Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Rechtevergeben: Unberechtigter User wird automatisch Besitzer?

Frage Microsoft

Mitglied: daerb

daerb (Level 1) - Jetzt verbinden

16.05.2006, aktualisiert 19.05.2006, 5822 Aufrufe, 9 Kommentare

Hallo
Ich habe auf einem "Server"- PC in unserer Domäne eine Freigabe "test" erstellt.
mit folgenden rechten:
-Jeder : überall Häkchen bis auf Vollzugriff.
-Lokale Administratorgruppe: Vollzugriff
sonst ist nichts definiert.

Ich habe eine Batch-Datei erstellt, welche einem user einen persöndlichen Ordner anelgen sollte auf den nur er und die lokalen Admins zugreiffen können.
folgendes ist der Code der Batch-Datei
@Echo off
if exist \\chbnpasw106\test\%username% goto next


mkdir \\chbnpasw106\test\%UserName%

\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /G Administratoren:F /Y
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /E /G %username%:F
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /E /R Administrator

Echo Persoenlicher Ordner wurde erstellt.

:next

if exist R: goto nexte
net use R: \\chbnpasw106\test\uspsfllb02
Echo Netzlaufwerk R wurde verbunden (Persoenlicher Ordner)
:nexte
pause


Es werden auf den ordnern automatisch mit hilfe der xcacls die rechte gesetzt.
zwar sind wiederum die lokalen admins mit vollzugriff und der entsprechende user mit vollzugriff definiert.

nun irgendwie habe ich das gefühl ich mache das total falsch...

wie muss ich da was beachten, bei der rechtevergabe?
was muss ich beim ordner test beachten und was bei den unterordnern die ich erstelle?
Mitglied: Atti58
16.05.2006 um 14:23 Uhr
Du solltest auf dem übergeordneten Ordner der Gruppe "Jeder" nur "Lesen" und "liste Verzeichnisse" Berechtigungen geben und die Gruppe "Jeder" dann aus den Berechtigungen des neu erstellten Ordners "%USERNAME%" herausnehmen,

Gruß

Atti.
Bitte warten ..
Mitglied: Metzger-MCP
16.05.2006 um 16:48 Uhr
Ich meine du kannst nicht über eine Netzfreigabe wie oben Rechte administrieren.
Das geht nur lokal an dem Server oder über einen Terminalservice auf der Kiste.
Des weiteren schümpft sich der Befehl cacls nicht xcacls ausser der Befehl kommt
aus dem Resourcekit was ich auf anhieb nicht weis.

Liegt die xcacls.exe in dem Ordner \\chbnpasw106\test\ ? wenn nein geht es nicht.

\\chbnpasw106\test\%username% /G Administratoren:F /y

/y -> kenne ich nicht

\\chbnpasw106\test\%username% /E /R administrator

nicht nötig da ja schon alle Rechte überschrieben / gelöscht wurden.

net use R: \\chbnpasw106\test\uspsfllb02

-> sollen alle User dieses Verzeichnis "uspsfllb02" als persönlichen Ordner gemappt bekommen ?

Ich würde dir empfehlen ganz anders vor zu gehen.

Als erstes würde ich die Ordner bei der Usereinrichtung gleich mit erstellen lassen.
Da gibt es dann keine Rechte ? Probleme und alles ist fertig . Falls das versäumt wurde, würde ich auf dem Server ein Verzeichnis erstellen ( Home ), und dort alle Verzeichnisse der User erstellen. ( Das geht vielleicht auch per Batch Datei ) Nun solltest du die NTFS Rechte für den Admingruppe durchvererben. Im Anschluß würde ich dann auch mit cacls.exe die Berechtigungen der User setzen.
Tipp in Stichpunkten dazu

Dir /b > user.txt, user.txt in Excel importieren
Spalte a nach b verschieben und nach d kopieren.
In a eintragen cacls.exe ?
In b sollten User sein,
In c ? /E /G
In d sollten wieder User sein,
In e :F

Spalte a,c,e nach unten ausfüllen und in txt exportieren. Umbenennen in rechte.bat und in dem Ordner Home ausführen. Rechte stichpunktartig überprüfen.

Zum Schluß sollte man aber in einem Anmeldescripte die Laufwerke mappen. Das Scripte wird im AD in der Userverwaltung eingetragen und ist eigentlich eine Batchdatei mit der Endung cmd. In der solltest du folgende Zeilen einarbeiten.

@ECHO ON
NET USE * /D /Y
NET USE H: \\servername\Home\%Username%

Beachte aber das NT4 Clients keine Maps auf Ordner in Freigaben machen können, das geht erst ab 2000, sonst mußt da die Ordner selber freigeben. Sonst sehen alle User alle Verzeichnisse können aber nur bei sich rein.

Fertig

Mit freundlichen Grüßen Metzger
Bitte warten ..
Mitglied: daerb
17.05.2006 um 11:37 Uhr
administratoren wäre die gruppe gewesen die ich hinzugefügt habe.

danke vielmals für den tip mit excel. werde es jetzt so machen.
melde mich nochmals , wenn ich es geschafft, oder eben nicht geschafft habe.
Bitte warten ..
Mitglied: daerb
17.05.2006 um 14:35 Uhr
okay, das erstellen der batch datei ging bereits mal gut.
sie lief durch. erstellte die ordner. und setzte die berechtigungen für die gruppe administratoren und für den jeweiligen user.

dennoch kann ich mit einem total anderen user von einem anderen pc auf diese ordner zugreiffen...

immer noch das gleiche problem.
der user der eigentlich nicht zugreiffen dürfte, wird automatisch als besitzer eingetragen...
warum das?
was könnten die Gründe sein?
Bitte warten ..
Mitglied: Metzger-MCP
17.05.2006 um 15:27 Uhr
hm gehe mal in dein Verzeichnis hinein und lasse dir mal mit cacls die Berechtigungsstruckturen angezeigen.

In meinem Beispiel mit den Unterverzeichnissen 1,2

E:\123>
E:\123\1>
E:\123\2>

E:\123>cacls 1

E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
JederOI)(CI)F
NT-AUTORITÄT\SYSTEMOI)(CI)F

hier hat jeder Vollzugriff ( Administratoren, Jeder, System )

Ich nehme an das es bei dir fast genau so aussieht. Desweiteren nehme ich an, das du vergessen hast, alle User/Gruppen aus der NTFS Struckturen zu nehmen. Ich gebe es ja zu, im oberen Teil erwähnt zu haben, aber es nicht expliziet es in die Batchdatei mit eingepflegt zu haben .

Mit E:\123>cacls * /G administratoren:F kannst du das nachholen.
Setze das mal anhand eines Verzeichnises schritweise um.
E:\123>cacls 1 /G administratoren:F

Sind Sie sicher (J/N)?j
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
E:\123>cacls 1 /E /G 1:R
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
VN6430\1OI)(CI)R
E:\123>cacls 1 /E /G 2:F
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
VN6430\1OI)(CI)R
VN6430\2OI)(CI)F
Dabei können eigentlich keine User Berechtigungen bekommen die du nicht expliziet gegeben hast.

P.S

mit /T werden auch die Unterverzeichnisse mit berücksichtigt.

Mit freundlichen Grüßen Metzger
Bitte warten ..
Mitglied: daerb
17.05.2006 um 15:54 Uhr
also bei mir sieht das so aus

D:\test\U500069 VORDEFINIERT\AdministratorenOI)(IO)F
VORDEFINIERT\AdministratorenCI)F
SPS\u500069OI)(IO)F
SPS\u500069CI)F

sollte doch so klappen oder?
ich kann aber immernoch zugreiffen mit einem anderen user...
er wird dann zwar nciht in der berechtigung aufgeführt, aber e wird wie gesagt, automatisch besitzer des ordners, obwohl der benutzer mit dem ich zugreiffe absolut nichts mit dem ordner zu tun hat......
Bitte warten ..
Mitglied: Metzger-MCP
18.05.2006 um 11:22 Uhr
hm das ist interressant. Auf dem Ordner

D:\test\U500069

hast du die Gruppe der Administratoren 2mal definiert. Ich denke da wurde die
Rechte der NTFSEBENE vererbt und gleichzeitig auch kopiert.

VORDEFINIERT\AdministratorenOI)(IO)F
VORDEFINIERT\AdministratorenCI)F

CI Diesen Ordner und Unterordner
(OI)(IO) Nur Dateien

Das gleiche gilt auch für die User / Gruppe u500069 vom Rechner / Domaine SPS

SPS\u500069OI)(IO)F
SPS\u500069CI)F


sollte doch so klappen oder?
eigentlich ja

ich kann aber immernoch zugreiffen mit einem anderen user...
hat der vielleicht adminrechte ?

er wird dann zwar nciht in der berechtigung
aufgeführt, aber e wird wie gesagt,
automatisch besitzer des ordners, obwohl der
benutzer mit dem ich zugreife absolut nichts
mit dem ordner zu tun hat......

Besitzer eines Ordners / einer Datei ist der der sie erstellt hat. Oder der der
Ihren Besitz übernehmen kann.

Schaue mal nach wie es mit den Berechtigungen innerhalb der Ordner an.
Du kannst dazu cacls nehmen oder auch folgende Methode.

Re. Maus auf Ordner, Eigenschalften, Sicherheit, Erweitert.

Dort stehen alle kopierten Rechte, vererbte Rechte, ... Schaue mal da ob
hier ""fehlerhafte"" Einträge vorhanden sind, über die die User Rechte
bekommen. Alternative kannst du natürlich auch folgendes machen

Re. Maus auf Haupt-Ordner( Test ) , Eigenschalften, Sicherheit, Erweitert.
Haken Raus bei Berechtigungne übergeordneter ... , Kopieren, alle
Berechtigungseinträge entfernen außer Administratoren. Die bearbeiten
so das die Vollzugriff haben. Jeder sollte die Berechtigung Ordner auflisten
haben, Berechtigungen für... Hacken setzen, übernehmen, ok. GGF. sollten
auch der Besitz übernommen werden. Jetzt sollte keiner mehr Zugriff darauf
haben ausser die Admins. Nun sollte im weiteren Verlauf die
Berechtigungssetz.bat noch mal ausgeführt werden.

P.S. auf welchen Order wurde den die Freigabe gesetzt ? Die müssen meines
wissens nach alle von Hand erstellt werden.

Mit freundlichen Grüßen Metzger
Bitte warten ..
Mitglied: daerb
18.05.2006 um 15:24 Uhr
aaaalso,
ich habe jetzt nochmals alles durchgecheckt udn habe gemerkt das ich nicht mit der gruppe administratoren arbeiten darf. also habe ich einfach nur den admin genommen.
das mit dem zugriff klappt jetzt wunderbar. ich kann nur auf meinen persönlichen ordner zugreifen. wenn ich auf einen fremden ordner gehe, dor bei sicherheit - erweiter -effektive rechte prüfe gibt es kein häkchen, allerdings kann ich dennoch einfach dan den berechtigungen des ordners herumspielen....
wie kann ich das jetzt noch verhindern?
Bitte warten ..
Mitglied: Metzger-MCP
19.05.2006 um 09:39 Uhr
übernimmt er die dann auch ? Denke nicht sonst hast du aber ein seltsames Serverding vorort !

Notfalls kannst du da auch bei sicherheit - erweiter - bearbeiten die "Berechtigungen ... " entfernen und ggf auch die "Attribute ..." entfernen.

Das mit der Gruppe der Administratoren kann ich nicht nachfolziehen. Bei mir klappte das immer einwandfrei ... naja.

Mit freundlichen Grüßen Metzger
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
User-ID zu Application Crash

Frage von pablovic zum Thema Windows Server ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...