Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Denkfehler bei Zugriffrechten?

Frage Microsoft Windows Userverwaltung

Mitglied: H41mSh1C0R

H41mSh1C0R (Level 2) - Jetzt verbinden

26.08.2009, aktualisiert 11:16 Uhr, 4583 Aufrufe, 8 Kommentare

Hi@community,

OS: Windows Server 2003
Benutzer sind in Gruppen eingeteilt und dementsprechend sind auch die Zugriffsrechte vergeben.
Trotzdem gibt es noch Ausnahmen, die dann als Einzelbenutzer direkt eingetragen werden müssen.

Folgendes Problem:

An den Rechten wurde nicht geschraubt und nun sieht Person1 aus dem Ordner XYZ nicht mehr alles.

Ordner XYZ (Rechte für Vollzugriff für: Person1, Gruppe2, Gruppe3)
- Ordner XYZ.1 (Person1 sieht den, Gruppe2 sieht den)
- Ordner XYZ.2 (Person1 sieht den nicht, Gruppe2 sieht den)
- Ordner XYZ.3 (Person1 sieht den nicht, Gruppe2 sieht den, Manuell Person7)
- Ordner XYZ.4 (Person1 sieht den nicht, Gruppe2 sieht den)
- Ordner XYZ.5 (Person1 sieht den nicht, Gruppe2 sieht den, Manuell Person9)
- Ordner XYZ.6 (Person1 sieht den nicht, Gruppe2 sieht den)

Bei der Rechtedefinition, wurde die Option gesetzt das dies auch für Subdirs und Files gelten soll.

Ich könnte nun bei jedem Subdir die Rechte manuell setzen, das geht auch, aber ist ja voll an der Idee vorbei.

Der gesetzte Vollzugriff für Gruppe2 und Person1 müsste doch, wenn für Files, Dirs und Subdirs eingestellt, auch mehr als nur Ordner XYZ.1 und Dateien sichtbar machen oder??

Wenn ich nun die Rechte für Person1 gesetzt habe und dann auf Erweitert klicke bekomme ich eine Liste

Person1 Vollzugriff gilt für Files, Dirs, Subdirs
Gruppe2 Vollzugriff gilt für Files, Dirs, Subdirs
Gruppe3 eingeschränkter Zugriff einstellungen geerbt von ...

und da die Möglichkeit einen Haken zu setzen: "Berechtigungen für alle untergeordneten Objekte, durch die angezeigten Einträge, sofern anwendbar, ersetzen. "

Mach den Haken rein, kommt beim übernehmen ein Dialog:

"Alle Berechtigungen in allen untergeordneten werden entfernt und die Option vererbarer Berechtigungen aktiviert. Es werden nur die vererbbaren Berechtigungen in Ordner XYZ geändert."

Heißt das im Klartext, das alle Manuell gesetzen Berechtigungen für Einzelpersonen bestehen bleiben oder gehen die dann verloren?

gruß
H41mSh1C0r
Mitglied: Kubelkubel
26.08.2009 um 11:40 Uhr
hi,
also vieleicht ersteinmal etwas algemeines.

Erstens:
Es gibt ein Prinzip (Es gibt mehrere) welches sich AGDLP nennt.

Bedeutet:
Account/Globalgroup/DomainlocalGroup/Permission
Es werden also Rechte NUR auf Gruppen vergeben, nicht auf User. (Selbst wenn es nur ein User ist - ist dafür eine Gruppe zu definieren!)

Zweitens:
Verweigern VOR Erlauben

Bedeutet:
Wenn du einer Gruppe etwas verweigerst und ein Benutzer ist in dieser Gruppe und einer anderen Gruppe die ein Erlauben auf den Selben Ordner wie die Verweigern-Gruppe hatt, wird der Zugriff verweigert

Explizit

Bedeutet:
Du kannst Expliziet einem Benutzer ein Recht auf eine DAtei zuweisen


So...und nu zu deinem Problem:

kannst du das auch etwas knapper erklären, wo genau es hackt bzw. was du genau machen willst
Bitte warten ..
Mitglied: H41mSh1C0R
26.08.2009 um 14:27 Uhr
Danke erst einmal für die Prinziperklärung ^^. Bin quasi hier nur die Vertretung und hab somit wieder was gelernt =).

Wenn ich das mit den Berechtigungen hier richtig sehe sind für jeden Bereich Gruppen definiert. Ich logg mich als Admin auf dem Terminalserver an und klick mich da bis zu den Berechtigungen durch.

Nun will quasi Person1 die noch keiner direkten Gruppe angehört auf Daten zugreifen die zu einem anderen Bereich gehören.

Jetzt müsste ich also diese Person1 in jede Gruppe(Bereichslokal) eintragen und schon kann Person1 auf alles dort freigegeben zugreifen, ausgenommen die Daten die explizit als Verweigert markiert sind?

Wenn dem so ist versteh ich trotzdem noch nicht den Ablauf so wie er immo nicht funktioniert:

Person1 gehört keiner Gruppe an, somit gibts noch nix was verweigert wird. Wenn ich nun dieser Person1 das Recht gebe wie ich es im Startpost beschreibe, also explizit Person1 auf einen Ordner setze, müsste diese Person1 doch alles sehen bzw. machen dürfen was die Rechteauswahl her gibt oder? Immer bezogen auf den Startordner und alles was dadrinnen ist.

Es ist die Option gesetzt, das von dem Ordner aus alle Subdirs und Files mit den Rechten genutzt werden dürfen, trotzdem sieht bzw. kann Person1 nur auf die Sachen(Files und Subs) zugreifen bei denen explizit Person1 erneut drinnen steht in den Zugriffsrechten. =(
Bitte warten ..
Mitglied: Kubelkubel
26.08.2009 um 14:36 Uhr
Jetzt müsste ich also diese Person1 in jede
Gruppe(Bereichslokal) eintragen und schon kann Person1 auf alles dort
freigegeben zugreifen, ausgenommen die Daten die explizit als
Verweigert markiert sind?

Freigaben und NTFS-Berechtigungen sind zwei paar schuhe.
Berechtigungen auf "Freigaben "sind allerdings mit NTFS Berechtigungen "verknüpft"
Wenn User1 unter Freigabeberechtigungen (freigegebenr Ordner->rechtklick->freigabe) zum beispiel vollzugriff hat, in den NTFS-Berechtigungen aber nur lesen oder gar Verweigert, bekommt er das restriktivere Recht nur zugesprochen, Netzwerkseitig also lesen oder verweigert.
Wenn User1 unter Freigabeberechtigungen lesen hat, in den NTFS-Berechtigungen aber vollzugriff, bekommt er Netzwerkseitig lesen und auf dateieben vollzugriff!


Person1 gehört keiner Gruppe an, somit gibts noch nix was
verweigert wird. Wenn ich nun dieser Person1 das Recht gebe wie ich es
im Startpost beschreibe, also explizit Person1 auf einen Ordner setze,
müsste diese Person1 doch alles sehen bzw. machen dürfen was
die Rechteauswahl her gibt oder? Immer bezogen auf den Startordner und
alles was dadrinnen ist.

Wie ich gerade schon sagte, hängt von Frei- und NTFS-Berechtigungen ab


Gruß
Bitte warten ..
Mitglied: H41mSh1C0R
26.08.2009 um 14:48 Uhr
ups, ne freigabe nicht.

anmelden als Admin am --> Terminal Server -> Laufwerk -> rechte Maustaste-> Eigenschaften -> Sicherheit -> Gruppen- und Benutzernamen --> Benutzer eintragen und Rechte spezifizieren
Bitte warten ..
Mitglied: Kubelkubel
26.08.2009 um 14:55 Uhr
ja, aber wie greifen die User zu?
Über freigaben auf die Ordner oder oder direkt ?
Bitte warten ..
Mitglied: H41mSh1C0R
26.08.2009 um 15:03 Uhr
Wir halten die Daten via redundantem SAN für alle Nutzer bereit. Wenn ich das richtig verstanden habe:

- alle melden sich an der Domaine an
- werden einenm TS zugeordnet
--> können losarbeiten

Innerhalb der Domaine gibt es verschiedene Abteilungen und jede Abteilung hat Ihre einzelnen Benutzer, ausgenommen Person1(Sekretärin, die gehört in keine Gruppe, aber zur Domaine).

In dem Tab Sicherheit: stehen die Admins, Gruppe2, Gruppe3 und ab und an einzelne Benutzer drinnen, mitunter auch die Sekretärin.

Da für den TS das SAN ein großes Laufwerk ist und der Rest via Netzlaufwerk gemappt wird, ist der Zugriff schon direkt oder?

Sprich ich stell die Rechte ein und dann sollte die Sekretärin auch Zugriff auf diesen Ordner haben oder?
Bitte warten ..
Mitglied: Kubelkubel
26.08.2009 um 15:20 Uhr
Ja, wie gesagt, hängt immer von der Zugriffsrichtung ab.

Also, wenn über Netzwerkfreigaben zugegriffen wird müssen sowohl Freigabe als auch NTFS-Berechtigungen angepasst werden, wenn auf die "lokalen Platten" auf dem Server, also auch SAN-da der Server diese als Lokale Platte SIeht, müssen nur die NTFS-Berechtigungen eingestellt werden.

Wenn du also einen Ordner die NTFS-Berechtigungen lesen für UserGruppe1 vergibst und einer UserGruppe2 das lesen verweigerst, und user1 mitglied beider gruppen ist, wird im der zugriff verweigert.
Wenn du aber bei der selben Konstelation, dem user1 in einem unterordner diese ordners explizit etwas erlaubst, bekommt er den zugriff auf diese datei obwohl im übergeordneten ordner der zugriff verweigert wurde.

Wenn du die ganzen eigenschaften nach unten hin vererbst, hat er trotzdem immer noch zugriff auf diese datei.
Du kannst natürlich auch die vererbung "aufbrechen" in dem du den Hacken aus die "Vererbbaren Berechtigungen des Übergeordneten Ordners übernehmen" rausnimmst.
Du hast dann die möglichkeit die übergeordneten Berechtigungen zu kopieren oder zu leeren und die Möglichkeit die vererbbaren eigenschaften DIESE ORDNERS auf alle unterordner zu vererben.

Neu erstellte Ordner, unterhalb des Ordners auf den du die vererbung deaktiviert hast, erben dann nur noch von dem ordner der die ordnervererbung (des übergeordneten Ordners) deaktiviert hat und nicht mer vom obersten...bzw. vom root
Und ja, alle berechtigungen die du für einzelpersonen Explizit erstellt hast, bleiben.
Bitte warten ..
Mitglied: H41mSh1C0R
26.08.2009 um 17:16 Uhr
danke für die ausführlich erklärung, werde das morgen in angriff nehmen =), wenn ich wieder auf arbeit bin. =)
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Datenbanken
Kleiner Denkfehler in einem social Network (2)

Frage von Yanmai zum Thema Datenbanken ...

Datenbanken
ORACLE - MERGE Abfrage mit Denkfehler? (3)

Frage von Chillministrator zum Thema Datenbanken ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...