5
Rechte im Dateisystem defekt
hi, ich hab aktuell ein sehr seltsames Problem mit einem Windows 2008R2 Fileshare.
Ich hab da eine Benutzergruppe, die im Share "change" Rechte habern und im Dateisystem haben sie "ordnerinhalte auflisten" und "daten lesen".
Und es gibt einen Benutzer der von einer Spezialsoftware verwendet wird um dann Vollzugriff auf die Dateien zu kriegen.
Dabei hatten wir vererbbare Berechtigungen entfernt und die Berechtigungen neu gesetzt, das hat auch soweit funktionert.... nur daß ein Ordner das nicht angenommen hat.
Von der STruktur sah das in etwa so aus:
\\rechnername\sharename = d:\software\share
An dem d:\software\share Ordner hatten wir die Berechtigungen ersetzt, wie oben beschrieben
Allerdings gelingt es einem User, in EINEM Unterordner doch etwas zu ändern bzw. Dateien zu erzeugen, in den anderen nicht. Er ist Mitglied der "domain users"... und die haben dort "ordnerinhalte auflisten + Daten lesen".
Also hier sind die Rechte so wie sie sein sollen
d:\software\share\root\Projekt1\WO0001
d:\software\share\root\Projekt1\WO0002
d:\software\share\root\Projekt1\WO0003
d:\software\share\root\Projekt1\WO0004
d:\software\share\root\Projekt1\WO0005
Hier hat EIN Benutzer "vollen Zugriff"
d:\software\share\root\Projekt1\WO0006
und hier sind seine Rechte wieder ok.
d:\software\share\root\Projekt1\WO0006
d:\software\share\root\Projekt1\WO0007
d:\software\share\root\Projekt1\WO0008
d:\software\share\root\Projekt1\WO0009
Der User hat laut den Rechte-Check in Windows dort keine Rechte erhalten, er hat den Ordner WO0006 auch nicht erzeugt... wie kriegt man soetwas wieder in Ordnung?
Denn so wie es ist, ist es eine Verletzung der Windows-Rechteverwaltung. Entweder sind die Rechte in dem ORdner vorhanden und werden nicht aufgelistet oder
Ich hab da eine Benutzergruppe, die im Share "change" Rechte habern und im Dateisystem haben sie "ordnerinhalte auflisten" und "daten lesen".
Und es gibt einen Benutzer der von einer Spezialsoftware verwendet wird um dann Vollzugriff auf die Dateien zu kriegen.
Dabei hatten wir vererbbare Berechtigungen entfernt und die Berechtigungen neu gesetzt, das hat auch soweit funktionert.... nur daß ein Ordner das nicht angenommen hat.
Von der STruktur sah das in etwa so aus:
\\rechnername\sharename = d:\software\share
An dem d:\software\share Ordner hatten wir die Berechtigungen ersetzt, wie oben beschrieben
Allerdings gelingt es einem User, in EINEM Unterordner doch etwas zu ändern bzw. Dateien zu erzeugen, in den anderen nicht. Er ist Mitglied der "domain users"... und die haben dort "ordnerinhalte auflisten + Daten lesen".
Also hier sind die Rechte so wie sie sein sollen
d:\software\share\root\Projekt1\WO0001
d:\software\share\root\Projekt1\WO0002
d:\software\share\root\Projekt1\WO0003
d:\software\share\root\Projekt1\WO0004
d:\software\share\root\Projekt1\WO0005
Hier hat EIN Benutzer "vollen Zugriff"
d:\software\share\root\Projekt1\WO0006
und hier sind seine Rechte wieder ok.
d:\software\share\root\Projekt1\WO0006
d:\software\share\root\Projekt1\WO0007
d:\software\share\root\Projekt1\WO0008
d:\software\share\root\Projekt1\WO0009
Der User hat laut den Rechte-Check in Windows dort keine Rechte erhalten, er hat den Ordner WO0006 auch nicht erzeugt... wie kriegt man soetwas wieder in Ordnung?
Denn so wie es ist, ist es eine Verletzung der Windows-Rechteverwaltung. Entweder sind die Rechte in dem ORdner vorhanden und werden nicht aufgelistet oder
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 339416
Url: https://administrator.de/contentid/339416
Printed on: April 19, 2024 at 01:04 o'clock
5 Comments
Latest comment
Hi,
sind "einen Benutzer", "einem User" und "Der User" derselbe?
Vielleicht wäre es besser, wenn Du das Ganze nochmal mit "User A", "User B" usw. skizzierst. Dann wird das für uns eindeutiger.
E.
sind "einen Benutzer", "einem User" und "Der User" derselbe?
Vielleicht wäre es besser, wenn Du das Ganze nochmal mit "User A", "User B" usw. skizzierst. Dann wird das für uns eindeutiger.
Und es gibt einen Benutzer der von einer Spezialsoftware verwendet wird um dann Vollzugriff auf die Dateien zu kriegen.
Eine Spezialsoftware verwenden, um Vollzugriff zu erlangen? Erkläre bitte.E.
das ist ein Dokumentenmanagement Tool, das Dateien ein / auscheckt, und sie führt im Hintergrund einen Kontextswitch zu einem Funktionsbenutzer-Konto durch, das Vollzugriff auf das Verzeichnis in der Freigabe hat. Nachdem die Dateisystemaktion beendet ist, wrid ein Kontextswitch zu dem angemeldeten Benutzer vorgenommen.
Die Idee dahinter ist daß die Benutzer die Dateien nicht direkt dort editieren können wo sie abgelegt sind, sondern daß sie bei einem "Auschecken" geannnten Vorgang eine Kopie nach %temp% kriegen und sie dort dann bearbeiten. Durch die Rechtevergabe können die Benutzer lediglich kontrollieren, ob die Datei schon existiert oder nicht. Sie können sie aber nicht selbst von dort kopieren.
Beim "Einchecken" wird die Datei dann von %temp% wieder an den eigentlichen Pfad zurückkopiert und der Benutzer muß ein paar Kommentarfelder in der Software ausfüllen.
Die Unterverezichnisse WOxxxxx legt die Software selbstständig an (auch dies geschieht mit dem Funktionsbenutzeraccount), wenn jemand in der GUI bestimmte Aktionen macnen, z.B. eine neue Gruppe von Dokumenten anlegt.
p.s. frag mich jetzt aber bitte nicht was %temp% ist...
Die Idee dahinter ist daß die Benutzer die Dateien nicht direkt dort editieren können wo sie abgelegt sind, sondern daß sie bei einem "Auschecken" geannnten Vorgang eine Kopie nach %temp% kriegen und sie dort dann bearbeiten. Durch die Rechtevergabe können die Benutzer lediglich kontrollieren, ob die Datei schon existiert oder nicht. Sie können sie aber nicht selbst von dort kopieren.
Beim "Einchecken" wird die Datei dann von %temp% wieder an den eigentlichen Pfad zurückkopiert und der Benutzer muß ein paar Kommentarfelder in der Software ausfüllen.
Die Unterverezichnisse WOxxxxx legt die Software selbstständig an (auch dies geschieht mit dem Funktionsbenutzeraccount), wenn jemand in der GUI bestimmte Aktionen macnen, z.B. eine neue Gruppe von Dokumenten anlegt.
p.s. frag mich jetzt aber bitte nicht was %temp% ist...
p.s. frag mich jetzt aber bitte nicht was %temp% ist...
Nicht wirklich, oder?
Gut. Und jetzt noch die andere Frage.
Beachte bitte, das sich Rechte einer Datei auch an den Rechten der Ordner orientieren. Wenn eine Datei hin und her kopiert wird, hat das entsprechende Folgen!
