gelbeseiten
Goto Top

Berechtigung löschen verweigern funktioniert nicht

Hallo zusammen,

ich habe da mal ein Problem.
Ich möchte verhindern, dass Benutzer einen Ordern in ihrem Homelaufwerk löschen können. Wenn ich in die Berechtigungen gehe und jeder Löschen verweigern anklicke, kann selbst der letzte Benutzer diesen Ordner löschen. Selbst wenn er keinerlei Berechtigungen darauf hat. (habe alles rausgenommen, keine Vererbung an!) face-sad

Hat jemand eine Idee?

Danke


Volkmar

Content-ID: 112966

Url: https://administrator.de/forum/berechtigung-loeschen-verweigern-funktioniert-nicht-112966.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

-mrnice-
-mrnice- 01.04.2009 um 13:17:09 Uhr
Goto Top
Wie sehen den die ntfs Berechtigungen aus?
gelbeseiten
gelbeseiten 01.04.2009 um 13:39:06 Uhr
Goto Top
Hi,

danke für die schnelle Antwort!
Hatte ich geschrieben. Selbst wenn ich dem Benutzer auf diesem Ordner alles nehme, also auch keinen Zugriff, kann er den Ordner löschen!

Gruß

Volkmar
-mrnice-
-mrnice- 01.04.2009 um 13:50:49 Uhr
Goto Top
Es gibt ja einmal die NTFS Berechtigungen und die Freigabe Berechtigungen wo ist was vergeben ?

*edit*

Es fällt mir auch noch ein das es Besitzer gibt guck mal unter den Eigenschafften-Sicherheit-Erweitert . Der Benutzer ist im Normalfall Besitzer seines HomeDir daran könnte es liegen
gelbeseiten
gelbeseiten 01.04.2009 um 14:56:13 Uhr
Goto Top
Hi,

das hat leider nichts mit den Freigabeberechtigungen zu tun, und leider auch nicht mit den Besitzrechten.
Freigabe, ist Vollzugriff jeder.
Und Besitzer ist er nicht, weil ich es als Admin anlege.
Die NTFS Berechtigung ist wie schon geschrieben, und er hat keine Berechtigung (nur zum Test), und trotzdem ist der Ordner löschbar!

Eine weitere Idee?

Gruß

Volkmar
bytecounter
bytecounter 01.04.2009 um 15:18:31 Uhr
Goto Top
Mail uns mal, wie die NTFS-Freigaben genau sitzen. Also z. B.
Admininistrator Vollzugriff
Benutzer Nur Lesen
Besitzer Nur Lesen
Jeder Nur Lesen
...

vg Bytecounter
gelbeseiten
gelbeseiten 01.04.2009 um 15:53:14 Uhr
Goto Top
Hallo,

habe ich doch schon. face-sad
Es sieht so aus, dass selbst wenn der Benutzer keinerlei Berechtigung auf diesen Ordner hat, er ihn trotzdem löschen kann! Es ist niemand eingetragen, kein Administrator, kein Benutzer kein Jeder. Er hat keinen Zugriff auf diesen Ordner, aber löschen kann er ihn! face-sad
Wenn ihr noch Screenshots haben wollt, mache ich das gerne!

Gruß

Volkmar
gelbeseiten
gelbeseiten 01.04.2009 um 17:19:56 Uhr
Goto Top
Hallo,

habt ihr keine Ideen?

Gruß

Volkmar
DerWoWusste
DerWoWusste 01.04.2009 um 23:33:06 Uhr
Goto Top
Wenn dem so ist, wie beschrieben, dann liegt ein Defekt vor. Prüf noch ein letztes Mal die Rechte nach über den Tab "effektive Berechtigungen".
gelbeseiten
gelbeseiten 02.04.2009 um 07:37:38 Uhr
Goto Top
Hallo,

also, das mit den effektiven Berechtigungen ist eine gute Idee. Habe es getestet und, dort sagt er mir, löschen verweigert. Doch leider, kann ich diesen Ordner wieder löschen face-sad

Naja, da muss ich wirklich mal tiefer ansetzen. face-sad

Noch eine Idee, wo ich ansetzen kann?

Besten Dank und einen wundervollen Tag!

Volkmar
DerWoWusste
DerWoWusste 02.04.2009 um 10:18:59 Uhr
Goto Top
Lass nochmal mit icacls/cacls die Berechtigungen auflisten und stell sie hier rein. Stell' zum 17. Mal sicher, dass der Benutzer wirklich nicht Besitzer ist - dann zählen Verweigerungen nämlich nicht, sofern auf Freigabeebene Vollzugriff steht. Letzteres würde ich aus diesem Grund eh immer abschalten: Freigaberechte immer Jeder:ändern und nur Admins auf voll.
gelbeseiten
gelbeseiten 02.04.2009 um 17:28:55 Uhr
Goto Top
Hi,

sorry, dass ich mich erst jetzt melde:
1. Scenario, ich bin nicht der Besitzer!

Jederface-sadDENY)(Beschr„nkter Zugriffface-smile
DELETE
VORDEFINIERT\Administratorenface-sadOI)(CI)F
domäne\scanface-sadOI)(CI)C
domäne\volkmarface-sadOI)(CI)F
NT-AUTORITŽT\SYSTEMface-sadOI)(CI)F
Und ich kann es löschen

2. Szenario, ich bin nicht der Besitzer!
NT-AUTORITŽT\SYSTEMface-sadOI)(CI)F
Und ich kann es löschen

3.Szenario, ich bin nicht der Besitzer!
Jederface-sadOI)(CI)(DENY)(Beschr„nkter Zugriffface-smile
DELETE
NT-AUTORITŽT\SYSTEMface-sadOI)(CI)F
Und ich kann es löschen

Zu den Freigabeberechtigungen, das ist leider nicht ganz richtig.
Du kannst alle Berechtigungen über die NTFS Berechtigung setzen.
Freigabe Vollzugriff, denn sonst hast Du 2 Seiten zum Administrieren.
Ich würde es nie anders machen und so ist der einzig richtig Weg.

Hoffentich kannst Du was damit anfangen und mir vorallem weiterhelfen!

Danke

Volkmar

Ps: Die ganzen Smilies einfach wegdenken. face-smile
DerWoWusste
DerWoWusste 02.04.2009 um 19:47:00 Uhr
Goto Top
Keine Ahnung. Ich würde an Deiner Stelle einen neuen Ordner auf einenm anderen Rechner anlegen und es erneut versuchen. Bei mir habe ich eingestellt: Freigabe: jeder darf ändern, Admins voll. NTFS: Jeder alles verweigert, System: voll. icacls gubt dann aus:
Everyoneface-sadOI)(CI)N
NT AUTHORITY\SYSTEMface-sadOI)(CI)F
(englisches Vista-System)#

Zu Deinem Einwand: es ist richtig, glaub mir. Die Legende besagt: "NTFS und Sharepermissions sind austaschbar, das Restriktivere zählt" - leider gibt es die eine Ausnahme, welche ich genannt habe: Ist in den Sharepermissions jedem das Ändern der Rechte erlaubt, so können die NTFS-Berechtigungen wer weiß wie restriktiv sein - der Besitzer kann IMMER die Rechte ändern.

Siehe auch meine Frage hier: http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2 ...
gelbeseiten
gelbeseiten 02.04.2009 um 19:51:39 Uhr
Goto Top
Hi,

ich habe schon verschiedene ordner an verschiedenen Stellen erstellt und probiert.
ich gehe Montag noch mal tiefer is detail, ich werde Dich auf dem Laufenden halten! face-smile

Danke erstmal soweit!

Volkmar
gelbeseiten
gelbeseiten 08.04.2009 um 15:49:42 Uhr
Goto Top
Hi,

also, was ich rausgefunden habe ist, dass das Problem nur im Homelaufwerk des Benutzers auftritt.
Wenn ich eine andere Freigabe erstelle, und dort die gleichen Berechtigungen setze, hat der Benutzer keinerlei Chancen diesen Ordner zu löschen.

In seinem Homelaufwerk, was automatisch über sein Konto zugewiesen wird, geht es nicht.
Ich habe die Vererbung rausgenommen, er ist nicht der Eigentümer. Er hat "ÄNDERN" als Berechtigung und es gibt "JEDER löschen verweigern" trotzdem, kann er den Ordner löschen!

Dat gibbet doch nit!
Ich kenne bestimmt einen Schalter nicht, oder habe was übersehen. Was ja gut sein kann! face-sad

Danke, Gruß face-smile

Volkmar
DerWoWusste
DerWoWusste 08.04.2009 um 19:03:33 Uhr
Goto Top
Für das Homelaufwerk (wenn auf Netzwerkpfaden liegend) gelten evtl. noch weitere eigene Gesetze: löscht man auf einer normalen netzwerkfeigabe, so wird ja alles unwiederbringlich gelöscht - nicht so beim Homelaufwerk. Ich glaube mit hoher Sicherheit, dass Du keinen "Schalter" übersiehst - hab aber auch noch nicht probiert, jemandem auf dem eigenen Home das Löschen zu verweigern, mal sehen.
gelbeseiten
gelbeseiten 08.04.2009 um 19:06:04 Uhr
Goto Top
Kannst Du das testen?
Wäre klasse! face-smile

Danke

Volkmar
DerWoWusste
DerWoWusste 08.04.2009 um 22:54:47 Uhr
Goto Top
So, getestet.
Hab einen Ordner im Home des Benutzers angelegt und ihm sämtliche Rechte verweigert. Ist der Ordner leer, kann er ihn löschen (begleitet von der Fehlermeldung "cannot delete New folder: cannot find specified file. Make sure you specify the correct path and file name" - danach ist er dennoch wegface-smile, also definitiv ein Bug. Ist etwas drin, dann ist er jedoch nicht löschbar.
gelbeseiten
gelbeseiten 09.04.2009 um 08:22:34 Uhr
Goto Top
Danke Dir!!
Tja, is not a bug, its a feature face-smile
Dann weiß ich bescheid, und werde mir eine andere Lösung ausdenken müssen.

Wünsche einen schönen Tag

Volkmar