. probiert.

Problem wie gesagt auch, da sdurch die speziellen Berechtigungen, die Vererbung nicht durchgängig ist.
Bitte warten ..
Mitglied: datasearch
05.03.2008 um 20:14 Uhr
Warum machst du das nicht wie folgt?

Auf der 2. Ebene markierst du die Abteilungsordner und gibst die Berechtigung "lesen" für die entsprechende Gruppe auf dem normalem Weg. Anschließend fügst du unter Erweitert nochmals die Gruppe hinzu, und gibst die Berechtigung zum erstellen von Ordnern, allerdings mit der Option "nur diesen Ordner". Wenn die Gruppe noch Dateien erstellen darf, das selbe für die Dateien. Zum Schluss fügst du die Gruppe nochmals hinzu und gibst ihr die Berechtigung "ändern", aber nur für "untergeordnete Ordner und Dateien". somit solltest du dein Ziel erreicht haben. Der User der jeweiligen Gruppe darf dann folgendes:

In dem Abteilungsordner selbst:
- Lesen
- Ordner erstellen
- Dateien erstellen

In den Unterordnern der Abteilung (inkl. der Unterordner):
- Ändern (inkl. löschen)

Er darf nun also die hauptordner lesen, darf auch dateien und Ordner erstellen, kann aber den Abteilungsordner nicht löschen. Möchtest du es ganz weit treiben, kannst du die Berechtigung Ändern auch nur für Dateien vergeben und der Gruppe "Ersteller-besitzer" die berechtigung "ändern" auf alle unterordner und dateien geben. Somit kann nur der Ersteller des Ordners diesen löschen, alle können aber alle Dateien ändern und in jedem Ordner neue Unterordner erstellen. Wie weit du das treiben möchtest hängt von dir ab .
Bitte warten ..
Mitglied: devnull
06.03.2008 um 16:08 Uhr
Hallo,

und Danke für Deine Antwort! Im Prinzip hab ich das auch so wie bei Dir beschrieben eingestellt.
Die generelle Frage, die ich mir stelle, ist es überhaupt möglich dem Besitzer eines Objektes das ändern der Berechtigungen zu
verbieten?

Wenn jetzt ein Benutzer unterhalb des Abteilungsordners einen Ordner oder eine Datei anlegt, wir er ja de rBesitzer dieses
Objektes. Und damit kann er die Sicherheitseinstellungen ändern, und neue User/Gruppen hinzufügen oder entfernen. Das würde ich gern verhindern.

Den macht er das, dann wird automatisch die Vererbung aus den Berechtigungen geschmissen.

Grüsse
Bitte warten ..
Mitglied: datasearch
06.03.2008 um 23:05 Uhr
Ungünstigerweise leider nicht. Der Ersteller kann mehr oder weniger alles mit dem Objekt anstellen. Aber was du machen kannst um die Warscheinlichkeit zu minimieren das so etwas passiert, blende den Reiter Sicherheit auf den Clients im Explorer aus. Das jemand cacls verwendet ist ehr unwarscheinlich.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
gelöst Vererbung von Berechtigungen auf Unterordner in Outlook verhindern (6)

Frage von touro411 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

VB for Applications
gelöst VBA-Makro verschwindet nach Speichern (5)

Frage von lupi1989 zum Thema VB for Applications ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...