Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NTFS-Berechtigungen wie richtig setzen?

Frage Microsoft Windows Userverwaltung

Mitglied: AndreasBecker

AndreasBecker (Level 1) - Jetzt verbinden

12.04.2012, aktualisiert 11:23 Uhr, 5706 Aufrufe, 8 Kommentare

Hallo ihr alle,

ich habe da mal eine (evtl.) blöde Frage zu NTFS-Berechtigungen.

Ich habe ein Ordnersystem, das wie folgt lautet:

Kunden\Kunde1\...
Kunden\Kunde2\...
Kunden\Kunde3\...

Momentan hat der "Domäne-Benutzer" (also jeder) Vollzugriff auf alle Ordner. Dies ist jedoch unschön, da es ab und an vorkommt, dass einzelne Kunden-Ordner gelöscht und/oder verschoben werden.

Jetzt ist die Frage... wie schaffe ich es sowohl den hauptordner "Kunden" als auch die einzelnen Unterordner "Kunde1", "Kunde2" etc so zu sichern, dass diese weder gelöscht noch verschoben werden können?

Ich habe bereits etwas herumgetestet (natürlich mit Testordnern) aber bin da irgendwie total verwirrt.
Ich habe zuerst dem Ordner "Kunde1", "Kunde2".. gesagt, er soll keine Berechtigungen mehr erben.
Anschließend habe ich auch dem Hauptordner "Kunden" gesagt, dass er nix erben soll und dann in seinen ACLs gesagt, dass der "Domäne-Benutzer" das Recht "ändern" nicht mehr haben soll.

Nun als stinknormaler User angemeldet und es getestet... an und für sich klappt es. Ich kann Kunden die nicht umbenennen und auch nicht verschieben.
Dann gehe ich in den Ordner rein und kann alles machen, was ich will - ist auch okay so. Nun bearbeite ich jedoch eine Datei, nenne Ordner um udn treibe sonstigen Humbug (als User).

Jetzt gehe ich wieder zum hauptordner und siehe da... ich kann ihn wieder umbenennen?! In den ACLs hat sich aber geändert komischerweise. Also wieterhin kein "ändern"-Recht für den User.. er kann aber alles ändern. Hat es irgendwas damit zu tun, dass er dadrin ne Datei bearbeitet/geändert/umbenannt hat?!

Was wäre die ALternative für mein Vorgehen?

Was mir noch einfällt... ist eine neue Gruppe zu erstellen und dort explizit das ändern/schreiben auf diese Ordner zu verbieten und dort alle User reinzupacken mit ausnahme von 2 oder
3, die das dürfen sollen. Oder gibt es da noch eine bessere Vorgehensweise, die mir jetzt gerade nichte einfällt?
Wobei das Problem, das hier dann auftritt ist, dass Ordner, die in \Kunden\Kunde1 erstllt werden die Rechte vom Ordner oberhalt übernehmen. Von daher müsste derjenige, der die Ordner anlegt dann immer explizit sagen, dass die Vererbung sowie dieses eine "Verbieten"-Recht weg soll?! Ist ja auch nicht das gelbe vom Ei.

Ich hoffe ich habe mich nicht zu verwirrend ausgedrückt und jemand kann mir helfen.

Bei Rückfragen stehe ich gerne zur Verfügung!

Liebe Grüße
AB

Edit:
Habe auch bereits mit den "speziellen Berechtigungen" herumgebastelt aber auch hierrüber bekomme ich das leider nicht hin.
Ich habe dem Hauptordner "Kunden" das erben deaktiviert und anshcließend die Berechtigungen für "Domäne-Benutzer" angepasst. Habe hier diverse Sachen versucht sowohl für "nur diesen Ordner" als auch für "unterordner und dateien" und co. Ich bekomme es aber nicht hin, dass ich:

\Kunden nicht bearbeiten kann
\Kunden\Kunde1\ nicht bearbeiten kann
\Kunden\Kunde2\ nicht bearbeiten kann
hingegen
\Kunden\Kunde1\unterordner\
\Kunden\Kunde1\unterordner\datei.doc
usw bearbeiten, vershcieben, löschen und co. kann.
Mitglied: NetWolf
12.04.2012 um 12:02 Uhr
Moin Moin,

nur mit Domänen-User kannst du das vergessen. Lege Gruppen an und erteile diesen explizit die gewünschten Berechtigungen.
Bedenke, den anderen Usern/Gruppen die Rechte zu nehmen! (außer System/Backup/Admin etc. natürlich)

btw

\Kunden vererben auf \Kunden\Kunde1\
\Kunden vererben auf \Kunden\Kunde2\
weil es doch die gleichen Berechtigungen sind

und
in \Kunden\Kunde1\unterordner\ stellst du doch sowieso die Rechte für die Dateien und Unterordner ein
d.h. für \Kunden\Kunde1\unterordner\datei.doc ist keine zusätzliche Einstellung notwendig

Grüße aus Rostock
Wolfgang
(Netwolf)
Bitte warten ..
Mitglied: AndreasBecker
12.04.2012 um 13:37 Uhr
Hallo NetWolf,

warum kann ich das mit den Domäne-Usern vergessen? Das ist doch genauso eine Gruppe wie jede andere?

Was ich nicht verstehe ist:
wenn ich eine spezielle Berechtigung für Domäne-User anlege die heißt "Löschen -> verweigern" und aktiviere sie "Nur für diesen Ordner" ... bekomme ich zwar vom System die Meldung "Verweigern ist wichtiger als genehmigen bla bla" aber der User kann das Ding dennoch löschen. Aber warum?

Auch wenn ich bei den genehmigungen/verwiegerungen nach logischen Menschenverstand vorgehe... irgendwie scheint Windows da eine andere Logik zu haben.

Ich habe nun diverse Dinge versucht mit und ohne vererbung. Mit verwiegern oder nur wegnehmen der Lösch-Rechte... mit "nur für diesen ordner" oder "ordner & unterordner". Manchmal klappt es, dass ich bei den Ordnern "Zugriff verweigert" bekomme aber dann bekomme ich auch bei den Dtaeien diese Meldung - auch wenn ich wie oben geschrieben nur ordner gewählt habe.

Das ist doch echt nicht wahr... =/

Gruß
AB
Bitte warten ..
Mitglied: NetWolf
12.04.2012 um 14:31 Uhr
Moin Moin,

der Domänen - User ist mir zu schwammig. Klare Gruppen lassen sich besser managen.

Das der User doch löschen kann liegt vermutlich daran, dass er in einer der anderen Gruppen drin ist, die noch Berechtigungen auf den Ordner/Datei haben.

Nur mal so am Rande....du bist auf dem Server angemeldet und veränderst die Freigaben oder die lokalen Rechte dort?

Grüße aus Rostock
Wolfgang
(Netwolf)
Bitte warten ..
Mitglied: AndreasBecker
12.04.2012 um 14:42 Uhr
Hi nochmal,

ich bin an meinem rechner mit Domain-Admin-Rechten angemeldet.
Zeitgleich auf einem Terminal mit User-Rechten.

das mit dem Domain-User stimmt, da gebe ich dir Recht. Aber fürs prinzip sollte das jetzt ja nicht das große Problem darstellen. Zukünftig werde ich das aber mit sicherheit irgendwann ändern!

Ich habe nun irgendwo auf dem Fileserver in einem Dummy-Ordner entsprechende Ordner zum Testen eingerichtet und an den Rechten gespielt udn dies dann über den User-Acc auf dem temrinal getestet. An Freigabe und lokalen Rechten auf dem Server habe ich nichts geändert nur eben die Berechtigungen für diesen einen Unterordner irgendwo auf dem Fileserver, den ich zum Testen angelegt habe.

Andere Gruppen sind nicht da.. es gibt folgende:
- ersteller-besitzer (bin ich als admin-account, der user nicht)
- system
- Domäne-Benutzer (da ist der User drin)
- administrator
- fileserver\benutzer (also lokale ruser auf dem fs, da ist der domain-user auch nicht drin)


Nun zu einer halben Lösung die ich herausgefunden habe:

Siehe hier: https://www.mcseboard.de/windows-server-forum-78/verzeichnis-gegen-loesc ...
Auf Seite 3 ganz unten

Das geht dann in etwa so:

1)
Ordner Kunden:
--- Vererbung deaktivieren
--- Domäne-Benutzer den "Vollzugriff" nehmen
damit verliert diese Gruppe unter den speziellen ber. das Recht "Unterordner und Dateien löschen"

2)
Ordner Kunden\Kunde1
--- Vererbung deaktivieren
--- Spezielle Berechtigung von Domäne-User bearbeiten und "löschen entfernen" dafür "Unterordner und Dateien löschen" hinzufügen

Nun scheint es zu klappen, dass ich Kunde\Kunde1, \Kunde\Kunde2 usw nicht mehr löschen kann aber alles was unten drunter ist schon.

Neues Problem, was sich daraus ergibt:

Ich muss jedem Kundenordner sagen, dass er die 3 Punkte unter 2) machen muss. Bei über 1000 Ordnern nicht händisch praktikabel. Gibt es hier Möglichkeiten?

Was auch evtl. noch unschön ist... man kann nun Ordner wieterhin verschieben, nur, dass sie eben nicht verschwinden. Am neuen Standort wird aber eine Kopie angelegt. Unschn aber am Ende verkraftbar, falls das nicht zu unterbinden ist.

Gruß und jetzt schon vielen Dank für deine Hilfe!
MB
Bitte warten ..
Mitglied: Pjordorf
12.04.2012 um 21:33 Uhr
Hallo,

Zitat von AndreasBecker:
- ersteller-besitzer (bin ich als admin-account, der user nicht)
Ein Benutzer der ein Dokument oder Ordner anlegt ist auch der Besitzer!

man kann nun Ordner wieterhin verschieben
Nein, kann man jetzt nicht mehr denn du schreibst ja weiter

nur, dass sie eben nicht verschwinden. Am neuen Standort wird aber eine Kopie angelegt.
Mach dir doch mal klar was ein Verschieben auf einem Dateisystem tatsächlich ist. Das sind 2 Vorgänge. 1ter ist ein Kopieren und dann folgt als 2tes ein Löschen. Das Löschenh hast du aber verboten, folglich.....

Unschn aber am Ende verkraftbar, falls das nicht zu unterbinden ist.
Ausser das bald keiner mehr weiss was an Duplikate wo gespeichert und was davon aktuell ist.

Und versuche ein Verweigern grundsätzlich zu Vermeiden.

Gruß,
Peter
Bitte warten ..
Mitglied: AndreasBecker
12.04.2012 um 21:39 Uhr
Hallo Pjordorf,

vielen Dank für deinen beitrag.

Wer ein Dokument oder Ordner anlegt ist der Besitzer, da sist klar. Ich habe die Ordner jedoch als Admin angelegt und nicht als User.

Die Tatsache, dass verschieben = kopieren & löschen ist verstehe ich auch, nur sehr schade, dass Windows das so behandelt. Eine spezielle Rechtegruppe diesbezüglich wäre imho schon sinnvoll aber man kann ja nicht alles haben.

Das mit den Duplikaten stört mich ehrlich gesagt eher weniger. Das passiert ja nicht soo oft. Und wenn man mal einen Kundenordner in einem anderen drin sieht kann man sich wenigstens zu 100% sicher sein, dass es ein Duplikat ist und somit gelöscht werdne kann.

Verweigern vermeiden = check.

Bei der Lösung die ich im vorhergehenden Post geschrieben habe ist auch kein verweigern drin. Besteht jetzt nur noch die Frage, wie ich bei über 1000 Ordnern das Vererben deaktiviere und anschließend "Unterordner und Dateien löschen" aktiviere bzw "Löschen" deaktiviere.

Grüße
AB
Bitte warten ..
Mitglied: Pjordorf
12.04.2012 um 21:56 Uhr
Hallo,

Zitat von AndreasBecker:
Wer ein Dokument oder Ordner anlegt ist der Besitzer, da sist klar. Ich habe die Ordner jedoch als Admin angelegt und nicht als User.
Überlege dir ob du den Besitzer nicht evtl. ganz rausnehmen willst. (Spiel das mal durch wenn ein Benutzer einen Ordner / Datei Kopiert)

nur sehr schade, dass Windows das so behandelt.
Das ist keine Sache von Windows.

Eine spezielle Rechtegruppe diesbezüglich wäre imho schon sinnvoll aber man kann ja nicht alles haben.
Hast du doch Kopieren und Löschen. Sind einzeln aufgeführt Aber ich Verstehe dich

Frage, wie ich bei über 1000 Ordnern das Vererben deaktiviere und anschließend "Unterordner und Dateien löschen" aktiviere bzw "Löschen" deaktiviere.
cacls bzw. icacls ist dein Skripting Favorit für Batchen.

Gruß,
Peter
Bitte warten ..
Mitglied: AndreasBecker
12.04.2012 um 22:04 Uhr
Hmm na gut vielen Dank, Peter!

Zu cacls habe ich mir heute Tagsüber kurz angeschaut.. ahbe aber auf die schnelle nicht geblickt wie das mit den "speziellen Berechtigungen" geht bzw. wie man damit die Vererbung deaktiviert.
Werde es aber bei Zeiten nochmal genauer nachschauen.. kann glaube ich nicht so schwer sein.

Grüße,
Andi
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Microsoft
NTFS Berechtigungen - Vererbung (9)

Frage von Bierkasten zum Thema Microsoft ...

Windows Userverwaltung
Berechtigungen für XPS Document Writer per GPO setzen (1)

Frage von Fighter-01 zum Thema Windows Userverwaltung ...

Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...