6
Reihenfolge der Berechtigungen unter XP Pro
Stand-allone-Installation
Wie ist die Reihenfolge (Hierarchie) bei der Vergabe von Berechtigungen unter XP Pro? Ich möchte folgende Konstellation:
Jetzt das Problem:
Mitglied 1 und Mitglied 2 sind in der Gruppe 1
Mitglied 2 ist auch in Gruppe 2
Zugriff aufs Laufwerk:
(1) Mitglieder der Gruppe 1 und 2
Zugriff auf Ordner:
Ordner 1 (Mitglieder der Gruppe 1 und 2)
Ordner 2 (Mitglieder der Gruppe 2 NICHT)
Danke für eure Hilfe.
- Partitioniertes (4) Laufwerk
- Gruppen: Gruppe1, Gruppe2, ...
- Mitglieder: Mitglied1; Mitglied2, ...
Jetzt das Problem:
Mitglied 1 und Mitglied 2 sind in der Gruppe 1
Mitglied 2 ist auch in Gruppe 2
Zugriff aufs Laufwerk:
(1) Mitglieder der Gruppe 1 und 2
Zugriff auf Ordner:
Ordner 1 (Mitglieder der Gruppe 1 und 2)
Ordner 2 (Mitglieder der Gruppe 2 NICHT)
Was geht vor? Gruppenberechtigung, Einzelberechtigung, verneinende Berechtigung?
Wie ist die Rangordnung der Berechtigungen?
Wie ist die Rangordnung der Berechtigungen?
Danke für eure Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 79976
Url: https://administrator.de/contentid/79976
Printed on: April 25, 2024 at 20:04 o'clock
6 Comments
Latest comment
Hi,
das ist eigentlich ganz einfach.
Verweigern hat vorrang vor Erlauben.
Verweigerungsrechte sollten nur in ausnahmefällen verwendet werden (und niemals auf JEDER).
mfg
andi
das ist eigentlich ganz einfach.
Verweigern hat vorrang vor Erlauben.
Verweigerungsrechte sollten nur in ausnahmefällen verwendet werden (und niemals auf JEDER).
mfg
andi
Und für das Beispiel Ordner 2?
Die Gruppe 2, in der der User2 ist, darf nicht zugreifen. Für den User soll eine Einzelberechtigung eingetragen werden. Hat diese Berechtigung Vorrang vor der Gruppe oder darf er nicht, weil er in Gruppe 2 ist?
Die Gruppe 2, in der der User2 ist, darf nicht zugreifen. Für den User soll eine Einzelberechtigung eingetragen werden. Hat diese Berechtigung Vorrang vor der Gruppe oder darf er nicht, weil er in Gruppe 2 ist?
Genau ... bei NT-Systemen gibt es die Unterscheidung Zugriffsberechtigungen und NTFS-Berechtigungen.
Generell haben NTFS-Rechte (meistens lokal) Vorrang vor Zugriffsrechten (Netzwerk).
Dann folgende Hierarchie (1= höchstes Recht):
1. expliziete Verweigerung ... d.h. selbst wenn ein User einer Gruppe mit Vollzugriff angehört, kann ihm trotzdem dieses Recht explizit verweigert werden
2. Vollzugriff ... d.h. "Gott"-Rechte auf dem laufenden System
Danach folgen abstufend:
Es empfiehlt sich meiner Meinung nach, die Zugriffsrechte d.h. die Rechte für einen Zugriff auf Ressourcen so latent wie möglich zu halten (z.B. Jeder = Vollzugriff). Dann aber die Beschränkungen mit NTFS-Rechten (über GPO's) setzen (z.B. Gruppe Marketing = Lesen und Schreiben).
Sowohl Zugriffrechte als auch NTFS-Rechte werden vom System kumulativ verwendet und dabei gilt dann die restriktivste Berechtigung. (z.B. Zugriffsberechtigung = Vollzugriff und NTFS-Berechtigung = Lesen und Schreiben ... dann gilt effektiv das Recht "Lesen und Schreiben" es ist das restriktivere von beiden).
Meine weitere Empfehlung ist die Ausrichtung der Rechte an die hierarchische Struktur im Unternehmen. (Chef = Vollzugriff , Abteilungen = Lesen, Schreiben, Ändern , Praktikanten = Lesen und Ausführen)
Des Weiteren empfehle ich einschlägige Literatur von Micro (Microsoft Knowledge Base) ... da es verschiedenste Kombo's dieser Rechte gibt. So schließt zu Beispiel das Recht "Schreiben" das Recht "Lesen" mit ein...
Gruß
snBandit
Generell haben NTFS-Rechte (meistens lokal) Vorrang vor Zugriffsrechten (Netzwerk).
Dann folgende Hierarchie (1= höchstes Recht):
1. expliziete Verweigerung ... d.h. selbst wenn ein User einer Gruppe mit Vollzugriff angehört, kann ihm trotzdem dieses Recht explizit verweigert werden
2. Vollzugriff ... d.h. "Gott"-Rechte auf dem laufenden System
Danach folgen abstufend:
- Besitz übernehmen
- Attribute ändern
- Ausführen
- Ändern (Lesen und Schreiben sowie speichern und löschen)
- Lesen und Schreiben
- Lesen
Es empfiehlt sich meiner Meinung nach, die Zugriffsrechte d.h. die Rechte für einen Zugriff auf Ressourcen so latent wie möglich zu halten (z.B. Jeder = Vollzugriff). Dann aber die Beschränkungen mit NTFS-Rechten (über GPO's) setzen (z.B. Gruppe Marketing = Lesen und Schreiben).
Sowohl Zugriffrechte als auch NTFS-Rechte werden vom System kumulativ verwendet und dabei gilt dann die restriktivste Berechtigung. (z.B. Zugriffsberechtigung = Vollzugriff und NTFS-Berechtigung = Lesen und Schreiben ... dann gilt effektiv das Recht "Lesen und Schreiben" es ist das restriktivere von beiden).
Meine weitere Empfehlung ist die Ausrichtung der Rechte an die hierarchische Struktur im Unternehmen. (Chef = Vollzugriff , Abteilungen = Lesen, Schreiben, Ändern , Praktikanten = Lesen und Ausführen)
Des Weiteren empfehle ich einschlägige Literatur von Micro (Microsoft Knowledge Base) ... da es verschiedenste Kombo's dieser Rechte gibt. So schließt zu Beispiel das Recht "Schreiben" das Recht "Lesen" mit ein...
Gruß
snBandit
Berechtigungen auf User haben keine vorrang gegebüber Gruppen. Darüberhinaus, sollten Berechtigungen nur in Ausnahmefällen direkt auf User vergeben werden.
In deinem Beispiel, darf einfach nur die Gruppe 2 nicht in der ACL des Ordner 2 sein (ggf. die Vererbung deaktiveren / brechen).
In deinem Beispiel, darf einfach nur die Gruppe 2 nicht in der ACL des Ordner 2 sein (ggf. die Vererbung deaktiveren / brechen).
Da gibt es viele Möglichkeiten.
Wichtig ist dabei der Unterschied zwischen "keinem Zugriff gewähren" (Du stellst garnichts für die Gruppe/den Benutzer unter Sicherheit ein) und "Zugriff verweigern" (Du stellst "Verweigern" für die Gruppe/den Benutzer unter Sicherheit ein).
Ausserdem Gilt die Regel "Verweigern hat Vorrang vor Zulasssen, aber direktes Recht hat Vorrang vor vererbtem Recht"
A.
Du gibst auf das Gesamte Laufwerk niemandem Berechtigungen.
Auf Ordner 1 erhält Gruppe 1 und Gruppe 2 Zugriff.
Auf Ordner 2 erhält Gruppe 1 Zugriff.
B.
Du gibst auf das Gesamte Laufwerk entsprechende Berechtigungen.
Für Ordner 1 deaktivierst du die Vererbung und gewährst Gruppe 1 und Gruppe 2 Zugriff.
Für Ordner 2 deaktivierst du die Vererbung und gewährst Gruppe 1 Zugriff.
C.
Du gibst auf das Gesamte Laufwerk für Gruppe 1 und 2 Zugriff.
Für Ordner 1 aktivierst du die Vererbung (standard).
Für Ordner 2 deaktivierst du die Vererbung und gewährst du den Zugriff für Gruppe 1.
D.
...
E.
...
Wichtig ist dabei der Unterschied zwischen "keinem Zugriff gewähren" (Du stellst garnichts für die Gruppe/den Benutzer unter Sicherheit ein) und "Zugriff verweigern" (Du stellst "Verweigern" für die Gruppe/den Benutzer unter Sicherheit ein).
Ausserdem Gilt die Regel "Verweigern hat Vorrang vor Zulasssen, aber direktes Recht hat Vorrang vor vererbtem Recht"
A.
Du gibst auf das Gesamte Laufwerk niemandem Berechtigungen.
Auf Ordner 1 erhält Gruppe 1 und Gruppe 2 Zugriff.
Auf Ordner 2 erhält Gruppe 1 Zugriff.
B.
Du gibst auf das Gesamte Laufwerk entsprechende Berechtigungen.
Für Ordner 1 deaktivierst du die Vererbung und gewährst Gruppe 1 und Gruppe 2 Zugriff.
Für Ordner 2 deaktivierst du die Vererbung und gewährst Gruppe 1 Zugriff.
C.
Du gibst auf das Gesamte Laufwerk für Gruppe 1 und 2 Zugriff.
Für Ordner 1 aktivierst du die Vererbung (standard).
Für Ordner 2 deaktivierst du die Vererbung und gewährst du den Zugriff für Gruppe 1.
D.
...
E.
...
Dankeschön euch allen.
Haken drunter weil´s funktioniert.
Haken drunter weil´s funktioniert.
