Activ Directory - Vererbung verschwindet bei speziellen Berechtigungen
Hallo,
bei der Vorbereitung auf eine Neustrukturierung von Zugriffsberechtigungen stoße ich auf folgendes Problem. Die Zugriffsberechtigung soll eine Flache Struktur bekommen, und möglichst einfach sein.
Geplant ist daher einen Ordner in der 1 Struktur anzulegen, und darunter in der 2 Ebene Abteilungsbezogene Ordner. Eine Vererbung zw. 1-2 findet nicht statt.
Die gesamte Zugriffsberechtigung soll ausschliesslich auf der 2 Ordnerebene abgebildet werden. Unter dem 2 Ordner können die Mitglieder der Abteilungen dann Ordner anlegen, löschen etc. Dazu wird ab dem 2 Ordner alles vererbt.
Problem:
Wenn ich jetz verhindern möchte, das der 2 Ordner (Abteilungsordner) gelöscht wird, dann vergebe ich eine Verweigerung zum Löschen und wende diese nur "auf diesen Ordner" an. Damit wird eine spezielle Berechtigung vergeben.
Nun geht ein User der Gruppe hin, und legt einen Ordner an. Da er damit Besitzer des Ordners ist, kann er auch die Berechtigungen sehen und ändern. Das kann ich m.E. auch nicht verhindern.
Wenn er nun einen Benutzer hinzufügt oder ähnliches, und die Einstellung übernimmt, werden alle anderen vererbten Berechtigungen entfernt.
Wie kann ich das verhindern?
bei der Vorbereitung auf eine Neustrukturierung von Zugriffsberechtigungen stoße ich auf folgendes Problem. Die Zugriffsberechtigung soll eine Flache Struktur bekommen, und möglichst einfach sein.
Geplant ist daher einen Ordner in der 1 Struktur anzulegen, und darunter in der 2 Ebene Abteilungsbezogene Ordner. Eine Vererbung zw. 1-2 findet nicht statt.
Die gesamte Zugriffsberechtigung soll ausschliesslich auf der 2 Ordnerebene abgebildet werden. Unter dem 2 Ordner können die Mitglieder der Abteilungen dann Ordner anlegen, löschen etc. Dazu wird ab dem 2 Ordner alles vererbt.
Problem:
Wenn ich jetz verhindern möchte, das der 2 Ordner (Abteilungsordner) gelöscht wird, dann vergebe ich eine Verweigerung zum Löschen und wende diese nur "auf diesen Ordner" an. Damit wird eine spezielle Berechtigung vergeben.
Nun geht ein User der Gruppe hin, und legt einen Ordner an. Da er damit Besitzer des Ordners ist, kann er auch die Berechtigungen sehen und ändern. Das kann ich m.E. auch nicht verhindern.
Wenn er nun einen Benutzer hinzufügt oder ähnliches, und die Einstellung übernimmt, werden alle anderen vererbten Berechtigungen entfernt.
Wie kann ich das verhindern?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82374
Url: https://administrator.de/forum/activ-directory-vererbung-verschwindet-bei-speziellen-berechtigungen-82374.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
5 Kommentare
Neuester Kommentar
Warum machst du das nicht wie folgt?
Auf der 2. Ebene markierst du die Abteilungsordner und gibst die Berechtigung "lesen" für die entsprechende Gruppe auf dem normalem Weg. Anschließend fügst du unter Erweitert nochmals die Gruppe hinzu, und gibst die Berechtigung zum erstellen von Ordnern, allerdings mit der Option "nur diesen Ordner". Wenn die Gruppe noch Dateien erstellen darf, das selbe für die Dateien. Zum Schluss fügst du die Gruppe nochmals hinzu und gibst ihr die Berechtigung "ändern", aber nur für "untergeordnete Ordner und Dateien". somit solltest du dein Ziel erreicht haben. Der User der jeweiligen Gruppe darf dann folgendes:
In dem Abteilungsordner selbst:
- Lesen
- Ordner erstellen
- Dateien erstellen
In den Unterordnern der Abteilung (inkl. der Unterordner):
- Ändern (inkl. löschen)
Er darf nun also die hauptordner lesen, darf auch dateien und Ordner erstellen, kann aber den Abteilungsordner nicht löschen. Möchtest du es ganz weit treiben, kannst du die Berechtigung Ändern auch nur für Dateien vergeben und der Gruppe "Ersteller-besitzer" die berechtigung "ändern" auf alle unterordner und dateien geben. Somit kann nur der Ersteller des Ordners diesen löschen, alle können aber alle Dateien ändern und in jedem Ordner neue Unterordner erstellen. Wie weit du das treiben möchtest hängt von dir ab .
Auf der 2. Ebene markierst du die Abteilungsordner und gibst die Berechtigung "lesen" für die entsprechende Gruppe auf dem normalem Weg. Anschließend fügst du unter Erweitert nochmals die Gruppe hinzu, und gibst die Berechtigung zum erstellen von Ordnern, allerdings mit der Option "nur diesen Ordner". Wenn die Gruppe noch Dateien erstellen darf, das selbe für die Dateien. Zum Schluss fügst du die Gruppe nochmals hinzu und gibst ihr die Berechtigung "ändern", aber nur für "untergeordnete Ordner und Dateien". somit solltest du dein Ziel erreicht haben. Der User der jeweiligen Gruppe darf dann folgendes:
In dem Abteilungsordner selbst:
- Lesen
- Ordner erstellen
- Dateien erstellen
In den Unterordnern der Abteilung (inkl. der Unterordner):
- Ändern (inkl. löschen)
Er darf nun also die hauptordner lesen, darf auch dateien und Ordner erstellen, kann aber den Abteilungsordner nicht löschen. Möchtest du es ganz weit treiben, kannst du die Berechtigung Ändern auch nur für Dateien vergeben und der Gruppe "Ersteller-besitzer" die berechtigung "ändern" auf alle unterordner und dateien geben. Somit kann nur der Ersteller des Ordners diesen löschen, alle können aber alle Dateien ändern und in jedem Ordner neue Unterordner erstellen. Wie weit du das treiben möchtest hängt von dir ab .
Ungünstigerweise leider nicht. Der Ersteller kann mehr oder weniger alles mit dem Objekt anstellen. Aber was du machen kannst um die Warscheinlichkeit zu minimieren das so etwas passiert, blende den Reiter Sicherheit auf den Clients im Explorer aus. Das jemand cacls verwendet ist ehr unwarscheinlich.