19
Benutzer hat Zugriff auf Freigabe win Server 2012 trotz verweigern
Hallo zusammen,
ich habe ein komisches Phänomen:
Server 2012
Windows 10 client
Order wie üblich als Basisordner zugeweisen. \\server\%username% Laufwerk H
Administratoren und Domämnenbenutzer.
Ein User hat nun komischerweise Zugriff auf einige andere Basisordner.
\\server\user1 soll
\\server\user3 soll nicht
\\server\user2 soll nicht
\\server\user4 soll nicht
Der user mit dem unerwünschten Zugriff ist kein Mitglied der Admingruppe. Vererbung ist deaktiviert.
Nun bin ich sogar hingegangen und habe in der Freigabe gesagt OK, Ordner von User2 gib frei und verweigere Vollzugriff., also alles verweigern. Trotzdem hat der user1 Zugriff auf den Ordner.
Selbiges bei den anderen Ordnern.
Zugriff auf die Freigabe haben Administratoren, Backupuser, der jeweilige user und der Chef.
In den Ereignisanzeigen steht nichts relevantes drin.
Wie kann das? Irgendeine Idee?
Gruß
tsunami
ich habe ein komisches Phänomen:
Server 2012
Windows 10 client
Order wie üblich als Basisordner zugeweisen. \\server\%username% Laufwerk H
Administratoren und Domämnenbenutzer.
Ein User hat nun komischerweise Zugriff auf einige andere Basisordner.
\\server\user1 soll
\\server\user3 soll nicht
\\server\user2 soll nicht
\\server\user4 soll nicht
Der user mit dem unerwünschten Zugriff ist kein Mitglied der Admingruppe. Vererbung ist deaktiviert.
Nun bin ich sogar hingegangen und habe in der Freigabe gesagt OK, Ordner von User2 gib frei und verweigere Vollzugriff., also alles verweigern. Trotzdem hat der user1 Zugriff auf den Ordner.
Selbiges bei den anderen Ordnern.
Zugriff auf die Freigabe haben Administratoren, Backupuser, der jeweilige user und der Chef.
In den Ereignisanzeigen steht nichts relevantes drin.
Wie kann das? Irgendeine Idee?
Gruß
tsunami
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 529305
Url: https://administrator.de/contentid/529305
Printed on: April 23, 2024 at 17:04 o'clock
19 Comments
Latest comment
Da steht als effektiver Zugriff gang klar, dass sie nichts darf. Trotzdem gehe ich in den Explorer, Server-> Freigaben und komme in den ordner!
Hi,
Du hast für jeden Benutzer eine eigene Freigabe erstellt? Langeweile?
Und redest Du sicher von Freigabe-Berechtigungen und nicht etwa von NTFS-Berechtigungen? Weil bei Freigabe-Berechtigungen gibt es keine Vererbung, welche Du erwähnst.
E.
Du hast für jeden Benutzer eine eigene Freigabe erstellt? Langeweile?
Und redest Du sicher von Freigabe-Berechtigungen und nicht etwa von NTFS-Berechtigungen? Weil bei Freigabe-Berechtigungen gibt es keine Vererbung, welche Du erwähnst.
E.
Moin 
Ich habe erst einmal die Idee, dass Dein Design ein wenig merkwürdig ist. Und dann habe ich mal die Frage, ob Du den Benutzer auch ab- und anmeldest.
Nee... Das ist nicht üblich. Damals unter Windows NT kam das System nicht damit klar, wenn man versucht hat einen Unterordner in einer Freigabe als Laufwerk zu verbinden. Für jeden Benutzer eine eigene Freigabe ist doch ein wenig mehr als notwendig. \\sever\<freigabe>\%username% funktioniert seit Windows 2000...
Ich habe den Eindruck, Du bastelst da ein wenig an Stellen herum, an denen man nicht basteln muss. Erstelle einmal die Freigabe und wenn Du den Pfad in das Benutzerprofil einträgst, wird automatisch der Ordner mit den passenden Rechten erstellt. Btw. macht es m.E. heute mehr Sinn, den persönlichen Ordner durch einer Umleitungsrichtlinie auf den Standardordnern einzurichten und auf den Homeordner im Benutzerprofil zu verzichten.
Ich hoffe, Ihr habt auch eine entsprechende Klausel zur ausschließlichen dienstlichen Nutzung in den Arbeitsverträgen? Ich bin kein Anwalt, aber wenn in den Verträgen nicht explizit die private Nutzung ausgeschlossen wird, ist der Zugriff auf private Bereiche für den Arbeitgeber normalerweise tabu. Private Ordner des Benutzer sind also normalerweise auch privat und der Arbeitgeber hat da nichts drin verloren.
Gruß
Hubert
Wie kann das? Irgendeine Idee?
Ich habe erst einmal die Idee, dass Dein Design ein wenig merkwürdig ist. Und dann habe ich mal die Frage, ob Du den Benutzer auch ab- und anmeldest.
Order wie üblich als Basisordner zugeweisen. \\server\%username% Laufwerk H
Nee... Das ist nicht üblich. Damals unter Windows NT kam das System nicht damit klar, wenn man versucht hat einen Unterordner in einer Freigabe als Laufwerk zu verbinden. Für jeden Benutzer eine eigene Freigabe ist doch ein wenig mehr als notwendig. \\sever\<freigabe>\%username% funktioniert seit Windows 2000...
Ich habe den Eindruck, Du bastelst da ein wenig an Stellen herum, an denen man nicht basteln muss. Erstelle einmal die Freigabe und wenn Du den Pfad in das Benutzerprofil einträgst, wird automatisch der Ordner mit den passenden Rechten erstellt. Btw. macht es m.E. heute mehr Sinn, den persönlichen Ordner durch einer Umleitungsrichtlinie auf den Standardordnern einzurichten und auf den Homeordner im Benutzerprofil zu verzichten.
Zugriff auf die Freigabe haben (...) der jeweilige user und der Chef.
Ich hoffe, Ihr habt auch eine entsprechende Klausel zur ausschließlichen dienstlichen Nutzung in den Arbeitsverträgen? Ich bin kein Anwalt, aber wenn in den Verträgen nicht explizit die private Nutzung ausgeschlossen wird, ist der Zugriff auf private Bereiche für den Arbeitgeber normalerweise tabu. Private Ordner des Benutzer sind also normalerweise auch privat und der Arbeitgeber hat da nichts drin verloren.
Gruß
Hubert
Hallo Tsunami,
Keine Gute Idee. Sowas würde ich mir immer zu 100% schriftlich vom Chef selber genehmigen und vom Betriebsrat absegnen lassen.
Alex
Keine Gute Idee. Sowas würde ich mir immer zu 100% schriftlich vom Chef selber genehmigen und vom Betriebsrat absegnen lassen.
Gruß
tsunami
tsunami
Alex
Hi,
ursprünglich war es so. Also
\\server\homes\%username% Aber genau da trat das geschilderte Problem auf. Da war halt die Idee einer defekten Vererbung oder so.
Wenn ich home freigebe, muss der USer doch Schreibrechte haben, um dort den Basisordner erstellen zu dürfen. Gleichzeitig dürfte er theoretisch auch in Home schreiben, versehentlich oder absichtlich und das will ich vermeiden.
Was meinst Du mit Umleitungsrichtlinie auf den Standardordner?
So erfolgt halt die Aufgabenverteilung. Die rechtiche Seite lass bitte außen vor. Keine Idee zum Phänomen?
Wie kann es sein, dass ich 6 User anlege (zb Meier, Schneider, Schulze, Hoffmann, Mueller, Chef).
Weise den Basisordner zu, gebe diesen jeweils für Chef frei.
Wie kann es da sein, dass Mueller Zugriff auf Chef und Schneider hat? Daraufhin bin ich hingegangen und habe expliziet den Basisordner Chef für Mueller freigegeben und alles verweigert. Der effektive Zugriff ist wie im Anhang auf alles verweigert, kein Zugriff. Trotzdem kannMueller auf Chef zugrefen (Netzwerk -> Server ...)
Gibt es sowas wie scan acl? Gefunden habe ich das nicht.
mfG
tsunami
ursprünglich war es so. Also
\\server\homes\%username% Aber genau da trat das geschilderte Problem auf. Da war halt die Idee einer defekten Vererbung oder so.
Wenn ich home freigebe, muss der USer doch Schreibrechte haben, um dort den Basisordner erstellen zu dürfen. Gleichzeitig dürfte er theoretisch auch in Home schreiben, versehentlich oder absichtlich und das will ich vermeiden.
Was meinst Du mit Umleitungsrichtlinie auf den Standardordner?
So erfolgt halt die Aufgabenverteilung. Die rechtiche Seite lass bitte außen vor. Keine Idee zum Phänomen?
Wie kann es sein, dass ich 6 User anlege (zb Meier, Schneider, Schulze, Hoffmann, Mueller, Chef).
Weise den Basisordner zu, gebe diesen jeweils für Chef frei.
Wie kann es da sein, dass Mueller Zugriff auf Chef und Schneider hat? Daraufhin bin ich hingegangen und habe expliziet den Basisordner Chef für Mueller freigegeben und alles verweigert. Der effektive Zugriff ist wie im Anhang auf alles verweigert, kein Zugriff. Trotzdem kannMueller auf Chef zugrefen (Netzwerk -> Server ...)
Gibt es sowas wie scan acl? Gefunden habe ich das nicht.
mfG
tsunami
Erzähl das Deinem Chef und du kannst gehen...
Eine Idee zum Problem?
Eine Idee zum Problem?
Nee... Das ist nicht üblich. Damals unter Windows NT kam das System nicht damit klar, wenn man versucht hat einen Unterordner in einer Freigabe als Laufwerk zu verbinden. Für jeden Benutzer eine eigene Freigabe ist doch ein wenig mehr als notwendig. \\sever\<freigabe>\%username% funktioniert seit Windows 2000...
Ich habe den Eindruck, Du bastelst da ein wenig an Stellen herum, an denen man nicht basteln muss. Erstelle einmal die Freigabe und wenn Du den Pfad in das Benutzerprofil einträgst, wird automatisch der Ordner mit den passenden Rechten erstellt. Btw. macht es m.E. heute mehr Sinn, den persönlichen Ordner durch einer Umleitungsrichtlinie auf den Standardordnern einzurichten und auf den Homeordner im Benutzerprofil zu verzichten.
Ich habe den Eindruck, Du bastelst da ein wenig an Stellen herum, an denen man nicht basteln muss. Erstelle einmal die Freigabe und wenn Du den Pfad in das Benutzerprofil einträgst, wird automatisch der Ordner mit den passenden Rechten erstellt. Btw. macht es m.E. heute mehr Sinn, den persönlichen Ordner durch einer Umleitungsrichtlinie auf den Standardordnern einzurichten und auf den Homeordner im Benutzerprofil zu verzichten.
Profilordner einrichten incl DFS
NT konnte nur keine Unterordner in Shares mounten.... net use \\server\share ging
net use \\server\share\folder1\folder2 ging ab Windows 2000
Am Stammordner - wo auch der Share erzeugt wird - wird ein volles Zugriffsrecht für "creator owner" eingerichtet, die Freigabe erhält dann "full". Mußte nur die Gruppe "everyone" rauswerfen, die Windows bei der "Schnellfreigabe" einem dort unterjubelt.
Kommt ein User erstmalig an dem Share vorbei, dann erstellt Windows einen Ordner auf den nur der User Zugriff hat und jene, die eine Ebene drüber schon Rechte hatten, z.B. "Administratoren".
Außerdem kommt das manchmal vor daß die ACL kaputt sind oder nicht aktuell, man kann die effektiven Zugriffsrechte mit den Sysinternals Teil mit dem Namen acceschk.exe bzw. acceschk64.exe ermitteln und mit dem Windows-Kommando setacl reparieren.
Ich hatte mal einen Fileserver-Unfall, wo hinterher auch die Rechte komplett falsch waren, mußte ich mit Setacl dann geradeziehen.
Zitat von @tsunami:
Wenn ich home freigebe, muss der USer doch Schreibrechte haben, um dort den Basisordner erstellen zu dürfen. Gleichzeitig dürfte er theoretisch auch in Home schreiben, versehentlich oder absichtlich und das will ich vermeiden.
Nein. En Benutzer muss sein Homedirectory nicht selbst erstellen können. Das muss der Admin für Ihn machen. Wenn man mit der MMC diesen Pfad beim Benutzerobjekt einträgt, dann versucht die MMC beim Speichern des Benutzers sofort diesen Ordnern zu erstellen und die Berchtigungen zu setzen. Der Admin, welcher den Benutzer erstellt/bearbeitet, muss also in "HOME" Vollzugriff haben.Wenn ich home freigebe, muss der USer doch Schreibrechte haben, um dort den Basisordner erstellen zu dürfen. Gleichzeitig dürfte er theoretisch auch in Home schreiben, versehentlich oder absichtlich und das will ich vermeiden.
Anders ist es beim Profil-Ordner. Hier muss der Benutzer in der Root Ordner erstellen dürfen. Aber für sowas gibt es "Ersteller Besitzer".
Wie kann es da sein, dass Mueller Zugriff auf Chef und Schneider hat?
Weil der Admin einen Fehler gemacht hat, oder etwas übersieht.
Das ist mal ein Ansatz! Probiers aus, solbald ich wieder da bin! Also wahrscheinlich nächste Woche!
Kommt das häufiger vor? Oder ist das uU ein Bug in 2012?
Weil, das hat bislang immer kien Probleme gemacht und lt. GUI ist alles korrekt, wie wenn ic beim Auto den Blinker rechts betätige und die Hupe geht an. ;)
Vielen Dank. Feedback kommt!
Kommt das häufiger vor? Oder ist das uU ein Bug in 2012?
Weil, das hat bislang immer kien Probleme gemacht und lt. GUI ist alles korrekt, wie wenn ic beim Auto den Blinker rechts betätige und die Hupe geht an. ;)
Vielen Dank. Feedback kommt!
Guten Tag, so ich sitze nun davor.
Habe die Homeordner alle gesichert, gelöscht und über den Severmanager neu anlegen lassen.
Und voila Problem bleibt. Keine Freigabe. UInter Sicherheit hat nur Admingruppe zugriff und der User.
Meier, Müller und Schmidt jeweils nen Basisordner zugewiesen. Meier angemeldet und Meier kommt an den Inhalt von Schmidt lesend!
Dann das Tool set acl angeschaut. Und accesscheck.
Und was mache ich nun mit set acl? Ich kann doch nicht für jeden User und jedes Verzeichnis sagen kein Zugriff.
Dann müsste ich ja sagen entziehe Meier zugriff für Müller, entziehe Meier Zugriff für Schneider, Entziehe Müller Zugriff für Schneider, Entziehe Müller zugriff für Schmidt usw.
Wenn ich sage entziehe Gruppe Domänenbenutzer den Zugriff, ist der Beseitzer auch draußen, geht also nicht.
Was tun?
mfG
tsunami
Habe die Homeordner alle gesichert, gelöscht und über den Severmanager neu anlegen lassen.
Und voila Problem bleibt. Keine Freigabe. UInter Sicherheit hat nur Admingruppe zugriff und der User.
Meier, Müller und Schmidt jeweils nen Basisordner zugewiesen. Meier angemeldet und Meier kommt an den Inhalt von Schmidt lesend!
Dann das Tool set acl angeschaut. Und accesscheck.
Und was mache ich nun mit set acl? Ich kann doch nicht für jeden User und jedes Verzeichnis sagen kein Zugriff.
Dann müsste ich ja sagen entziehe Meier zugriff für Müller, entziehe Meier Zugriff für Schneider, Entziehe Müller Zugriff für Schneider, Entziehe Müller zugriff für Schmidt usw.
Wenn ich sage entziehe Gruppe Domänenbenutzer den Zugriff, ist der Beseitzer auch draußen, geht also nicht.
Was tun?
mfG
tsunami
Zitat von @tsunami:
Und voila Problem bleibt. Keine Freigabe. UInter Sicherheit hat nur Admingruppe zugriff und der User.
Meier, Müller und Schmidt jeweils nen Basisordner zugewiesen. Meier angemeldet und Meier kommt an den Inhalt von Schmidt lesend!
Deinen Angaben und der Logik zur Folge wären dann diese Benutzer offensichtlich Mitglied der Administratoren auf diesem Fileserver. Direkt oder indirekt.Und voila Problem bleibt. Keine Freigabe. UInter Sicherheit hat nur Admingruppe zugriff und der User.
Meier, Müller und Schmidt jeweils nen Basisordner zugewiesen. Meier angemeldet und Meier kommt an den Inhalt von Schmidt lesend!
"Deinen Angaben und der Logik zur Folge wären dann diese Benutzer offensichtlich Mitglied der Administratoren auf diesem Fileserver. Direkt oder indirekt."
Eben nicht!
Ein User hatte tatsächlich Mist gebaut und sich in die Admingruppe gesetzt. Aber das war nicht der User, der komischerweise Zugriff hatte.
Ich bin jetzt hingegangen und habe alle Basisordner kopiert. Dann alle gelöscht, neu anlegen lassen. Dann via Sicherheit nur Andmins, die entsprechenden User und Sicherungsadmin zugriff gewährt, die Daten zurückkopiert und nun scheint es zu gehen.
So einfach ist es nicht. Wenn ich einen User Schneider anlege (Domänen-Benutzer), sage dem Profil Basis-Ordner H: mit \\server\homes\%username% verbinden, wird der User-Ordner angelegt. (Schneider). Wieso hat dann Müller und Schmidt Zugriff auf den Ordner?
Bei Müller dann nur Schmidt ud Müller und bei Schmidt nur Hoffmann und Schmidt...
Das netz war nicht so groß, da ging es, nur bei 200 Usern wäre das ein Alptraum. Daher die Frage, ob da ein Bug in 2012 ist? Dann wäre es witzlos.
Eben nicht!
Ein User hatte tatsächlich Mist gebaut und sich in die Admingruppe gesetzt. Aber das war nicht der User, der komischerweise Zugriff hatte.
Ich bin jetzt hingegangen und habe alle Basisordner kopiert. Dann alle gelöscht, neu anlegen lassen. Dann via Sicherheit nur Andmins, die entsprechenden User und Sicherungsadmin zugriff gewährt, die Daten zurückkopiert und nun scheint es zu gehen.
So einfach ist es nicht. Wenn ich einen User Schneider anlege (Domänen-Benutzer), sage dem Profil Basis-Ordner H: mit \\server\homes\%username% verbinden, wird der User-Ordner angelegt. (Schneider). Wieso hat dann Müller und Schmidt Zugriff auf den Ordner?
Bei Müller dann nur Schmidt ud Müller und bei Schmidt nur Hoffmann und Schmidt...
Das netz war nicht so groß, da ging es, nur bei 200 Usern wäre das ein Alptraum. Daher die Frage, ob da ein Bug in 2012 ist? Dann wäre es witzlos.
Guten Morgen
Kannst es ja mal von der anderen Seite her aufzäumen: Erstelle einen Ordner ohne Zugriffsrechte und setzt sie dann nach und nach. Irgendwann wird der Benutzer wohl Zugriff bekommen.
Gruß
Ein User hatte tatsächlich Mist gebaut und sich in die Admingruppe gesetzt.
Ähhhh - Ein User setzt sich selbst in die Admingruppe??? Wie soll das gehen? Da wäre ja jedes Sicherheitskonzept obsolet, wenn ein Benutzer sich selbst zu den Admins hinzufügen kann.Daher die Frage, ob da ein Bug in 2012 ist?
Nein.. Der Fehler liegt garantiert zwischen Rückenlehne und Tastatur...Kannst es ja mal von der anderen Seite her aufzäumen: Erstelle einen Ordner ohne Zugriffsrechte und setzt sie dann nach und nach. Irgendwann wird der Benutzer wohl Zugriff bekommen.
Gruß
Dito
Wo soll ich bitte da einen Fehler gemacht haben? Ich bin ja lernfähig:
1. Benutzer angelegt
2. Im Profil: Basisordner verbinden H: und \\server\homes\%username%
Ordner wird angelegt, aber mit falschen Zugriffrechten und vor allem nicht alle aus der gemeinsamen Gruppe Domänen-Benutzer haben Zugriff, sondern nur einzelne.
homes hat nur Admin Vollzugriff.
1. Benutzer angelegt
2. Im Profil: Basisordner verbinden H: und \\server\homes\%username%
Ordner wird angelegt, aber mit falschen Zugriffrechten und vor allem nicht alle aus der gemeinsamen Gruppe Domänen-Benutzer haben Zugriff, sondern nur einzelne.
homes hat nur Admin Vollzugriff.
poste doch bitte mal jeweils eine Ausgabe von CACLS
- vom Stamm-Ordner, in welchen die Homediretories sind (welcher freigegeben ist)
- exemplarisch von einem neu erstellten Benutzer-Ordner unterhalb dieses Stamm-Ordners, direkt nach dem automatischen Erstellen durch die MMC
@all Vielen Dank für die Hilfe und Anregungen. Ich habe die Homestruktur gelöscht und neu angelegt und nun passt es.
@emeriks
Ein neuer User wurde erstellt und der Fehler blieb. Und wie oben geschrieben, zeigte mir die Übersicht effektiver Zugriff für einen beliebigen User was anderes an, als was wirklich möglich war (Zugrff verweigert und trotzdem zumindest Lese- und Listzugriff) . Ähnlich wie beim Autofahren, wenn ich die Bremse trete und der Wagen wird trotzdem schneller.;)
@emeriks
Ein neuer User wurde erstellt und der Fehler blieb. Und wie oben geschrieben, zeigte mir die Übersicht effektiver Zugriff für einen beliebigen User was anderes an, als was wirklich möglich war (Zugrff verweigert und trotzdem zumindest Lese- und Listzugriff) . Ähnlich wie beim Autofahren, wenn ich die Bremse trete und der Wagen wird trotzdem schneller.;)
OK. Aber das wäre dann der erste Fall dieser Art in meinem ganzen Admin leben.
Sachen gibt's ...
Sachen gibt's ...
E D V Ende der Vernunft. Wenns einfach wäre, hätte ich nicht gefragt. und ich wäre Arbeitslos. ;)
Ganz zu Anfang auch der Screnshot.
PS
Habe gerade wieder son Mist gehabt, da hatte MS Server 2016 Probleme mit Umlauten im Ordnernamen.
büro ging nicht
buero tat
Danke für die Mühe. Habe nun alle User gelöscht, Ordner gelöscht und neu eingerichtet. Tats
Ganz zu Anfang auch der Screnshot.
PS
Habe gerade wieder son Mist gehabt, da hatte MS Server 2016 Probleme mit Umlauten im Ordnernamen.
büro ging nicht
buero tat
Danke für die Mühe. Habe nun alle User gelöscht, Ordner gelöscht und neu eingerichtet. Tats
