Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem mit Rechtevergabe in Active-Directory

Frage Microsoft

Mitglied: Userin-Muenchen

Userin-Muenchen (Level 1) - Jetzt verbinden

24.08.2011 um 16:32 Uhr, 3118 Aufrufe, 15 Kommentare

Rechtevergabe greift nicht.

Hallo,

also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.

Die ganzen Hauptordner der 1. Linie wurde Laufwerksbuchstaben zugeordnet. z.B.

S = Beschaffung, da dürfen Gruppe Vorstand, Finanzen, Team und Teilnehmer zugreifen.

Darunter hat es in der nächsten (2.) Ebene noch verschiedene Ordner. z. B.

- Maschinen
- EDV
- Möbel

Auf den EDV-Ordner dürfen aber nur noch die Gruppen: Vorstand, Finanzen und Team zugreifen. Die Teilnehmer nicht mehr.

Nun ist es ja so, dass die Sicherheit vererbt werden kann, jedoch NICHT die sogennannte "Erweiterte Freigabe".
Gut. das heben wir Kapiert.

Obwohl ich bzw. wir (Kollegin und ich kämpfen uns grad durch) die Ordner Maschinen, EDV und Möbel wirklich komplett, mit der Erweiterten Freigabe ergänzt haben und bei EDV die Gruppe Teilnehmer raus haben (sowohl in der Erweiterten Freigabe als auch in der Sicherheit) kann ein Benutzer der Gruppe Teilnehmer IMMER NOCH auf den EDV-Ordner zugreifen. ?????? Anmerkung: Mitgliedschaften der Gruppen und Benutzer und dergl. 1000 mal kontrolliert. Stimmt alles.

Wir verstehen die Welt nicht mehr. Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!

LG
Elke + Kerstin
Mitglied: 60730
24.08.2011 um 16:40 Uhr
moin,

also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.

Klingt spannend, kombinierter Tipp & Denkfehler, oder eine W2k8 Domain?

Wir verstehen die Welt nicht mehr.

Ganz zur Not gibt es ein Recht, das in solchen Fällen immer richtig ist, das Recht - nix zu dürfen. (verweigern)


Mal die Umgebung deiner Frage mal auf, so kann sich doch nur einer mit aktiver Kristallkugel ein Bild machen.

Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!

PS: An eurer beiden Stelle würd ich mir zur Stellenabsicherung mal überlegen, ob eine Schulungsmaßnahme nicht ein Ansatz wäre....

Gruß
Bitte warten ..
Mitglied: Xaero1982
24.08.2011 um 18:02 Uhr
Moin ihr zwei,

um das noch mal aufzudröseln.

Ihr redet nicht vom Active Directory oder? Sondern nur von einer normalen Ordnerstruktur auf dem Server?

Hauptordner - Beschaffung: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - Maschinen: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - EDV: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team.; /Freigaberechte:/ Vorstand, Finanzen, Team
Unterordner - Möbel: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer

Ist das so korrekt?

Eigentlich überflüssig, denn über die erweiterte Freigabe könnt ihr "Jeder" einstellen auf lesen und den Rest über die NTFS Rechte erledigen.

Was ihr noch machen könnt:

Überprüft bitte mal die Berechtigungen (Sicherheit) der einzelnen Ordner von einem Client aus.
Also nehmt euch einen PC, meldet euch als Admin an und checkt die Berechtigungen von dort aus. Musste schon feststellen, dass auf dem Server andere angezeigt worden sind, als auf den Clients (welche letztlich griffen, aber nicht korrekt waren)

VG
Bitte warten ..
Mitglied: 60730
24.08.2011 um 18:58 Uhr
servus Xaero1982,

ich gebs ja zu, die Andeutung mit dem Veweigerungsrecht - damit habe ich angefangen und das ist in Sachen Freigabe/Ordnerrechte schon heftiger Tobak.

Dem "Benutzer" jeder auf der Freigabe irgendwelche Rechte einzuräumen ist dagegen wirklich extrem suboptimal.

Jeder ist Jeder - "wenn" schon, dann sollte man(n)/Frau da die Gruppe Authentifizierte Benutzer reinmalen, aber Jeder................
Wir sind doch Hier im Adminforum und nicht an der Frittenbude

Ich vermute mal, die beiden sind schon bei mspress gewesen oder das Problem hat sich in Luft aufgelöst...

Gruß
Bitte warten ..
Mitglied: bastla
24.08.2011 um 19:19 Uhr
... und wenn ich das richtig verstehe und die einzige Freigabeberechtigung
"Jeder" einstellen auf lesen
sein soll - werden dann die Daten lokal am Server bearbeitet?

Grüße
bastla
Bitte warten ..
Mitglied: Xaero1982
24.08.2011 um 19:24 Uhr
Hi Timo,

ach naja ... vielleicht hab ich sie damit überfordert und verschreckt ... wer weiß Verweigerungsrechte mag ich eh nicht - die überseh ich immer

Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht, oder bin ich da nun falsch abgebogen? Hab ich zumindest letztens erst noch hier gelesen... mit den Authentifizierten Nutzern hast du natürlich recht. Wollte nur klar machen, dass letztlich die Zugriffe nicht über die Freigabe geregelt werden.

Bastla, natürlich nicht, denn wie gesagt geschieht das über die Sicherheitseinstellungen

Ich teste das mal durch

VG
Bitte warten ..
Mitglied: bastla
24.08.2011 um 19:31 Uhr
@Xaero1982
Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht
D'accord, aber: Beim Zugriff über eine Freigabe, die mir nur Leserechte gibt, kann mir keine NTFS-Berechtigung mehr "Schreiben" oder mehr ermöglichen ...

Kurzfassung: Beim Zusammenwirken von Freigabeberechtigungen und Sicherheitseinstellungen zählt das niedrigere Recht.

Grüße
bastla
Bitte warten ..
Mitglied: Xaero1982
24.08.2011 um 19:49 Uhr
@bastla,

scheinbar hast du recht hab mich letztens schon gewundert, als ich das gelesen habe ... würd ich den Thread nur finden

Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.

VG
Bitte warten ..
Mitglied: bastla
24.08.2011 um 19:54 Uhr
@Xaero1982
Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.
Yepp - mit dem angenehmen Nebeneffekt, dass durch die Einschränkung auf "Ändern" dann auch Besitzer von Ordnern keinen Vollzugriff mehr haben ...

Grüße
bastla
Bitte warten ..
Mitglied: Userin-Muenchen
25.08.2011 um 08:44 Uhr
Guten Morgen,
nachdem wir gestern um 7:30 Uhr angefangen haben und wir Nachmittags 30 Grad im Büro hatten, haben wir nach dem Einsetzen dieses Beitrages die Segel gestrichen. Desw. keine Antworten. Sorry.

Also: deine Aufstellung, Xaero1982 ist korrekt.

Wir haben einen neuen Server Windows 2008R2 und dort den Domänenserver mit Active-Directory. Alle Gruppen und Benutzer haben wir im Team eingegeben und eingerichtet. Doppelt kontrolliert.

Die Berechtigung direkt vom Client aus habe ich als Admin gecheckt. Ist definitiv so wie es gehört: auf dem EDV-Ordner ist die Gruppe der Teilnehmer ausgeschlossen.

Anmerkung zu Timo:
Schulung???? das ich nicht lache!!! unter anderem weil diese mir verweigert wurde, hab ich hier auch gekündigt. Hauptsache einen Haufen Geld sparen. Meine Kollegin kämpft weiter, viell. bekommt sie ja irgendwann eine Schulung. Das Edv-Gedöns ist nur unser "Nebenjob", der Abende und WE - ausfüllt (hab Kollegin in den letzten Monaten eingelernt, damit ist sie nun der DvD). Jetzt zur Umstellung ist es halt knackig (76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon"), dann sollte es angeblich von selbst laufen, bei Problemen wird uns von extern geholfen. aber ich bin in 4 wochen weg. Viel Spaß.

Herzlichst
Elke
Bitte warten ..
Mitglied: 60730
25.08.2011 um 10:16 Uhr
moin,

Die Berechtigung direkt vom Client aus habe ich als Admin gecheckt. Ist definitiv so wie es gehört:

Ich mach es mal kurz - wie? Das Klickbunti?
Und dann ist "für mich" als "gelernter" auch eher die Tatsache von interessse, was man auf dem Client als Benutzer sieht.

  • Kennst du xcacls?
  • wirf das mal auf den Baum und poste zur Not die Anzeige - obwohl die3 selbsterklärend ist.

Und wegen den 30° im Büro, die hatten wir auch und trotzdem haben wir uns um dein "Problem" gekümmert.....

Gruß
Bitte warten ..
Mitglied: bastla
25.08.2011 um 10:33 Uhr
... oder schau gleich mal nach, was AccessEnum bzw AccessChk an Info liefern ...

Grüße
bastla
Bitte warten ..
Mitglied: Userin-Muenchen
25.08.2011 um 10:50 Uhr
Hallo,

haben die Lösung gefunden: Windows generiert einen allgemeinen Benutzer der "Benutzer" heißt, und wenn dieser bei der Sicherheit rausgelöscht wird funktionierts, dann darf "Teilnehmer-Gruppe" auch nicht mehr zugreifen. Der darf aber nicht als Rundumschlag bei der Active-Directory Benutzer-Strukturen rausgelöscht werden, sondern eben nur bei der Rechtevergabe der spez. Ordner.

Kleine Lösung bei großem Problem
Danke euch trotzdem,
herzliche Grüße aus München
Bitte warten ..
Mitglied: Xaero1982
25.08.2011 um 11:31 Uhr
Hi,

hach ... na das musst du uns schon sagen, wer außer den genannten den noch Zugriff hat.

Das ist kein Benutzer, sondern eine Benutzergruppe in der alle User der Domäne sind.

Frage dazu:
"76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon""

Sind das individuelle Konfigurationen der einzelnen Clients?
Ansonsten hätte ich euch den WDS Dienst ans Herz gelegt.

VG
Bitte warten ..
Mitglied: Userin-Muenchen
25.08.2011 um 12:42 Uhr
Hi,

ok, fehlendes wichtiges Detail unterschlagen, sorry.

Wir machen die alle richtig platt, und haben einen Master, den wir per Snapshot draufspielen. Dort sind die pauschalen Programme bereits alle drauf. Es geht um so Datails wie:

- eurofibu (einzelplatz, aber Daten auf dem Server abgelegt wegen Sicherung)
- fritzfax (einzelplatz)
- Online-Banking (Einzelplatz)
- PublicSharefolder (muss irgendwo auf einen Server rauf)
- neue pcs - pcs di nur Office2010 tauglich sind und nicht win7
- komplett neue Ordnerstrukturen aufbauen, die alten werden nicht einfach rübergezogen
- PCs tauschen, weil der eine nicht fähig, der andere schon, dann zusätzliche umgeordnete Arbeitsplätze.
und und und...
eigentlich full-time für einen Admin, aber der ist ja zu teuer.

dann geht zwischendrin wieder mal ein switch irgendwo kaputt, oder die Cat5 kabel spinnen und wollen ausgetauscht werden.... ach ja, gott sei dank haben wir in unserer Hauptaufgabe grad ein bisserl ein Sommerloch

es gibt immer wieder überraschungen, und Planänderungen
Herzlichst und noch "gut-schwitz" im Süden,
Elke
Bitte warten ..
Mitglied: Xaero1982
25.08.2011 um 12:46 Uhr
Hi,

hört sich spannend an ...

Aber ich denke ihr seid auf dem richtigen Weg, also weiterhin viel Erfolg und gutes Gelingen

VG
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...