Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

keine Rechte als Administrator mehr auf Verzeichnis

Frage Microsoft Windows Server

Mitglied: Telefisch

Telefisch (Level 1) - Jetzt verbinden

17.06.2008, aktualisiert 18.06.2008, 4767 Aufrufe, 9 Kommentare

...nach Domänenumstellung und Ordnerumleitung

Hallo Ihr Wissenden...
Ich hab meinen Server als AD-Server umgestellt und mittels Ordnerumleitung (Gruppenrichtlinie) einige "Eigene Dateien" Ordner anlegen lassen.
Lustigerweise habe ich jetzt selbst als Administrator keine! Rechte mehr auf diesen Verzeichnissen. Ich kann auch den Besitz nicht mehr an mich reissen...
Die Struktur sieht folgendermaßen aus:
Auf'm Server: D:\home\UserName\Eigene Dateien
den Ordner Username kann ich noch öffnen, bei Eigene Dateien gehts dann nicht mehr weiter.
Am Anfang hatte ich den Usern exclusive Rechte auf ihren Verzeichnissen eingeräumt. Das war vermutlich der Grund für diese Rechtevergabe. Aber wie bekomme ich jetzt die Rechte zurück?
Mein Problem ist eigentlich, dass die User zeitgleich mit einer Intranetsoftware auf ihre Verzeichnisse zugreifen können und hier wird natürlich nur der Internetdienst als User zugreifen.
Wenn ich schon als Admin keine Rechte hab, wird der IIS das auch net mehr haben.

Also meine Fragen:
1. Wie bekomme ich die Rechte zurück?
2. Wie sollten die Rechte der verschiedenen Verzeichnisse eingestellt sein, damit die Ordner möglichst sicher sind?

Bin für jeden Tip dankbar.
Mit freundlichen Grüßen
Carsten
Mitglied: Jochem
17.06.2008 um 09:22 Uhr
Moin,
du mußt bei den Rechten eine "Etage" höher einsteigen, also nicht erst auf \eigene dateien sondern bei \username\eigene dateien und von da aus als Admin den Besitz übernehmen, inclusive der Unterordner und Dateien. Danach kannst Du dann wieder die Rechte einschränken auf die Benutzer, die Zugriff haben sollen.
Am einfachsten (und übersichtlichsten) legst Du Gruppen an, in die die berechtigten Benutzer kommen und diese Gruppen berechtigst Du dann an den Ordnern. Also auf \home eine Gruppe mit dem Internetdienst und eine Gruppe mit den berechtigten Usern, alle mit Vererbung nach unten. In den abhängigen Verzeichnissen schließt Du dann die Usergruppe wieder aus und berechtigst nur den einzelnen User.

Gruß J chem
Bitte warten ..
Mitglied: Telefisch
17.06.2008 um 09:45 Uhr
Hallo Jochem...
danke für die schnelle Antwort.
So, den Besitz hab ich wieder...
Was macht denn der Domain-Controller, wenn er nen neuen User anlegt?
Welche Rechte vergibt er, wenn die Benutzer in der OU keine Exclusiven Rechte haben?
Muss ich das bei jedem neuen User manuell anpassen?
Bitte warten ..
Mitglied: Jochem
17.06.2008 um 14:52 Uhr
Moin,
der DC macht diesbezüglich gar nix. Du als Admin legst für die Verzeichnisse/Ordner die Berechtigungen fest, und sobald neue Verzeichnisse/Ordner angelegt werden, erhalten diese die Berechtigungen, die in der übergeordneten Hierarchiestufe vergeben wurden.

Du nimmst Deine User in globale Gruppen auf. Diese globalen Gruppen schiebst Du in eine lokale Gruppe. Und die lokale Gruppe berechtigst Du an den Verzeichnissen/Ordnern.
Kommt jetzt ein neuer User hinzu, wird der in die entsprechende globale Gruppe aufgenommen und der Rest erledigt sich von selbst.

Gruß J chem
Bitte warten ..
Mitglied: Telefisch
17.06.2008 um 17:08 Uhr
hmm...
Dann hätte aber jeder in der Gruppe Zugang zu den Eigenen Dateien des Anderen.
Im Moment hab ich es so gelöst, dass ich jeden User einzeln auf seinem Verzeichnis Vollzugriff gewährt habe.
Ich denke dass ich das Verzeichnis zwar verstecken kann (User$) aber manche meiner Kollegen finden das schnell raus und könnten dann doch direkt auf die Kollegenverzeichnisse oder?
Was bringt denn die lokale Gruppe? Ich könnte doch direkt die Globale Gruppe berechtigen...
Sorry falls meine Gedanken etwas daneben sind aber ich stehe im Moment noch etwas auf Kriegsfuß mit den Rechten ...

Danke
Bitte warten ..
Mitglied: Jochem
18.06.2008 um 07:57 Uhr
Moin,
Rechte sollten nur lokal vergeben werden, daher immer der Weg: User in globale Gruppe, globale Gruppe in lokale Gruppe, lokale Gruppe mit Rechten versehen, lokale Gruppe an Ordner berechtigen.

Wie überall im Leben hast Du auch bei der Rechtevergabe in Windows zwei Möglichkeiten: Du arbeitest mit dem System oder aber gegen das System. Mit dem System ist wie oben beschrieben, gegen das System ist Dein bisheriger Weg.
Innerhalb einr Firma arbeiten doch wohl alle Mitarbeiter für die Firma und das, was sie an speicherbaren Daten erzeugen, sind generell "Firmendaten". Insoweit ist die speicherungstechnische "Privatspahäre" nicht gegeben, also warum müssen die Mitarbeiter gegeneinander abgeschottet sein? Ich kann nachvollziehen, daß die Buchhaltung andere Sicherheitskriterien anwenden muß, als der Versand oder die Warenwirtschaft, aber innerhalb der Gruppe dürften doch wohl alle "gleich" behandelt werden.
Wenn es bei Dir anders läuft, dann hast Du bzw. die Firma ein Problem: der Automatismus wird ausgehebelt und Du darfst alle Einstellungen "mit der Hand am Arm machen". Da sind rechtetechnische Lücken geradezu vorprogrammiert.

Wie hast Du denn die User überhaupt gruppiert bzw. wie sieht der Aufbau der Firma aus? Vielleicht solltest Du da mal ansetzen und Überlegungen anstellen, wie man diese Struktur rechtetechnisch umsetzen kann.
Wenn es nicht anders lösbar ist, mußt Du halt die Vererbung von Gruppenrechten am "privaten" Ordner der Mitarbeiter beenden und dort nur den eigentlichen User berechtigen. Das ist aber, wie gesagt, IMHO EDV zu Fuß.

Gruß J chem
Bitte warten ..
Mitglied: Telefisch
18.06.2008 um 08:18 Uhr
Hmm...
grundsätzlich gebe ich Dir Recht, innerhalb einer Firma gibt es keine wirkliche Privatsphäre aber....
Ich denke Du musst Dein Bild etwas überdenken. Es geht hier nicht darum Geheimnisse den Anderen gegenüber zu haben sondern um die Sicherheit, dass "meine" Daten auch nur von mir bearbeitet werden können. Das hat bei uns was mit Verantwortung zu tun. Meine Kollegen haben ihre eigenen Passwörter, damit jeder sicher sein kann, wenn Mitarbeiter A unter dem Dokument steht, hat auch Mitarbeiter A die letzte Änderung durchgeführt (unsere CAD-Softwaren machen das alle automatisch am Login fest). Das gleiche Thema hab ich auch bei Dokumenten, wo nicht automatisch der letzte Bearbeiter eingetragen wird. Diese Dokumente müssen dann sicher sein (wenn man das möchte...).
Das Gesetz schreibt der Geschäftsleitung vor, keine Mitarbeiter zu beschnüffeln (Desktop-Recorder etc). Da kann es ja wohl kaum sein, dass alle anderen in Daten schnüffeln dürfen wie sie grade Lust haben.
Aber egal, dann muss ich halt manuell die Rechte vergeben.

Was meine erdachte Struktur angeht:
Es gibt Mitarbeiter der Geschäftsleitung
Es gibt MAs die mit CAD-Software A arbeiten
Es gibt MAs die mit CAD-Software B arbeiten
Es gibt MAs die mit CAD-Software C arbeiten

Für jede Software gibts eine Gruppe, samt freigegebener share
Zusätzlich eine Gruppe mit share für "Gemainsame Daten" (Projektverzeichnisse, Kundenverzeichnisse etc)
und eine Gruppe, samt share für die GL

jeder, der eine der Softwaren beherrscht (A,B oder C) oder auch alle, kommt in die entsprechende Gruppe. So kann kein unerfahrener etwas kaputt machen (es gibt machmal auch Leihpersonal).
jeder Firmeninterne MA kommt an die "Gemeinsamen" Daten.
Die GL kommt an alle shares

Die Shares werden automatisch per script zugewiesen.

Ich habe am Server halt einfach für jede share eine Gruppe erzeugt und die Gruppen entsprechend mit den MAs verknüpft.
Ist das jetzt lokal oder Global?
Ist das ein brauchbare Modell?
Bitte warten ..
Mitglied: Jochem
18.06.2008 um 09:29 Uhr
Moin,
tja, das Problem "meine Daten bearbeite nur ich" haben wir hier nicht. Alleine die Vertretungsregelung macht da schon einen Strich durch die Rechnung. Aber seis drum.

Grundsätzlich macht Deine Aufteilung Sinn. Die Einteilung, ob globale oder lokale Gruppe legst Du bei der Erstellung der Gruppe im AD fest.

Gruß J chem
Bitte warten ..
Mitglied: Telefisch
18.06.2008 um 09:34 Uhr
Ok, stimmt... das hatte ich.
Ich hab die Gruppen im Moment auf Global stehen.
Das Bedeutet doch im Grunde, dass diese Gruppe an allen weiteren PDCs dieser Domain auch gelten würden (Wenn wir noch welche hätten ) oder?

Danke für Deine Gedult

Gruß Carsten
Bitte warten ..
Mitglied: Jochem
18.06.2008 um 10:31 Uhr
Moin,
jep, die Globalen Gruppen gelten domänenweit.

BTW: Ab W2K gibt es keine Unterscheidung mehr zwischen PDC und BDC. Es gibt nur noch einen DC, alle weiteren Server sind diesem untergeordnet.

Gruß J chem
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...