sylvia
Goto Top

Benuzter mit Vollberechtigungen trozt unterbrochener Vererbung

Hallo zusammen,

es geht darum dass wir eine Gruppe von Benutzern haben, die auf einen Ordner im Netzwerk mit vielen Unterordnern Vollzugriff bekommen sollen.
Problem ist, dass bei einigen Unterordnern die Vererbung für die Berechtigungen unterbrochen ist und dort andere Zugriffe gelten. Aber auch hier sollen die User Zugriff bekommen.

Wie kann ich das recht einfach lösen?

Lieben Dank schon Mal!

Sylvia

Content-ID: 357568

Url: https://administrator.de/forum/benuzter-mit-vollberechtigungen-trozt-unterbrochener-vererbung-357568.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

134464
134464 08.12.2017 aktualisiert um 12:31:39 Uhr
Goto Top
Workaround: Gruppe dort hinzufügen wo die Vererbung unterbrochen ist (z.B. mit Powershell-Skript).
Besser für die Zukunft: Vererbung wieder herstellen und nach AGDLP arbeiten.
Sylvia
Sylvia 08.12.2017 um 12:52:13 Uhr
Goto Top
Wenn ich die Vererbung herstelle haben ja alle Benutzer die auf den übergeordneten Ordner Zugriff haben auch auf alle darunter zugriff - das will man aber nichtun bedingt. Oder man muss alle Ordner mit anderen Berechtigungen auf die erste Ebene nehmen?
Wenn ich Abteilung Marketing habe und dort drunter verschiedene Ordner mit unterschiedlichen Projekten hat da nur das entsprechende Projektteam Zugriff und nicht ganz Marketing. Oder denke ich da falsch?
Ansonsten arbeiten wir mit Berechtigungen auf lokale Gruppen in welchen dann die globalen Gruppen liegen.

Liebe Grüße
Sylvia
134464
134464 08.12.2017 um 13:01:26 Uhr
Goto Top
Zitat von @Sylvia:

Wenn ich die Vererbung herstelle haben ja alle Benutzer die auf den übergeordneten Ordner Zugriff haben auch auf alle darunter zugriff - das will man aber nichtun bedingt. Oder man muss alle Ordner mit anderen Berechtigungen auf die erste Ebene nehmen?
Les den Link zu AGDLP!
Wenn ich Abteilung Marketing habe und dort drunter verschiedene Ordner mit unterschiedlichen Projekten hat da nur das entsprechende Projektteam Zugriff und nicht ganz Marketing. Oder denke ich da falsch?
Ansonsten arbeiten wir mit Berechtigungen auf lokale Gruppen in welchen dann die globalen Gruppen liegen.
Nochmal AGDLP...
emeriks
emeriks 08.12.2017 um 15:14:10 Uhr
Goto Top
Hi,,
Besser für die Zukunft: Vererbung wieder herstellen und nach AGDLP arbeiten.
AGDLP ändert nichts, aber auch rein gar nichts daran, dass es die Notwendigkeit geben kann, die Vererbung zu unterbrechen!
Es mag sein, dass es "besser" ist, wenn man seine Ordnerstrukturen so aufbauen kann, dass man "nach unten hin" (in "tieferen" Ebenen) die Berechtigungen immer nur durch weitere Gewährungen oder Verweigerungen erweitern muss, um die Abweichung zu erreichen. Aber das ist definitiv nicht immer so praktikabel.
Also @Sylvia: Du machst nicht aus Prinzip was falsch, bloß weil Du mit unterbrochener Veerbung arbeitetst.
Das nur mal am Rande bemerkt.

E.
Sylvia
Sylvia 11.12.2017 um 06:40:20 Uhr
Goto Top
Vielen Dank, Emerkis, ich hab schon an mir gezweifelt... face-smile

Warum ich das eigentlich frage hat einen Hintergrund:
Wir haben i-Pads im Einsatz, die nun irgend wie von meinem Kollegen so eingerichtet werden sollen, dass die Leute auf ihre Daten auf einem Laufwerk (eben jenem mit den vielen verschiedenen Berechtigungen (r/rw)und der Vererbungsunterbrechung) zugreifen können sollen und damit arbeiten. Sie sollen die gleichen Berechtigungen haben wie wenn sie über Windows zugreifen.

Nun braucht der Kollege, der diese i-Pads betreut angeblich einen "superuser" der alle Berechtigungen auf alle Daten hat, um dann auf dem i-Pad steuern zu können, dass der User auf seine Daten kommt. Wie genau das funktioniert weiß ich nicht, aber ich kann mir nicht vorstellen, dass es funktioniert - zumal ich rein sicherheitstechnisch immense Bauchschmerzen dabei habe...
Woher weiss dieser superuser, das ein Benutzer auf den einen Ordner/Datei nur leserechte, schreibrechte oder garkeine Rechte hat?

Hat jemand von Euch damit Erfahrung? Wie ist das sicherheitstechnisch zu beurteilen?

Liebe Grüße
Sylvias
emeriks
emeriks 11.12.2017 aktualisiert um 08:44:58 Uhr
Goto Top
Nun braucht der Kollege, der diese i-Pads betreut angeblich einen "superuser" der alle Berechtigungen auf alle Daten hat, um dann auf dem i-Pad steuern zu können, dass der User auf seine Daten kommt. Wie genau das funktioniert weiß ich nicht, aber ich kann mir nicht vorstellen, dass es funktioniert - zumal ich rein sicherheitstechnisch immense Bauchschmerzen dabei habe...
Woher weiss dieser superuser, das ein Benutzer auf den einen Ordner/Datei nur leserechte, schreibrechte oder garkeine Rechte hat?

Hat jemand von Euch damit Erfahrung? Wie ist das sicherheitstechnisch zu beurteilen?
Also ich nutze zwar kein Obst. Aber diese Aussage hört sich schlichtweg falsch an. Weil der Server entscheidet, welche Rechte wer hat und nicht der Client. Also kann das Client-OS da keine Rolle spielen.
134464
134464 11.12.2017 aktualisiert um 09:01:57 Uhr
Goto Top
Das hört sich sehr abenteuerlich an, vermutlich weil man es nicht besser weiß will man es so machen! Wenn du wirklich einen User brauchst der auf allen Ordnern volle Rechte hat und du die Vererbung nicht ändern willst/kannst, bleibt dir nur via Skript/Tool den entsprechenden User auf alle Ordner bei denen die Vererbung unterbrochen ist zu berechtigen. Mit Powershell z.B. Bekommst du so eine Liste im Handumdrehen und kannst die Rechte hinzufügen. Bei Interesse für ein persönliches Skrpt gerne PN.

Aber wie gesagt, ohne vernünftige Tools wie 8man oder einer lückenlosen Doku endet solche Bastelei schnell im Chaos wenn man sich nicht an bestimmte Regeln hält, wie ich oben bereits erwähnte.

Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht. Dieser braucht dann nur entsprechende Delegierung im AD um Gruppenmember festzulegen und das wars. Man muss sich halt vorher einmal gründlich Gedanken über die eigene Struktur machen, aber das ist für viele meist einfach zu viel Arbeit fürs Oberstübchen face-smile, deswegen wird immer wieder bei sowas an den Berechtigungen gebastelt was einem irgendwann auf die Füße fällt.
emeriks
emeriks 11.12.2017 aktualisiert um 13:07:58 Uhr
Goto Top
Zitat von @134464:
Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht.
OK, @134464, wenn es Dir darauf ankam mit Deiner Bemerkung zum AGDLP, das unterschreibe ich sofort. Aber die Anspielung oben auf die Vererbung solltest Du streichen.
Sylvia
Sylvia 11.12.2017 um 12:51:49 Uhr
Goto Top
Die Struktur von dem entsprechenden Laufwerk ist halt so, das lässt sich nicht auf die Schnelle ändern. Es ist halt mal wieder ein konstruiertes "Hau-Ruck-Verfahren"... meiner Meinung nach will man mit den neuen Geräten, die auch noch ein anderes BS haben auf alte Strukturen andocken - das bringt neben Ärger auch noch jede Menge Sicherheitslöcher mit sich...


Die Berechtigungsverwaltung würde dann ja auch von diesem "superuser" ausgeführt und nicht mehr vom AD aus.
Ich schau mir das morgen mal an und lasse es mir von einem Profi erklären, vielleicht komme ich dann zu einem anderen Ergebnis...

Für mich wäre der richtigere Weg, über Citrix zuzugreifen und die Authentifizierung über das AD zu machen wie es sich gehört.
emeriks
emeriks 11.12.2017 um 13:09:48 Uhr
Goto Top
Für mich wäre der richtigere Weg, über Citrix zuzugreifen und die Authentifizierung über das AD zu machen wie es sich gehört.
Na wenn Ihr Citrix habt, dann na klar!
Sylvia
Sylvia 11.12.2017 um 14:03:15 Uhr
Goto Top
Danke Ihr beiden! nun habe ich zwar keine wirkliche Lösung, aber ich habe zumindest eine Antwort auf mein Problem face-smile
emeriks
emeriks 11.12.2017 aktualisiert um 14:14:50 Uhr
Goto Top
Na eine Lösung könnte z.B. SetACL sein. Wenn Du es denn tatsächlich noch so machen willst.
Falls ja, dann könntest Du Dir ein Konto oder eine Gruppe suchen, von welcher Du weißt oder davon ausgehen kannst, dass diese überall Zurgiff hat. Dann in einer Admin-CMD mit SetACL die Berechtigungen dieses Kontos/dieser Gruppe duplizieren. In etwa so:

Annahme:
VORDEFINIERT\Administratoren haben überall NTFS-Vollzugriff.
Ordner ist X:\Ordner1
neue Gruppe ist Domäne1\Gruppe1
setacl -ot file -on X:\Ordner1 -actn trustee -trst "n1:VORDEFINIERT\Administratoren;n2:Domäne1\Gruppe1;ta:cpytrst" -rec cont  
Sylvia
Sylvia 13.12.2017 um 07:50:40 Uhr
Goto Top
Guten Morgen!
vielen Dank, das teste ich mal auf einem Server in einem Verzeichnis...
Wir haben uns besprochen, wir halten das Vorgehen für sicherheitskritisch und schauen, ob es eine andere Lösung gibt - z.B. eine Authentifizierung des Users über das Ad...

Liebe Grüße
Sylvia