Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Activ Directory - Vererbung verschwindet bei speziellen Berechtigungen

Mitglied: devnull

devnull (Level 1) - Jetzt verbinden

05.03.2008, aktualisiert 06.03.2008, 6042 Aufrufe, 5 Kommentare

Hallo,

bei der Vorbereitung auf eine Neustrukturierung von Zugriffsberechtigungen stoße ich auf folgendes Problem. Die Zugriffsberechtigung soll eine Flache Struktur bekommen, und möglichst einfach sein.

Geplant ist daher einen Ordner in der 1 Struktur anzulegen, und darunter in der 2 Ebene Abteilungsbezogene Ordner. Eine Vererbung zw. 1-2 findet nicht statt.
Die gesamte Zugriffsberechtigung soll ausschliesslich auf der 2 Ordnerebene abgebildet werden. Unter dem 2 Ordner können die Mitglieder der Abteilungen dann Ordner anlegen, löschen etc. Dazu wird ab dem 2 Ordner alles vererbt.

Problem:

Wenn ich jetz verhindern möchte, das der 2 Ordner (Abteilungsordner) gelöscht wird, dann vergebe ich eine Verweigerung zum Löschen und wende diese nur "auf diesen Ordner" an. Damit wird eine spezielle Berechtigung vergeben.

Nun geht ein User der Gruppe hin, und legt einen Ordner an. Da er damit Besitzer des Ordners ist, kann er auch die Berechtigungen sehen und ändern. Das kann ich m.E. auch nicht verhindern.

Wenn er nun einen Benutzer hinzufügt oder ähnliches, und die Einstellung übernimmt, werden alle anderen vererbten Berechtigungen entfernt.

Wie kann ich das verhindern?
Mitglied: geTuemII
05.03.2008 um 12:51 Uhr
Ordner --> Sicherheit --> Erweitert --> Bearbeiten --> Berechtigungen schreiben

geTuemII
Bitte warten ..
Mitglied: devnull
05.03.2008 um 14:04 Uhr
Hallo,

Du meinst "Berechtigungen ändern"?

Problem ist, das diese Einstellung für den Besitzer nicht gilt. Ich habe es auch mit "Ersteller-Besitzer" etc.. probiert.

Problem wie gesagt auch, da sdurch die speziellen Berechtigungen, die Vererbung nicht durchgängig ist.
Bitte warten ..
Mitglied: datasearch
05.03.2008 um 20:14 Uhr
Warum machst du das nicht wie folgt?

Auf der 2. Ebene markierst du die Abteilungsordner und gibst die Berechtigung "lesen" für die entsprechende Gruppe auf dem normalem Weg. Anschließend fügst du unter Erweitert nochmals die Gruppe hinzu, und gibst die Berechtigung zum erstellen von Ordnern, allerdings mit der Option "nur diesen Ordner". Wenn die Gruppe noch Dateien erstellen darf, das selbe für die Dateien. Zum Schluss fügst du die Gruppe nochmals hinzu und gibst ihr die Berechtigung "ändern", aber nur für "untergeordnete Ordner und Dateien". somit solltest du dein Ziel erreicht haben. Der User der jeweiligen Gruppe darf dann folgendes:

In dem Abteilungsordner selbst:
- Lesen
- Ordner erstellen
- Dateien erstellen

In den Unterordnern der Abteilung (inkl. der Unterordner):
- Ändern (inkl. löschen)

Er darf nun also die hauptordner lesen, darf auch dateien und Ordner erstellen, kann aber den Abteilungsordner nicht löschen. Möchtest du es ganz weit treiben, kannst du die Berechtigung Ändern auch nur für Dateien vergeben und der Gruppe "Ersteller-besitzer" die berechtigung "ändern" auf alle unterordner und dateien geben. Somit kann nur der Ersteller des Ordners diesen löschen, alle können aber alle Dateien ändern und in jedem Ordner neue Unterordner erstellen. Wie weit du das treiben möchtest hängt von dir ab .
Bitte warten ..
Mitglied: devnull
06.03.2008 um 16:08 Uhr
Hallo,

und Danke für Deine Antwort! Im Prinzip hab ich das auch so wie bei Dir beschrieben eingestellt.
Die generelle Frage, die ich mir stelle, ist es überhaupt möglich dem Besitzer eines Objektes das ändern der Berechtigungen zu
verbieten?

Wenn jetzt ein Benutzer unterhalb des Abteilungsordners einen Ordner oder eine Datei anlegt, wir er ja de rBesitzer dieses
Objektes. Und damit kann er die Sicherheitseinstellungen ändern, und neue User/Gruppen hinzufügen oder entfernen. Das würde ich gern verhindern.

Den macht er das, dann wird automatisch die Vererbung aus den Berechtigungen geschmissen.

Grüsse
Bitte warten ..
Mitglied: datasearch
06.03.2008 um 23:05 Uhr
Ungünstigerweise leider nicht. Der Ersteller kann mehr oder weniger alles mit dem Objekt anstellen. Aber was du machen kannst um die Warscheinlichkeit zu minimieren das so etwas passiert, blende den Reiter Sicherheit auf den Clients im Explorer aus. Das jemand cacls verwendet ist ehr unwarscheinlich.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Freigaben, Berechtigung Problem nach Deaktivierung von Vererbung

Frage von opc123Windows Server7 Kommentare

Hallo, ich habe folgendes Problem mit Berechtigungen bei einer Ordner Struktur. Ein Ordner mit darunterliegenden Ordnern sollte geändert werden. ...

Windows Userverwaltung

ACL - Vererbung

gelöst Frage von TlBERlUSWindows Userverwaltung8 Kommentare

Guten Morgen, ich schreibe zur Zeit ein Powershell-Skript, um Berechtigungen zu vergeben. Dabei bin ich entsprechend auf Inheritance-Flags gestoßen. ...

Windows 7

Laufwerksbuchstabe erscheint, verschwindet, erscheint, verschwindet,

gelöst Frage von WirdnochWindows 78 Kommentare

Ein herzliches Hallo an alle! Es geht um einen PC mit Win 7 Pro 64bit Folgende Problematik: Im Windows-Explorer ...

Windows Server

WSUS GPO Vererbung

gelöst Frage von 77282Windows Server10 Kommentare

Hallo zusammen, mal eine Frage: Ein Kunde hat in der Default Domain Policy den WSUS Teil folgender maßen konfiguriert: ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 18 StundenWindows Server4 Kommentare

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 21 StundenHumor (lol)5 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 1 TagSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 1 TagInternet4 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Hardware
Frage an Kenner von 5,25 Zoll Laufwerken
Frage von DerWoWussteHardware53 Kommentare

Moin Kollegen. Hier wird gerade im Archiv gewühlt und 5,25 Zoll Disketten ("2S/HD", 96TPI) sollen eingelesen werden. Ich habe ...

Windows Tools
Dateiname Automatisch auf PDF Klartext oder als Barcode abdrucken
Frage von spongebob24Windows Tools26 Kommentare

Hallo Zusammen, habe eine tolle Anforderung bekommen. Ich sollte auf mehrere PDF Dateien Automatisch einen Stempel anbringen lassen. Toll ...

Datenbanken
PHP Fatal error: Uncaught Error: Call to undefined function oci connect
gelöst Frage von PlanitecXDatenbanken22 Kommentare

Hallo Zusammen, ich sitze seit Tagen am Problem das ich keine PHP Anwendung mit Anbindung zu Oracle zum laufen ...

Internet
SDSL oder ADSL - Preis-Leistungs-Verhältnis
Frage von ZeppelinInternet20 Kommentare

Wehrte Community, der Unterschied dieser beiden Techniken ist recht einfach erklärt. Das S, steht für Synchron (Gleich) und das ...