Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu NTFS-Rechten

Frage Microsoft Windows Server

Mitglied: Maik87

Maik87 (Level 2) - Jetzt verbinden

25.02.2011 um 11:55 Uhr, 4870 Aufrufe, 20 Kommentare

Hallo zusammen,
zunächst mal Sorry für die Überschrift. Ich weiß leider nicht, wie ich mein Problem kurz beschreiben soll.

Also hier die lange Version:
Ich habe einen Ordner im Netz freigegen, nennen wir ihn mal root.

Root hat folgende Rechte:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Lesen, Diesen Ordner

In Root sind Unterordner mit folgenden Berechtigungen:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Ändern, Unterordner, Dateien

So, in Root selbst kann niemand was fuschen, außer der Admin - Richtig so!
In den Unterordnern kann auch so gearbeitet werden wie es soll - Richtig so!

Einziges Problem:
Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!
Die User sollen IN den Unterordnern tun und lassen können was sie wollen, aber im Rootordner haben sie rein GARNICHTS zu verändern!

Wie genau setz ich das um??
Mitglied: -s-v-o-
25.02.2011 um 12:01 Uhr
Tach auch

Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!

Dann musst du auf dem Root-Ordner den Benutzern das -erstellen,löschen- zusätzlich VERWEIGERN

Mit freundlichen Grüßen
-s-v-o-
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 12:06 Uhr
Mit Verweigern ist aber leider der Admin auch in den Hintern gekniffen, weil er auch als User in Gruppen steckt, die von dem Verweigern betroffen sind.

Gehts also noch anders?
Bitte warten ..
Mitglied: -s-v-o-
25.02.2011 um 12:12 Uhr
Tach nochmal

Du musst ja auch nur bei den Benutzern - Nur dieser Ordner verweigern.

Sollte so aussehen

Root:
Admin
- Vollzugriff

Benutzer - Nur dieser Ordner
- Auflisten - ja
- Lesen,Ausführen - ja
- löschen - verweigern
- erstellen - verweigern

Domäne Benutzer - Nur Unterordner und Dateien
- Auflisten - ja
- Lesen,Ausführen - ja
- schreiben - ja
- ändern - ja

Achtung, nicht Domäne Benutzer sondern Benutzer.
Wenn du den "Domäne Benutzer" nimmst dann schließt das den "Admin" ein.

Mit freundlichen Grüßen
-s-v-o-
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 12:20 Uhr
Hey,
danke aber ich glaub das ist nochnicht das was ich suche.

Fehlt wohl noch ein wenig Hintergrundwissen:
Der Administrator den ich als solchen bezeichne ist kein Domänenadministrator. Er ist nur Admin für diesen Share und die ihm zugeteilten Workstations. Ansonsten ist er ganz normaler Benutzer, der auch in Gruppen im AD steckt, die hier von dem Verweigerungsrecht angesprochen werden. Aus den Gruppen nehmen geht leider nicht, weil er auf anderen Shares (wo er kein Admin ist) damit Zugriff erhält.

Ich meinte mit "Benutze" auch nicht eien fertige Gruppe etc die so heißt, sondern allgemein meine Leute hier. Diese stecken in Gruppen, mit denen ich die Sache regeln will.

Also fassen wir mal zusammen:
Gruppe Administratoren: User 1
Gruppe Abteilung 1: User 1, User 2, User 3
Gruppe Abteilung 2: User 1, User 4
Gruppe Abteilung 3: User 3, User 6

Jetzt sollen halt die Mitglieder der Gruppe Administratoren alles dürfen und die anderen nur in den Unterordnern arbeiten. Wenn ich nun Gruppe Abteilung 1 verweigere, dann ist User 1 machtlos.
Bitte warten ..
Mitglied: Urlicht
25.02.2011 um 12:29 Uhr
Dein Hauptproblem ist die Vererbung an untergeordnete Ordner. Diese hebst Du über Eigenschaften, Sicherheit, Erweiutert auf, indem Du das Häkchen zur Vererbung entfernst. Danach kannst Du für untergeordenete Ordner eigene Rechte einrichten. Hoffe, das wars, was Du wolltest.
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 12:37 Uhr
Wieso ist das mein Hauptproblem? Die Vererbung hab ich schon angepasst. Läuft auch soweit alles wie es soll. Frage ist nur, wie kann ich in Root (Bis dahin haben alle Gruppen außer Administratoren nur Leserechte) das Löschrecht des Ordners abschalten, IN dem die das Schreibrecht haben? In Root kann jeder bis auf die Admins nur lesen. Ich berechtige einen Unterordner mit Ändernrechten. Jetzt können die Benutzer darin arbeiten. Aber sie könne auch diesen Ordner löschen, obwohl er in Root liegt und sie in Root nur Leserechte haben, verstehste? Umbennen hingegen können sie ihn nicht.
Bitte warten ..
Mitglied: -s-v-o-
25.02.2011 um 12:55 Uhr
Tach auch

Wenn ich das richtig verstanden habe bekommst du das so zumindest nicht hin.

Verweigern hat immer höhere Prio wie freigeben, d.h. Du gibt einem user Vollzugriff und parallel
verweigerst du ihm alles dann darf er nichts mehr und genau da liegt das problem.

Ich denke so kannst du das erstmal nicht lösen da der "Admin" Benutzer auch in untergruppen
Mitglied ist.

Mit freundlichen Grüßen
-s-v-o-
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 12:59 Uhr
Ja genau da bin ich auch ;)

Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht kann.

Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Bitte warten ..
Mitglied: Logan000
25.02.2011 um 14:00 Uhr
Moin moin

Zitat von Maik87:
Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht
kann.
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.

Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die
Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Du must im Unterordner (nicht in Root) die Gruppe der User die dort ändern sollen 2x hinzufügen:
1x mit schreiben/Löschen usw. Übernehmen für: Unterordner und Dateien
1x mit ohne Löschen: Übernehmen für: Diesen Ordner

Ich hoffe das hilft dir weiter.

Gruß L.
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 17:49 Uhr
Wie mit ohne löschen?
Wieso zweimal, das geht doch in einen Eintrag?!

Hab ich dann auch das Problem umgangen, dass der Admin teil der Usergruppe ist?
Bitte warten ..
Mitglied: bastla
25.02.2011 um 19:36 Uhr
Hallo Maik87!
Hab ich dann auch das Problem umgangen, dass der Admin teil der Usergruppe ist?
Wo wäre das Problem?

Wenn der "Admin" bestimmte Rechte benötigt, gibst Du ihm die einfach "persönlich" (oder besser der "Administratoren"-Gruppe) ...

Grüße
bastla
Bitte warten ..
Mitglied: Maik87
25.02.2011 um 19:56 Uhr
Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Bitte warten ..
Mitglied: bastla
25.02.2011 um 20:46 Uhr
Hallo Maik87!

Und wo hätte Logan000 eine Verweigerung vorgeschlagen?

Grüße
bastla
Bitte warten ..
Mitglied: 98094
27.02.2011 um 19:38 Uhr
Hier mal eine Erklärung, wie Microsoft sich das mit den Rechten genau vorstellt:

1. Share anlegen und Vollzugriff für authentifizierte Benutzer einrichten(feinere Rechte werden über NTFS eingerichtet)
2. Bitte niemals mit Deny arbeiten. Erhöht die Komplexität und schafft nur Probleme
3. Wichtig ist auf dem Root! (damit es eben auch nicht vererbt wird) den "Ersteller/Besitzer" entfernen. Dieser hat nämlich immer Vollzugriff auf die von ihm erstellen Ressourcen
4. für jeden Berechtigungstyp pro Ressource eine Gruppe anlegen: für "Ändern" z.B. Gr_Pfad_md; für "Lesen und Ausführen" z.B. "GR_Pfad_r"
5. in diese Gruppen die zu berechtigenden Personen und oder Gruppen einfügen

Wenn man jetzt mehrere Ebenen in Verzeichnisbaum hat und weiter unten Berechtigungen anders sein sollen, dann Berechtigt man die User die weiter unten Ändernrechte haben sollen, damit sie sich überhaupt zu dem Pfad durchbrowsen können mit Listrechten. Am besten vergibt man die Listrechte der explizit angelegt "Ändergruppe"

Ich hoffe das hilft.

Viele Grüße, Thomas
www.aikux.com
Bitte warten ..
Mitglied: Logan000
28.02.2011 um 13:05 Uhr
Moin Moin

Zitat von Maik87:
Wie mit ohne löschen?
Wieso zweimal, das geht doch in einen Eintrag?!
Eben nicht.

Wenn Du für einen Unterordner (z.B. Root\Abteilung1) einer Gruppe (z.B. Abteilung1) einfach nur Lesen/Schreiben Rechte vergiebst beziehen dise sich auch auf den Ordner selbst.
Du musst schon über die Schaltfläche Erweitert die Rechte bearbeiten und dabei die Auswahl Übernehmen für beachten.
Und hier wählst du 1x für die Gruppe Abteilung1 Lesen und schreiben Übernehmen für: Unterordner und Dateien.
und ein weiteresmal für die Gruppe Abteilung1 Lesen Übernehmen für diesen Ordner.
Jetzt taucht deine Gruppe Abteilung1 in den erweiterten Sicherheitseinstellungen 2x auf.

Jetzt kannst du für deinen "Share Admin" (oder für eine Gruppe "ShareAdmin") gerne erweiterte Rechte setzen ohne ihn aus der Gruppe Abteilung1 entfernen zu müssen.

Zitat von Maik87:
Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Zitat von Logan000:
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.
Damit hast du übrigens ein schönes Bsp. dafür geschaffen, warum es vernünftig ist, auf "Verweigern" Rechte zu verzichten.

Gruß L.
Bitte warten ..
Mitglied: Maik87
02.03.2011 um 11:28 Uhr
Ich krieg es einfach nicht hin...
Wenn ich es so mache, wie ich es verstehe, dann schaff ich es zwar, dass der Unterordner sicher ist, ich aber auch nicht drin arbeiten kann. Scheinbar wirkt sich dieses "Unterordner udn Dateien" nur auf bereits bestehende Objekte aus. Nicht generell auf den Ordnerinhalt, der noch entstehen kann.
Bitte warten ..
Mitglied: Maik87
02.03.2011 um 12:26 Uhr
Poahr, es läuft =)
Man... Also hier mal meine Zusammenfassung:

Root:
Nur diesen Ordner
Shareadmin: Vollzugriff
Usergruppe: Ordner durchsuchen / Datei ausführen + Ordner auflisten / Daten lesen

Unterordner:
Shareadmin erbt Rechte

Nur diesen Ordner
Usergruppe: Ordner durchsuchen/Datei ausführen + Ordner auflisten/Daten lesen + Datei erstellen /Daten schreiben + Ordner erstellen/Daten anhängen

Nur Unterordner udn Dateien
Ändern


Danke für eure Ausdauer!!

Jetzt aber noch ein Problem:
Rechtekonzept läuft nun sauber bis ein User ein Objekt anlegt. Er ist jetzt Eigentümer des Objekts und hat Vollzugriff. Soll er aber nicht...
Was ist zu tun? Hier kann er wieder meine Berechtigung kaputt machen.
Bitte warten ..
Mitglied: bastla
02.03.2011 um 12:33 Uhr
Hallo Maik87!

Soferne er lokal an dem Rechner arbeitet, kannst Du eigentlich nur (zB regelmäßig per Taskplaner) den Besitz (auf die Administratorengruppe) übernehmen; muss der Zugriff über eine Freigabe erfolgen, kannst Du dort einfach als Freigabeberechtigung nur "Ändern" erlauben ...

Grüße
bastla
Bitte warten ..
Mitglied: Maik87
02.03.2011 um 12:37 Uhr
Danke bastla!
Da ich nur ShareAdmin bin und nicht lokal am Server arbeiten kann, werde ich mich mal mit dem Serverbetreiber in Verbindung setzen. Ich meld mich, sobald ich mehr weiß!!
Bitte warten ..
Mitglied: Maik87
15.03.2011 um 09:59 Uhr
Geht geht geht!!

Danke Jungs!!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst HP Switches - Frage zu Spanning Tree bzw. Loop Back Protection (12)

Frage von chfran zum Thema LAN, WAN, Wireless ...

Hyper-V
Grundsatz Frage Anbindung Hyper V Hosts ans Netzwerk (7)

Frage von Eifeladmin zum Thema Hyper-V ...

Windows Netzwerk
gelöst Frage zu den Netzwerkfreigaben mit Bild (8)

Frage von M.Marz zum Thema Windows Netzwerk ...

Router & Routing
gelöst PfSense, Routing-Frage (10)

Frage von mrserious73 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...