12
Administrator ist Mitglied der Gruppe Domänen-Benutzer?
Hallo
Ich bin gerade auf den Umstand gestoßen, dass der Administrator Mitglied der Sicherheitsgruppe Domänen-Benutzer ist.
Das Problem, ich möchte Rechte in Ordnern setzten und teilweise in den unteren Strukturen aufheben.
Jetzt habe ich die Rechte in den Unterordnern so geregelt, dass die Gruppe Domänen-Benutzer bestimmte Rechte nicht besitzen... Na ja, nur gilt das auch für den Admin weil er teil der selben Gruppe ist.
Sinn ist es die Vererbung nicht aufzuheben um bei späteren Änderungen der Berechtigung kein Stein in den Weg zu legen.
Kann ich den Administrator aus der Gruppe Domänen-Benutzer raus nehmen ohne das ich mir ein Ei lege und damit am Server was nicht funktioniert?
Dennis
Ich bin gerade auf den Umstand gestoßen, dass der Administrator Mitglied der Sicherheitsgruppe Domänen-Benutzer ist.
Das Problem, ich möchte Rechte in Ordnern setzten und teilweise in den unteren Strukturen aufheben.
Jetzt habe ich die Rechte in den Unterordnern so geregelt, dass die Gruppe Domänen-Benutzer bestimmte Rechte nicht besitzen... Na ja, nur gilt das auch für den Admin weil er teil der selben Gruppe ist.
Sinn ist es die Vererbung nicht aufzuheben um bei späteren Änderungen der Berechtigung kein Stein in den Weg zu legen.
Kann ich den Administrator aus der Gruppe Domänen-Benutzer raus nehmen ohne das ich mir ein Ei lege und damit am Server was nicht funktioniert?
Dennis
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 289210
Url: https://administrator.de/contentid/289210
Printed on: April 16, 2024 at 21:04 o'clock
12 Comments
Latest comment
Moin.
Arbeitest Du denn überhaupt mit Verweigerungen? Musst Du nicht und dann hast Du auch kein Problem. Soll eine Gruppe ein Recht nicht besitzen, erteile Ihr es schlicht nicht - verweigern muss man nicht dazu benutzen, gibt nur Probleme.
Arbeitest Du denn überhaupt mit Verweigerungen? Musst Du nicht und dann hast Du auch kein Problem. Soll eine Gruppe ein Recht nicht besitzen, erteile Ihr es schlicht nicht - verweigern muss man nicht dazu benutzen, gibt nur Probleme.
Hallo
Na ja, dazu müsste ich die Vererbung aufheben. Das zieht wieder andere Probleme mit sich.
Die Ordnerstruktur wird eine Vorlage und soll mit dem Inhalt und den gesetzten Berechtigungen immer wieder kopiert werden.
Dennis
Na ja, dazu müsste ich die Vererbung aufheben. Das zieht wieder andere Probleme mit sich.
Die Ordnerstruktur wird eine Vorlage und soll mit dem Inhalt und den gesetzten Berechtigungen immer wieder kopiert werden.
Dennis
Das Einzige was mir noch einfällt wäre die Gruppe Domänen-Benutzer nicht zu verwenden. Das würde jedoch bedeuten jeden neuen Mitarbeiter manuell in eine bestimmte Gruppe aufzunehmen und somit mit den Zugriffen verweigern zu arbeiten.
Auf verweigern habe ich auch keine Lust mir fällt aber nichts anderes ein
Auf verweigern habe ich auch keine Lust mir fällt aber nichts anderes ein
Moin,
2 Tipps aus der Praxis:
1. Verwende keine Rechte-Verweigerung. Das beißt dich früher oder später wieder in den Hintern
2. Vernwende die Domain-User Gruppe nicht für (NTFS-)Berechtigungen. Spätestens wenn du User hast die generell nicht aufs Fileshare sollen, hast du ein Problem.
/EDIT: Und zu deiner eigentlichen Frage: Das kannst nur du Beantworten! nur Du weist (solltest wissen
) wo welche gruppe Berechtigungen hat. Zu dem Thema gabs auch kprzlich hier nen tghread.
lg,
Slainte
2 Tipps aus der Praxis:
1. Verwende keine Rechte-Verweigerung. Das beißt dich früher oder später wieder in den Hintern
2. Vernwende die Domain-User Gruppe nicht für (NTFS-)Berechtigungen. Spätestens wenn du User hast die generell nicht aufs Fileshare sollen, hast du ein Problem.
/EDIT: Und zu deiner eigentlichen Frage: Das kannst nur du Beantworten! nur Du weist (solltest wissen
) wo welche gruppe Berechtigungen hat. Zu dem Thema gabs auch kprzlich hier nen tghread.lg,
Slainte
Das der Administrator in der Gruppe Domänen-Benutzer enthalten ist, war mir nicht klar. Das ist scheinbar normal, weil ich das bei anderen Systemen auch so sehen kann.
Also lieber finger weg und den Admin in der Gruppe belassen?
Also lieber finger weg und den Admin in der Gruppe belassen?
Moin maxpoint,
ich würde es so lösen:
Du wirst um die Zuordnung der neuen User zu bestimmten Gruppen nicht herum kommen, wenn du sinnvoll und strukturiert arbeiten willst. Schließlich kriegt jeder neue Mitarbeiter ja auch sein eigenes Login, seinen Schlüssel, seine Berufskleidung. Dafür hast du es später leichter, wenn sich etwas ändert oder die Struktur etwas differenzierter wird.
Man kann sich die Arbeit etwas erleichtern, indem man sich Vorlagen für Benutzer erstellt, die man dann einfach kopiert. Da werden die Gruppenmitgliedschaften auch übernommen.
Viele Grüße
kleinerbub
ich würde es so lösen:
- Gruppe erstellen, in der alle Benutzer Mitglied sind, die momentan Domänen-Benutzer sind (bis auf den Admin, wenn du den raus haben möchtest)
- dieser Gruppe Zugriff auf deinen Ordner geben
- wenn nötig weiter unten in der Hierarchie die Vererbung aufheben und Rechte anpassen (damit umgehst du das böse "Rechte verweigern")
Du wirst um die Zuordnung der neuen User zu bestimmten Gruppen nicht herum kommen, wenn du sinnvoll und strukturiert arbeiten willst. Schließlich kriegt jeder neue Mitarbeiter ja auch sein eigenes Login, seinen Schlüssel, seine Berufskleidung. Dafür hast du es später leichter, wenn sich etwas ändert oder die Struktur etwas differenzierter wird.
Man kann sich die Arbeit etwas erleichtern, indem man sich Vorlagen für Benutzer erstellt, die man dann einfach kopiert. Da werden die Gruppenmitgliedschaften auch übernommen.
Viele Grüße
kleinerbub
Hi,
jeder Domänen-Benutzer landet standardmäßig in den "Domänen-Benutzern" (Primärgruppe)
Man kann ohne weiters den Administrator aus dieser Gruppe entfernen. Einfach eine andere Gruppe als primäre Gruppe festlegen (z.B. "Domänen-Admins") und dann aus Domänen-Benutzer entfernen.
Jedoch: In Anlehnung dessen, was @sliantemath schon schrieb:
Erstell Dir eine Kopie des Administrators. Diese entfernst Du aus "Domänen-Benutzer" und verwendest Du zukünftig für Deine administrativen Aufgaben. So musst den nicht am BuliIn-Administrator rumbasteln.
@dww
Verweigerungen sind was Feines! Man muss sich nur ein vernünftiges Berechtigungskonzept erarbeiten.
E.
jeder Domänen-Benutzer landet standardmäßig in den "Domänen-Benutzern" (Primärgruppe)
Man kann ohne weiters den Administrator aus dieser Gruppe entfernen. Einfach eine andere Gruppe als primäre Gruppe festlegen (z.B. "Domänen-Admins") und dann aus Domänen-Benutzer entfernen.
Jedoch: In Anlehnung dessen, was @sliantemath schon schrieb:
Erstell Dir eine Kopie des Administrators. Diese entfernst Du aus "Domänen-Benutzer" und verwendest Du zukünftig für Deine administrativen Aufgaben. So musst den nicht am BuliIn-Administrator rumbasteln.
@dww
Verweigerungen sind was Feines! Man muss sich nur ein vernünftiges Berechtigungskonzept erarbeiten.
E.
Was könnte denn geschehen wenn ich den Admin aus der Gruppe nehme? Ich glaub ich werde das mal testen auf einer VM
Was könnte denn geschehen wenn ich den Admin aus der Gruppe nehme?
Das ihm Rechte fehlen, wenn der/die Server, Serverdienste oder das Filesystem komisch konfiguriert wurde. Aber die Frage kannst nur du beantworten, da der Domain-Admin (bzw. die Domain-Admin Gruppe) eh elle Rechte hat die auch die Domain-Benutzer haben.Ich glaub ich werde das mal testen auf einer VM
Wird dir in Hinsicht auf den/die Server der "echten" Domäne nichts bringen.da der Domain-Admin (bzw. die Domain-Admin Gruppe) eh alle Rechte hat die auch die Domain-Benutzer haben.
Äh, sorry. Aber das stimmt so nicht.Es mag so sein, dass z.B. standardmäßig die Domänen-Admins Mitglied der Administratoren eines Member-Computers sind und Domänen-Benutzer standardmäßig Mitglied der Benutzer eines Member-Computers sind und das deshalb ein Domänen-Admin auf einem Member-Computer standardmäßig min. alle Privilegien hat, welche auch die Benutzer haben. Deshalb muss er aber nicht überall dort, wo die Benutzer Zugriffsrechte haben (z.B. im NTFS oder in Datenbanken) auch diese Rechte haben oder gar mehr davon.
@emeriks
Im Prinzip hast du recht. Allerdings sind das - wie bereits mehrmals geschrieben - dann Begebenheit die nur der TO kennen kann.
Belässt man am Client und Server alles bei den Standard-Einstellungen und Mitgliedschaften, dann treffen meine Aussagen schon zu Nachdem beim TO immer noch aktiv mit dem Administrator gearbeitet wird (sonst würde die Frage ja gar nicht auftauchten), bin ich mal davon ausgegangen das die Defaults auch unverändert geblieben sind.
Im Prinzip hast du recht. Allerdings sind das - wie bereits mehrmals geschrieben - dann Begebenheit die nur der TO kennen kann.
Belässt man am Client und Server alles bei den Standard-Einstellungen und Mitgliedschaften, dann treffen meine Aussagen schon zu
Nachdem beim TO immer noch aktiv mit dem Administrator gearbeitet wird (sonst würde die Frage ja gar nicht auftauchten), bin ich mal davon ausgegangen das die Defaults auch unverändert geblieben sind.
so ist es, keine Änderungen am System bezüglich der Dienste usw.
Standard nach MS
Standard nach MS
