2
NTFS Rechte im AD Vererbung defekt?
Hallo,
ich bin bei uns im System auf ein Phänomen hingewiesen worden, das ich mir leider nicht erklären kann.
Es gibts auf unseren Datenserver ein Verzeichnis unter dem sich Anwendungen befinden
\\server1\Alle
auf dieser Ebene haben Administratoren und Domain-Admin Vollzugriff und Jeder (lesen).
Unterhalb dieses Verzeichnisses befinden sich die Verzeichnise für die Anwendungen . Für jede Anwendung gibt es eine DLS-Anwendungsgruppe (Domain lokale Sicherheitsgruppe)
Obwohl der eine Mitarbeiter werder noch zu den Admins gehört, hat er auf allen Unterverzeichnissen und den Dateien entweder lesen/schreiben/ausführen oder weitere Rechte wie noch Attribute schreiben und Ordner erstellen.
Der Mitarbeiter befindet sich natürlich nicht in der DLS-Anwendungsgruppe über die er die Rechte erhalten haben könnte.
Domänen Controler und Betriebssysteme im AD
3 DC´s mit w2k3 SP 2
Hat jemand bei sich so etwas auch schon mal festgestellt?
DAnke für die Rückantworten und schöne WE
Gruß CuxAdm
ich bin bei uns im System auf ein Phänomen hingewiesen worden, das ich mir leider nicht erklären kann.
Es gibts auf unseren Datenserver ein Verzeichnis unter dem sich Anwendungen befinden
\\server1\Alle
auf dieser Ebene haben Administratoren und Domain-Admin Vollzugriff und Jeder (lesen).
Unterhalb dieses Verzeichnisses befinden sich die Verzeichnise für die Anwendungen . Für jede Anwendung gibt es eine DLS-Anwendungsgruppe (Domain lokale Sicherheitsgruppe)
Obwohl der eine Mitarbeiter werder noch zu den Admins gehört, hat er auf allen Unterverzeichnissen und den Dateien entweder lesen/schreiben/ausführen oder weitere Rechte wie noch Attribute schreiben und Ordner erstellen.
Der Mitarbeiter befindet sich natürlich nicht in der DLS-Anwendungsgruppe über die er die Rechte erhalten haben könnte.
Domänen Controler und Betriebssysteme im AD
3 DC´s mit w2k3 SP 2
Hat jemand bei sich so etwas auch schon mal festgestellt?
DAnke für die Rückantworten und schöne WE
Gruß CuxAdm
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 164208
Url: https://administrator.de/contentid/164208
Printed on: April 18, 2024 at 08:04 o'clock
2 Comments
Latest comment
Hallo CuxAdm
Mit AccessEnum von Sysinternals kannst du dir die Rechte auflisten lassen.
Über den Punkt Effektive Berechtigungen kannst du schauen, welche Berechtigungen der Mitarbeiter tatsächlich hat.
Im Endeffekt muss er in irgendeiner Gruppe sein, die eben die von dir beschriebenen Rechte hat.
Grüße
auf dieser Ebene haben Administratoren und Domain-Admin Vollzugriff und Jeder (lesen).
Hier bitte genauer beschreiben, z.B. was bei "Übernehmen für" steht, also Nur Ordner, oder mit Unterordner, etc.Unterhalb dieses Verzeichnisses befinden sich die Verzeichnise für die Anwendungen . Für jede Anwendung gibt es eine
DLS-Anwendungsgruppe (Domain lokale Sicherheitsgruppe)
Hier ebenfalls genauer beschreibenDLS-Anwendungsgruppe (Domain lokale Sicherheitsgruppe)
Obwohl der eine Mitarbeiter werder noch zu den Admins gehört,
hier fehlt wohl etwas im TextMit AccessEnum von Sysinternals kannst du dir die Rechte auflisten lassen.
Über den Punkt Effektive Berechtigungen kannst du schauen, welche Berechtigungen der Mitarbeiter tatsächlich hat.
Im Endeffekt muss er in irgendeiner Gruppe sein, die eben die von dir beschriebenen Rechte hat.
Grüße
Hallo Connor1980,
nicht vorhandene Rechte werden angeziegt für Ordner und Dateien unterhalb von \\Server1\Alle
z.B \\server1\alle\anwend_xyz \+ den Dateieien darunter.
\\server1\alle\anwend_123\+ den Dateieien darunter
\\server1\alle\anwend_ABC\+ den Dateieien darunter
Wie mir der betroffene Mitarbeiter noch mitteilte, sieht er alle Ordner hat aber keine Schreibrechte und kann die Dateien auch nicht zum lesen öffnen.
Unter dem Punktv Effektive Berechtigung werden diese aber für Ihn angezeigt, Frage mich nur woher??
sollte es heißen:
Obwohl weder der eine Mitarbeiter als auch der andere zu den Admins gehört,
Ich werde die Rechte der User mal mit AccessEnum und DumpSec prüfen .
Danke und Gruß
nicht vorhandene Rechte werden angeziegt für Ordner und Dateien unterhalb von \\Server1\Alle
z.B \\server1\alle\anwend_xyz \+ den Dateieien darunter.
\\server1\alle\anwend_123\+ den Dateieien darunter
\\server1\alle\anwend_ABC\+ den Dateieien darunter
Wie mir der betroffene Mitarbeiter noch mitteilte, sieht er alle Ordner hat aber keine Schreibrechte und kann die Dateien auch nicht zum lesen öffnen.
Unter dem Punktv Effektive Berechtigung werden diese aber für Ihn angezeigt, Frage mich nur woher??
sollte es heißen:
Obwohl weder der eine Mitarbeiter als auch der andere zu den Admins gehört,
Ich werde die Rechte der User mal mit AccessEnum und DumpSec prüfen .
Danke und Gruß
