Benuzter mit Vollberechtigungen trozt unterbrochener Vererbung
Hallo zusammen,
es geht darum dass wir eine Gruppe von Benutzern haben, die auf einen Ordner im Netzwerk mit vielen Unterordnern Vollzugriff bekommen sollen.
Problem ist, dass bei einigen Unterordnern die Vererbung für die Berechtigungen unterbrochen ist und dort andere Zugriffe gelten. Aber auch hier sollen die User Zugriff bekommen.
Wie kann ich das recht einfach lösen?
Lieben Dank schon Mal!
Sylvia
es geht darum dass wir eine Gruppe von Benutzern haben, die auf einen Ordner im Netzwerk mit vielen Unterordnern Vollzugriff bekommen sollen.
Problem ist, dass bei einigen Unterordnern die Vererbung für die Berechtigungen unterbrochen ist und dort andere Zugriffe gelten. Aber auch hier sollen die User Zugriff bekommen.
Wie kann ich das recht einfach lösen?
Lieben Dank schon Mal!
Sylvia
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357568
Url: https://administrator.de/forum/benuzter-mit-vollberechtigungen-trozt-unterbrochener-vererbung-357568.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
13 Kommentare
Neuester Kommentar
Workaround: Gruppe dort hinzufügen wo die Vererbung unterbrochen ist (z.B. mit Powershell-Skript).
Besser für die Zukunft: Vererbung wieder herstellen und nach AGDLP arbeiten.
Besser für die Zukunft: Vererbung wieder herstellen und nach AGDLP arbeiten.
Zitat von @Sylvia:
Wenn ich die Vererbung herstelle haben ja alle Benutzer die auf den übergeordneten Ordner Zugriff haben auch auf alle darunter zugriff - das will man aber nichtun bedingt. Oder man muss alle Ordner mit anderen Berechtigungen auf die erste Ebene nehmen?
Les den Link zu AGDLP!Wenn ich die Vererbung herstelle haben ja alle Benutzer die auf den übergeordneten Ordner Zugriff haben auch auf alle darunter zugriff - das will man aber nichtun bedingt. Oder man muss alle Ordner mit anderen Berechtigungen auf die erste Ebene nehmen?
Wenn ich Abteilung Marketing habe und dort drunter verschiedene Ordner mit unterschiedlichen Projekten hat da nur das entsprechende Projektteam Zugriff und nicht ganz Marketing. Oder denke ich da falsch?
Ansonsten arbeiten wir mit Berechtigungen auf lokale Gruppen in welchen dann die globalen Gruppen liegen.
Nochmal AGDLP...Ansonsten arbeiten wir mit Berechtigungen auf lokale Gruppen in welchen dann die globalen Gruppen liegen.
Hi,,
Es mag sein, dass es "besser" ist, wenn man seine Ordnerstrukturen so aufbauen kann, dass man "nach unten hin" (in "tieferen" Ebenen) die Berechtigungen immer nur durch weitere Gewährungen oder Verweigerungen erweitern muss, um die Abweichung zu erreichen. Aber das ist definitiv nicht immer so praktikabel.
Also @Sylvia: Du machst nicht aus Prinzip was falsch, bloß weil Du mit unterbrochener Veerbung arbeitetst.
Das nur mal am Rande bemerkt.
E.
Besser für die Zukunft: Vererbung wieder herstellen und nach AGDLP arbeiten.
AGDLP ändert nichts, aber auch rein gar nichts daran, dass es die Notwendigkeit geben kann, die Vererbung zu unterbrechen!Es mag sein, dass es "besser" ist, wenn man seine Ordnerstrukturen so aufbauen kann, dass man "nach unten hin" (in "tieferen" Ebenen) die Berechtigungen immer nur durch weitere Gewährungen oder Verweigerungen erweitern muss, um die Abweichung zu erreichen. Aber das ist definitiv nicht immer so praktikabel.
Also @Sylvia: Du machst nicht aus Prinzip was falsch, bloß weil Du mit unterbrochener Veerbung arbeitetst.
Das nur mal am Rande bemerkt.
E.
Nun braucht der Kollege, der diese i-Pads betreut angeblich einen "superuser" der alle Berechtigungen auf alle Daten hat, um dann auf dem i-Pad steuern zu können, dass der User auf seine Daten kommt. Wie genau das funktioniert weiß ich nicht, aber ich kann mir nicht vorstellen, dass es funktioniert - zumal ich rein sicherheitstechnisch immense Bauchschmerzen dabei habe...
Woher weiss dieser superuser, das ein Benutzer auf den einen Ordner/Datei nur leserechte, schreibrechte oder garkeine Rechte hat?
Hat jemand von Euch damit Erfahrung? Wie ist das sicherheitstechnisch zu beurteilen?
Also ich nutze zwar kein Obst. Aber diese Aussage hört sich schlichtweg falsch an. Weil der Server entscheidet, welche Rechte wer hat und nicht der Client. Also kann das Client-OS da keine Rolle spielen.Woher weiss dieser superuser, das ein Benutzer auf den einen Ordner/Datei nur leserechte, schreibrechte oder garkeine Rechte hat?
Hat jemand von Euch damit Erfahrung? Wie ist das sicherheitstechnisch zu beurteilen?
Das hört sich sehr abenteuerlich an, vermutlich weil man es nicht besser weiß will man es so machen! Wenn du wirklich einen User brauchst der auf allen Ordnern volle Rechte hat und du die Vererbung nicht ändern willst/kannst, bleibt dir nur via Skript/Tool den entsprechenden User auf alle Ordner bei denen die Vererbung unterbrochen ist zu berechtigen. Mit Powershell z.B. Bekommst du so eine Liste im Handumdrehen und kannst die Rechte hinzufügen. Bei Interesse für ein persönliches Skrpt gerne PN.
Aber wie gesagt, ohne vernünftige Tools wie 8man oder einer lückenlosen Doku endet solche Bastelei schnell im Chaos wenn man sich nicht an bestimmte Regeln hält, wie ich oben bereits erwähnte.
Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht. Dieser braucht dann nur entsprechende Delegierung im AD um Gruppenmember festzulegen und das wars. Man muss sich halt vorher einmal gründlich Gedanken über die eigene Struktur machen, aber das ist für viele meist einfach zu viel Arbeit fürs Oberstübchen , deswegen wird immer wieder bei sowas an den Berechtigungen gebastelt was einem irgendwann auf die Füße fällt.
Aber wie gesagt, ohne vernünftige Tools wie 8man oder einer lückenlosen Doku endet solche Bastelei schnell im Chaos wenn man sich nicht an bestimmte Regeln hält, wie ich oben bereits erwähnte.
Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht. Dieser braucht dann nur entsprechende Delegierung im AD um Gruppenmember festzulegen und das wars. Man muss sich halt vorher einmal gründlich Gedanken über die eigene Struktur machen, aber das ist für viele meist einfach zu viel Arbeit fürs Oberstübchen , deswegen wird immer wieder bei sowas an den Berechtigungen gebastelt was einem irgendwann auf die Füße fällt.
Zitat von @134464:
Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht.
OK, @134464, wenn es Dir darauf ankam mit Deiner Bemerkung zum AGDLP, das unterschreibe ich sofort. Aber die Anspielung oben auf die Vererbung solltest Du streichen.Wenn man das wie o. erwähnt mit einer ordentlichen Gruppenstruktur abbildet reicht es den User in die entsprechende Gruppe zu schieben ohne an den Berechtigungen herumzudoktorn und ohne das es einen SuperUser braucht.
Na eine Lösung könnte z.B. SetACL sein. Wenn Du es denn tatsächlich noch so machen willst.
Falls ja, dann könntest Du Dir ein Konto oder eine Gruppe suchen, von welcher Du weißt oder davon ausgehen kannst, dass diese überall Zurgiff hat. Dann in einer Admin-CMD mit SetACL die Berechtigungen dieses Kontos/dieser Gruppe duplizieren. In etwa so:
Annahme:
VORDEFINIERT\Administratoren haben überall NTFS-Vollzugriff.
Ordner ist X:\Ordner1
neue Gruppe ist Domäne1\Gruppe1
Falls ja, dann könntest Du Dir ein Konto oder eine Gruppe suchen, von welcher Du weißt oder davon ausgehen kannst, dass diese überall Zurgiff hat. Dann in einer Admin-CMD mit SetACL die Berechtigungen dieses Kontos/dieser Gruppe duplizieren. In etwa so:
Annahme:
VORDEFINIERT\Administratoren haben überall NTFS-Vollzugriff.
Ordner ist X:\Ordner1
neue Gruppe ist Domäne1\Gruppe1
setacl -ot file -on X:\Ordner1 -actn trustee -trst "n1:VORDEFINIERT\Administratoren;n2:Domäne1\Gruppe1;ta:cpytrst" -rec cont