Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hilfe, User ohne Zugriffsrechte kann auf gesamten Fileserver zugreifen.

Frage Microsoft Windows Server

Mitglied: Kalma73

Kalma73 (Level 1) - Jetzt verbinden

05.04.2013 um 10:20 Uhr, 4950 Aufrufe, 21 Kommentare

Hallo,

System Windows 2008 R2 Server
Client Win 7 Prof. 64 BIT


habe folgendes Problem:

Zugriffsrechte auf freigegebene Ordner


Ich habe in meinem AD mehrere OUs angelegt inclusive lokaler und globaler Sicherheitsgruppen

nehmen wir mal die Gruppe IT

dort sind alle Mitarbeiter der IT Abteilung hinterlegt
2 global Sicherheitsgruppen Admins und Betreuer -> in jeder gruppe sind jeweils die Mitarbeiter eingetragen
2 lokale sicherheitsgruppen IT readandwrite und IT readonly -> in IT readandwrite steckt die IT Admin Gruppe und IT readonly die steckz die Gruppe IT Betreuer


So habe jetzt auf Fileserver folgende Ordnerstrucktur

abteilung -> intern -> "jeweiligen Abteilungen" für mein problem nehme ich mir mal den Ordner "edv" heraus

Folgende rechtevergabe habe ich aufgebaut:

Ordner abteilung
-> freigabe: abteilung$ -> Berechtigung: Administratoren (voll)
-> sicherheit: Administratoren (voll)

Ordner intern:
-> keine freigabe

Ordner edv:
-> freigabe: edv$ -> Berechtigung: Jeder(voll)
-> sicherheit: Administratoren (voll), IT readandwrite (voll), IT readonly (leserechte)

-> In der Statuszeile des Explorer Fensters steht "Freigeben für: IT readandwrite, It readonly, Administrator"

So jetzt zu meinem Problem:
Habe dann mal einen Test User angelegt
-> hat nur Domain Benutzer Rechte und leigt in einer ganz anderen gruppe im AD (Gruppe Alle, diese Gruppe hat noch keine zuweisungen oder berechtigungen)

Habe mich mit User an Win7 Testrechner angemeldet -> Habe dann ein Netzlaufwerk zu edv$ angelegt.

Habe dann doppelt auf das Netzlaufwerk geklickt und ich konnte darauf zugreifen, konnte Ordner und Dateien anlegen und andere sogar löschen.


Das darf doch gar nicht passieren da der User für sowas nun garkeine Rechte hat.


Ich kann meinerseits keinen fehler finden.


Was habe ich was falsch gemacht?!
Habe ich einen Denkfehler?!
Ich das ein Windows 2008 R2 Server BUG?!?!

Bitte hälft mir.

Dank im Voraus

Kalma73

Mitglied: dmc-net
05.04.2013 um 10:27 Uhr
Hiii



Also wenn ich dich richtig verstanden habe, denn hast du wirklich nen Denkfehler.

Wie hast du das Netzlaufwerk angelegt zu edv$ ????

eig durftest du es mit dem nutzer gar nicht. oder haste andere anmeldedaten verwendet ????


Mit freundlichen Grüßen Dimitri
Bitte warten ..
Mitglied: Janni
05.04.2013 um 10:28 Uhr
Moin,

Zitat von Kalma73:

Ordner edv:
-> freigabe: edv$ -> Berechtigung: Jeder(voll)
-> sicherheit: Administratoren (voll), IT readandwrite (voll), IT readonly (leserechte)

Schau Dir einmal Deine Freigabe an .... ist für Jeden frei gegeben, also kann auch "Jeder" die Freigabe sehen und lesen. Das Du auch Ordner anlegen konntest trotz der Sicherheitseinstellungen liegt wahrscheinlich an vererbten Einstellungen.

Grüße,
Janni
Bitte warten ..
Mitglied: keine-ahnung
05.04.2013 um 10:30 Uhr
Moin,

was steht denn in den erweiterten Freigabeeinstellungen drin?

LG, Thomas
Bitte warten ..
Mitglied: StyX82
05.04.2013 um 10:31 Uhr
Normalerweise dürfte bei deinen Einstellungen das Laufwerk nicht verbunden werden und du solltest keine Berechtigung haben Ordner / Dateien anzulegen.

Wie sehen die genauen NTFS-Berechtigungen aus? Ist dort vielleicht der Punkt "Authentifizierte Benutzer" mit drin?

Gruß StyX82
Bitte warten ..
Mitglied: Kalma73
05.04.2013, aktualisiert um 10:55 Uhr
@ Styx
also es sind nochfolgende Sicherheits bzuw NTFS Berechtigungen drin:
Ersteller-Besitzer -> spezielle
SYSTEM -> Vollzugriff
Benutzer -> Ausführe, Lesen

@ keine-ahnung

Freigabe berechtigung
hauptordner abteilung -> Administratoren Vollzugriff
unterordner edv -> jeder (vollzugriff)
Bitte warten ..
Mitglied: Kalma73
05.04.2013 um 10:51 Uhr
bin auf Netzlaufwerk verbinden gegangen
habe \\Servername\edv$ eingeben
hat sich verbunden
Wurden keine seperaten anmeldedaten angefordert
Bitte warten ..
Mitglied: Janni
05.04.2013 um 11:03 Uhr
@ Styx
also es sind nochfolgende Sicherheits bzuw NTFS Berechtigungen drin:
Ersteller-Besitzer -> spezielle
SYSTEM -> Vollzugriff
Benutzer -> Ausführe, Lesen

Also hast Du vererbte Berechtigungen....diese anschauen, bzw. die Vererbung abschalten.


P.S.
Normalerweise dürfte bei deinen Einstellungen das Laufwerk nicht verbunden werden und du solltest keine Berechtigung haben
Ordner / Dateien anzulegen.
Stimmt nicht, da er die Freigabe lesen darf durch die Berechtigung "Jeder" der Freigabe.
Bitte warten ..
Mitglied: Kalma73
05.04.2013 um 11:09 Uhr
wo muss ich nun welche vererbung rausnehmen?

bei Benutzer oder bei Ersteller-Besitzer??
Bitte warten ..
Mitglied: Janni
05.04.2013 um 11:15 Uhr
Unter den erweiterten Sicherheitseinstellungen kannst Du die Vererbung abschalten.
Des Weiteren solltest Du vielleicht einmal alle Sicherheitseinstellungen posten, da so keiner weiß was Du da wirklich drinnen stehen hast .....
Bitte warten ..
Mitglied: Kalma73
05.04.2013 um 11:40 Uhr
sicherheitseinstellungen Ordner "edv"

Ersteller-Besitzer -> spezielle Berechtigungen -> unter Erweitert finde ich ausgegraut Vollzugriff
System -> Vollzugriff bis auf spezielle Berechtigungen
IT readonly -> Lesen,ausführen
IT readandwrite -> Vollzugriff
Administratoren -> Vollzugriff
Besitzer -> spezielle Berechtigungen -> unter Erweitert finde 1x Lesen,Ausführen geerbet von D:/, 1x spezielle -> Daten und Ordner erstellen bzw löschen geerbt von D:/

mehr ist nicht.

Ich muss irgendwie die Einstellung Besitzer loswerden bzw ändern. aber ich komme nicht ran. Bzw wenn ich "vererbbare Berechtigungen des übergeordneten objektes einschliessen" entferne hab eich ja keine zugriffsrechte mehr.
Bitte warten ..
Mitglied: StyX82
05.04.2013 um 11:44 Uhr
P.S.
> Normalerweise dürfte bei deinen Einstellungen das Laufwerk nicht verbunden werden und du solltest keine Berechtigung
haben
> Ordner / Dateien anzulegen.
Stimmt nicht, da er die Freigabe lesen darf durch die Berechtigung "Jeder" der Freigabe.

Vielleicht kann es verbunden werden, sollte aber nichts angezeigt bekommen, da der Benutzer keine Berechtigungen hat den Ordnerinhalt aufzulisten.

Unterschied Freigabeberechtigung und NTFS-Berechtigung!!!
Bitte warten ..
Mitglied: Kalma73
05.04.2013 um 11:49 Uhr
das ist auch meine Meinung.

Wazu habe ich verschiedene Gruppen angelegt und diese in die Sicherheitseinstellungen mit verschiedene Rechten reingepackt.

hätte ja sonst gleich bei Freigabe dort die Berechtigungen für Administratoren, IT readonly und IT readandwrite reinpacken können.
Bitte warten ..
Mitglied: Kalma73
05.04.2013, aktualisiert um 13:08 Uhr
So habe es nun endlich hinbekommen.

Das mit der Vererbung ist ja echt blöd.

Also ich habe folgendes gemacht:

Sicherheitseinstellungen -> erweitert-> Berechtigungen bearbeiten -> hacken bei vererbten Berechtigungen rausgemacht und auf Button Entferen bestätigt -> dann sind alle Sicherheitseinstellungen ausserd ie selbst hinzugefügten weg -> jetzt muss ich die Gruppen "Administratoren", "Ersteller-Besitzer" und "System" wieder manuell mit den Berechtigungen hinzufügen.

Dann habe ich mich mit den Test Account wieder angemeldet. Und Siehe da erkann nichts mehr machen.

So wie ich es haben will.

Kann man irgendwie das dem System klarmachen das man beim erstellen bestimmter Ordner die Vererbung nicht mitnehmen soll.

Weil sonst muss ich den oben beschriebenen Weg bei fast 100 Ordner händisch machen. und das wird ein geklicke (da bekomme ich ja einen Tennis Finger vom vielen Mausklicken )

Kalma73
Bitte warten ..
Mitglied: departure69
05.04.2013 um 13:12 Uhr
Bei Freigaben kannst Du die Rechte an zwei Stellen konfigurieren:

- in den Freígabeberechtigungen
- in den NTFS-Rechten (Dateisystem)

Seit ich damit zu tun habe, gibt dazu jeder "Gelehrte" etwas anderes von sich. Aluhelmträger, Paranoiker, Kontrollfreaks und Leute, die immer alles ganz genau haben und machen wollen, setzen die Rechte bei den Freigabeberechtigungen UND bei NTFS.

Leute wie ich haben in der Freigabe Jeder->Vollzugriff und regeln alles weitere unter NTFS.

Deine letztgenannte Variante, in NTFS alles zu öffnen und Rechte nur in der Freigabe zu regeln, ist selten (mir noch nie begegnet) und meines Erachtens nicht zu empfehlen. Freigabeberechtigungen sind sehr grob (Vollzugriff, Lesen, Schreiben), unter NTFS lassen sich die Berechtigungen deutlich granularer setzen, was ich auch sinnvoll finde (z.B. "Ausführen" verhindern, damit die User in Ihren Homes keine *.exe-Dateien ausführen können, die da drin auch gar nichts verloren haben).

Mach' Dir am besten nochmal grundlegende und gründliche Gedanken, wie Du das Setzen von Berechtigungen in Zukunft generell regeln willst.

Grüße
Bitte warten ..
Mitglied: Janni
05.04.2013, aktualisiert um 13:18 Uhr
Geht doch ....

Kann man irgendwie das dem System klarmachen das man beim erstellen bestimmter Ordner die Vererbung nicht mitnehmen soll.

Ebenfalls bei den erweiterten Sicherheitseinstellungen. Nimm einfach bei dem übergeordneten Ordner den Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten." rauß.

Schönes Wochenende
Bitte warten ..
Mitglied: Kalma73
05.04.2013 um 14:00 Uhr
@ departure

ich mach das doch so

Freigeabe Berechtigungen -> Jeder Vollzugriff
Sicherheitseinstellungen bzw NTFS -> zugriffberechtigungen
Bitte warten ..
Mitglied: departure69
05.04.2013 um 14:33 Uhr
Dann ist's recht.
Bitte warten ..
Mitglied: bastla
05.04.2013 um 19:03 Uhr
Hallo Kalma73!
Sicherheitseinstellungen -> erweitert-> Berechtigungen bearbeiten -> hacken bei vererbten Berechtigungen rausgemacht und auf Button Entferen bestätigt -> dann sind alle Sicherheitseinstellungen ausserd ie selbst hinzugefügten weg -> jetzt muss ich die Gruppen "Administratoren", "Ersteller-Besitzer" und "System" wieder manuell mit den Berechtigungen hinzufügen.
Da Löschen leichter geht als Hinzufügen solltest Du lieber nicht "Entfernen", sondern "Kopieren" wählen und danach die unerwünschte(n) Gruppe(n) entfernen.

Für wirklich viele Ordner, die mit den gleichen Berechtigungen ausgestattet werden sollen, bietet sich natürlich ein Script / Batch mit "icacls" (Beispiel etwa: Setting Permissions from the Command Line) an ...

Grüße
bastla
Bitte warten ..
Mitglied: Kalma73
08.04.2013 um 10:30 Uhr
Danke für eure hilfe.
habs jetzt hinbekommen.


habe da noch so eine Idee, weiss aber nicht obman das realisieren kann.

Also,
ich habe einen Ordner "abteilung" (freigegeben) darunter die verschiedenen abteilungen z.b. vertrieb, einkauf etc.

alle abteilungsordner sind freigegeben mit verschiedenen zugriffsberechtigungen

jetzt habe ich mir gedacht das wenn ich den Ordner "abteilung" bei den verschiednen Mitarbeiter als Netzlaufwerk freigebe, aber wenn ich den Netzlaufwerk öffne der Mitarbeiter nur die verzeichnisse für seine berechtigung angezeigt wird.
also statt z.b. vertrieb, einkauf, verwaltung, edv
nur "vertrieb" und "einkauf" sieht und der Rest für Ihn versteckt ist.

Ist das möglich?

Hoffe ich habs nicht zu kompliziert geschrieben.

Gruß

Kalma
Bitte warten ..
Mitglied: Janni
08.04.2013 um 10:55 Uhr
Moin,

ja das geht auch. Dein Stichwort ist Access-based Enumeration.
Siehe u.A.: http://technet.microsoft.com/de-de/library/dd772681%28v=ws.10%29.aspx

Grüße
Bitte warten ..
Mitglied: Kalma73
08.04.2013 um 11:39 Uhr
So habe mir das mal durchgelesen.
ist echt nicht schlecht.

Aber gibt es in der Version von Win 2008 R2 Server immer noch die eventuellen probleme bei DFS (Distributed File System) bzw. Backup-Anwendungen (rechte für ordnerzugriff) auf?
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
User-ID zu Application Crash

Frage von pablovic zum Thema Windows Server ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows 7
gelöst Automatische User Abmeldung nach Inaktivität (30s) (10)

Frage von IT-Blondi zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...