13
Benuzter mit Vollberechtigungen trozt unterbrochener Vererbung
Hallo zusammen,
es geht darum dass wir eine Gruppe von Benutzern haben, die auf einen Ordner im Netzwerk mit vielen Unterordnern Vollzugriff bekommen sollen.
Problem ist, dass bei einigen Unterordnern die Vererbung für die Berechtigungen unterbrochen ist und dort andere Zugriffe gelten. Aber auch hier sollen die User Zugriff bekommen.
Wie kann ich das recht einfach lösen?
Lieben Dank schon Mal!
Sylvia
es geht darum dass wir eine Gruppe von Benutzern haben, die auf einen Ordner im Netzwerk mit vielen Unterordnern Vollzugriff bekommen sollen.
Problem ist, dass bei einigen Unterordnern die Vererbung für die Berechtigungen unterbrochen ist und dort andere Zugriffe gelten. Aber auch hier sollen die User Zugriff bekommen.
Wie kann ich das recht einfach lösen?
Lieben Dank schon Mal!
Sylvia
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357568
Url: https://administrator.de/contentid/357568
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
13 Kommentare
Neuester Kommentar
Workaround: Gruppe dort hinzufügen wo die Vererbung unterbrochen ist (z.B. mit Powershell-Skript).
Besser für die Zukunft: Vererbung wieder herstellen und nach AGDLP arbeiten.
Besser für die Zukunft: Vererbung wieder herstellen und nach AGDLP arbeiten.
Wenn ich die Vererbung herstelle haben ja alle Benutzer die auf den übergeordneten Ordner Zugriff haben auch auf alle darunter zugriff - das will man aber nichtun bedingt. Oder man muss alle Ordner mit anderen Berechtigungen auf die erste Ebene nehmen?
Wenn ich Abteilung Marketing habe und dort drunter verschiedene Ordner mit unterschiedlichen Projekten hat da nur das entsprechende Projektteam Zugriff und nicht ganz Marketing. Oder denke ich da falsch?
Ansonsten arbeiten wir mit Berechtigungen auf lokale Gruppen in welchen dann die globalen Gruppen liegen.
Liebe Grüße
Sylvia
Wenn ich Abteilung Marketing habe und dort drunter verschiedene Ordner mit unterschiedlichen Projekten hat da nur das entsprechende Projektteam Zugriff und nicht ganz Marketing. Oder denke ich da falsch?
Ansonsten arbeiten wir mit Berechtigungen auf lokale Gruppen in welchen dann die globalen Gruppen liegen.
Liebe Grüße
Sylvia
Zitat von @Sylvia:
Wenn ich die Vererbung herstelle haben ja alle Benutzer die auf den übergeordneten Ordner Zugriff haben auch auf alle darunter zugriff - das will man aber nichtun bedingt. Oder man muss alle Ordner mit anderen Berechtigungen auf die erste Ebene nehmen?
Les den Link zu AGDLP!Wenn ich die Vererbung herstelle haben ja alle Benutzer die auf den übergeordneten Ordner Zugriff haben auch auf alle darunter zugriff - das will man aber nichtun bedingt. Oder man muss alle Ordner mit anderen Berechtigungen auf die erste Ebene nehmen?
Wenn ich Abteilung Marketing habe und dort drunter verschiedene Ordner mit unterschiedlichen Projekten hat da nur das entsprechende Projektteam Zugriff und nicht ganz Marketing. Oder denke ich da falsch?
Ansonsten arbeiten wir mit Berechtigungen auf lokale Gruppen in welchen dann die globalen Gruppen liegen.
Nochmal AGDLP...Ansonsten arbeiten wir mit Berechtigungen auf lokale Gruppen in welchen dann die globalen Gruppen liegen.
Hi,,
Es mag sein, dass es "besser" ist, wenn man seine Ordnerstrukturen so aufbauen kann, dass man "nach unten hin" (in "tieferen" Ebenen) die Berechtigungen immer nur durch weitere Gewährungen oder Verweigerungen erweitern muss, um die Abweichung zu erreichen. Aber das ist definitiv nicht immer so praktikabel.
Also @Sylvia: Du machst nicht aus Prinzip was falsch, bloß weil Du mit unterbrochener Veerbung arbeitetst.
Das nur mal am Rande bemerkt.
E.
Besser für die Zukunft: Vererbung wieder herstellen und nach AGDLP arbeiten.
AGDLP ändert nichts, aber auch rein gar nichts daran, dass es die Notwendigkeit geben kann, die Vererbung zu unterbrechen!Es mag sein, dass es "besser" ist, wenn man seine Ordnerstrukturen so aufbauen kann, dass man "nach unten hin" (in "tieferen" Ebenen) die Berechtigungen immer nur durch weitere Gewährungen oder Verweigerungen erweitern muss, um die Abweichung zu erreichen. Aber das ist definitiv nicht immer so praktikabel.
Also @Sylvia: Du machst nicht aus Prinzip was falsch, bloß weil Du mit unterbrochener Veerbung arbeitetst.
Das nur mal am Rande bemerkt.
E.
Vielen Dank, Emerkis, ich hab schon an mir gezweifelt... 
Warum ich das eigentlich frage hat einen Hintergrund:
Wir haben i-Pads im Einsatz, die nun irgend wie von meinem Kollegen so eingerichtet werden sollen, dass die Leute auf ihre Daten auf einem Laufwerk (eben jenem mit den vielen verschiedenen Berechtigungen (r/rw)und der Vererbungsunterbrechung) zugreifen können sollen und damit arbeiten. Sie sollen die gleichen Berechtigungen haben wie wenn sie über Windows zugreifen.
Nun braucht der Kollege, der diese i-Pads betreut angeblich einen "superuser" der alle Berechtigungen auf alle Daten hat, um dann auf dem i-Pad steuern zu können, dass der User auf seine Daten kommt. Wie genau das funktioniert weiß ich nicht, aber ich kann mir nicht vorstellen, dass es funktioniert - zumal ich rein sicherheitstechnisch immense Bauchschmerzen dabei habe...
Woher weiss dieser superuser, das ein Benutzer auf den einen Ordner/Datei nur leserechte, schreibrechte oder garkeine Rechte hat?
Hat jemand von Euch damit Erfahrung? Wie ist das sicherheitstechnisch zu beurteilen?
Liebe Grüße
Sylvias
Warum ich das eigentlich frage hat einen Hintergrund:
Wir haben i-Pads im Einsatz, die nun irgend wie von meinem Kollegen so eingerichtet werden sollen, dass die Leute auf ihre Daten auf einem Laufwerk (eben jenem mit den vielen verschiedenen Berechtigungen (r/rw)und der Vererbungsunterbrechung) zugreifen können sollen und damit arbeiten. Sie sollen die gleichen Berechtigungen haben wie wenn sie über Windows zugreifen.
Nun braucht der Kollege, der diese i-Pads betreut angeblich einen "superuser" der alle Berechtigungen auf alle Daten hat, um dann auf dem i-Pad steuern zu können, dass der User auf seine Daten kommt. Wie genau das funktioniert weiß ich nicht, aber ich kann mir nicht vorstellen, dass es funktioniert - zumal ich rein sicherheitstechnisch immense Bauchschmerzen dabei habe...
Woher weiss dieser superuser, das ein Benutzer auf den einen Ordner/Datei nur leserechte, schreibrechte oder garkeine Rechte hat?
Hat jemand von Euch damit Erfahrung? Wie ist das sicherheitstechnisch zu beurteilen?
Liebe Grüße
Sylvias
Nun braucht der Kollege, der diese i-Pads betreut angeblich einen "superuser" der alle Berechtigungen auf alle Daten hat, um dann auf dem i-Pad steuern zu können, dass der User auf seine Daten kommt. Wie genau das funktioniert weiß ich nicht, aber ich kann mir nicht vorstellen, dass es funktioniert - zumal ich rein sicherheitstechnisch immense Bauchschmerzen dabei habe...
Woher weiss dieser superuser, das ein Benutzer auf den einen Ordner/Datei nur leserechte, schreibrechte oder garkeine Rechte hat?
Hat jemand von Euch damit Erfahrung? Wie ist das sicherheitstechnisch zu beurteilen?
Also ich nutze zwar kein Obst. Aber diese Aussage hört sich schlichtweg falsch an. Weil der Server entscheidet, welche Rechte wer hat und nicht der Client. Also kann das Client-OS da keine Rolle spielen.Woher weiss dieser superuser, das ein Benutzer auf den einen Ordner/Datei nur leserechte, schreibrechte oder garkeine Rechte hat?
Hat jemand von Euch damit Erfahrung? Wie ist das sicherheitstechnisch zu beurteilen?
Das hört sich sehr abenteuerlich an, vermutlich weil man es nicht besser weiß will man es so machen! Wenn du wirklich einen User brauchst der auf allen Ordnern volle Rechte hat und du die Vererbung nicht ändern willst/kannst, bleibt dir nur via Skript/Tool den entsprechenden User auf alle Ordner bei denen die Vererbung unterbrochen ist zu berechtigen. Mit Powershell z.B. Bekommst du so eine Liste im Handumdrehen und kannst die Rechte hinzufügen. Bei Interesse für ein persönliches Skrpt gerne PN.
Aber wie gesagt, ohne vernünftige Tools wie 8man oder einer lückenlosen Doku endet solche Bastelei schnell im Chaos wenn man sich nicht an bestimmte Regeln hält, wie ich oben bereits erwähnte.
Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht. Dieser braucht dann nur entsprechende Delegierung im AD um Gruppenmember festzulegen und das wars. Man muss sich halt vorher einmal gründlich Gedanken über die eigene Struktur machen, aber das ist für viele meist einfach zu viel Arbeit fürs Oberstübchen, deswegen wird immer wieder bei sowas an den Berechtigungen gebastelt was einem irgendwann auf die Füße fällt.
Aber wie gesagt, ohne vernünftige Tools wie 8man oder einer lückenlosen Doku endet solche Bastelei schnell im Chaos wenn man sich nicht an bestimmte Regeln hält, wie ich oben bereits erwähnte.
Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht. Dieser braucht dann nur entsprechende Delegierung im AD um Gruppenmember festzulegen und das wars. Man muss sich halt vorher einmal gründlich Gedanken über die eigene Struktur machen, aber das ist für viele meist einfach zu viel Arbeit fürs Oberstübchen
, deswegen wird immer wieder bei sowas an den Berechtigungen gebastelt was einem irgendwann auf die Füße fällt.Zitat von @134464:
Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht.
OK, @134464, wenn es Dir darauf ankam mit Deiner Bemerkung zum AGDLP, das unterschreibe ich sofort. Aber die Anspielung oben auf die Vererbung solltest Du streichen.Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht.
Die Struktur von dem entsprechenden Laufwerk ist halt so, das lässt sich nicht auf die Schnelle ändern. Es ist halt mal wieder ein konstruiertes "Hau-Ruck-Verfahren"... meiner Meinung nach will man mit den neuen Geräten, die auch noch ein anderes BS haben auf alte Strukturen andocken - das bringt neben Ärger auch noch jede Menge Sicherheitslöcher mit sich...
Die Berechtigungsverwaltung würde dann ja auch von diesem "superuser" ausgeführt und nicht mehr vom AD aus.
Ich schau mir das morgen mal an und lasse es mir von einem Profi erklären, vielleicht komme ich dann zu einem anderen Ergebnis...
Für mich wäre der richtigere Weg, über Citrix zuzugreifen und die Authentifizierung über das AD zu machen wie es sich gehört.
Die Berechtigungsverwaltung würde dann ja auch von diesem "superuser" ausgeführt und nicht mehr vom AD aus.
Ich schau mir das morgen mal an und lasse es mir von einem Profi erklären, vielleicht komme ich dann zu einem anderen Ergebnis...
Für mich wäre der richtigere Weg, über Citrix zuzugreifen und die Authentifizierung über das AD zu machen wie es sich gehört.
Für mich wäre der richtigere Weg, über Citrix zuzugreifen und die Authentifizierung über das AD zu machen wie es sich gehört.
Na wenn Ihr Citrix habt, dann na klar!
Danke Ihr beiden! nun habe ich zwar keine wirkliche Lösung, aber ich habe zumindest eine Antwort auf mein Problem
Na eine Lösung könnte z.B. SetACL sein. Wenn Du es denn tatsächlich noch so machen willst.
Falls ja, dann könntest Du Dir ein Konto oder eine Gruppe suchen, von welcher Du weißt oder davon ausgehen kannst, dass diese überall Zurgiff hat. Dann in einer Admin-CMD mit SetACL die Berechtigungen dieses Kontos/dieser Gruppe duplizieren. In etwa so:
Annahme:
VORDEFINIERT\Administratoren haben überall NTFS-Vollzugriff.
Ordner ist X:\Ordner1
neue Gruppe ist Domäne1\Gruppe1
Falls ja, dann könntest Du Dir ein Konto oder eine Gruppe suchen, von welcher Du weißt oder davon ausgehen kannst, dass diese überall Zurgiff hat. Dann in einer Admin-CMD mit SetACL die Berechtigungen dieses Kontos/dieser Gruppe duplizieren. In etwa so:
Annahme:
VORDEFINIERT\Administratoren haben überall NTFS-Vollzugriff.
Ordner ist X:\Ordner1
neue Gruppe ist Domäne1\Gruppe1
setacl -ot file -on X:\Ordner1 -actn trustee -trst "n1:VORDEFINIERT\Administratoren;n2:Domäne1\Gruppe1;ta:cpytrst" -rec cont
Guten Morgen!
vielen Dank, das teste ich mal auf einem Server in einem Verzeichnis...
Wir haben uns besprochen, wir halten das Vorgehen für sicherheitskritisch und schauen, ob es eine andere Lösung gibt - z.B. eine Authentifizierung des Users über das Ad...
Liebe Grüße
Sylvia
vielen Dank, das teste ich mal auf einem Server in einem Verzeichnis...
Wir haben uns besprochen, wir halten das Vorgehen für sicherheitskritisch und schauen, ob es eine andere Lösung gibt - z.B. eine Authentifizierung des Users über das Ad...
Liebe Grüße
Sylvia
