satori
Goto Top

Berechtigungnen zum Löschen für einzelne Ordner entziehen

Hallo Zusammen,

ich bräuchte ein wenig Unterstützung bei den Berechtigungen unter Windows XP Pro für einzelne Ordner und Personen.

Ich möchte gerne dem Besitzer/Ersteller die Rechte zum löschen entziehen.

Zum Hintergrund: Wir möchten gerne auf unserem Netzlaufwerk einen allgemeinen Ordner für unsere Mitarbeiter erstellen "Public" in dem unsere Angestellten ihre Screenshot "Drucke aus eigenem Programm" hineinlegen können. Da sich die Angestellten alle mit dem Selben Benutzernamen in der Domäne anmelden "ka_outbound" kann dieser selbst wenn ich die Löschberechtigungen entziehe sämtliche dateien von den anderen mitlöschen, da er ja in diesem Fall auch besitzer/ersteller ist da er sich ja auch mit ka_outbound anmeldet.

Nun möchte ich es einfach so realisieren dass der Besitzer selbst nur die rechte zum schreiben (neu anlegen einer datei), verschieben, und lesen hat, jedoch N I C H T zum löschen, wenn eine Datei dann wirklich mal gelöscht werden muss - können dass immer noch die Teamleiter machen.

Habt ihr eine Idee wie ich das erledigen kann? Habe bereits in den erweiterten Berechtigungen geschaut aber leider funktioniert es bei mir nicht wirklich.

P.S:Jedem einen eigenen Benutzernamen zu geben ist tierisch aufwändig, da ca. 120 Mitarbeiter! Und diese Einstellungen sollen nur für einen einzigen ordner und für die in dem ordnen abgelegten Dateien gelten!

Vielen Dank im Vorraus!

Content-ID: 119658

Url: https://administrator.de/contentid/119658

Ausgedruckt am: 26.11.2024 um 08:11 Uhr

Coloneltw
Coloneltw 03.07.2009 um 09:49:06 Uhr
Goto Top
Hallo,
man kann unter erweiterten Berechtigungen einem User die Löschrechte entziehen. Sprich nicht den Besitzer/Ersteller anfassen, sondern als User den ka_outbound hinzufügen und unter erweiterte Berechtigungen das Löschen verweigern, ansonsten alles erlauben.
Ich habe das hier gestestet und das klappt.
Generell ist es aber bei 120 user durchaus Sinnvoll sich gedanken um eine Domänenstruktur zu machen. Dort sind Zugriffsrechte viel besser einzustellen.
Hoffe geholfen zu haben
roland123
roland123 03.07.2009 um 10:25:34 Uhr
Goto Top
du kannst auch eine Gruppenrichtlinie erstellen und dort eine Einschränkung rein packen.
Skidboy
Skidboy 03.07.2009 um 10:26:26 Uhr
Goto Top
Hallo Satori

meiner meinung währe es leichter als Admin einen jeweiligen ordner zu erstellen und dann unter Sicherheit , Erweitert, " Benutzername " Bearbeiten und dort das feld "Löschen" und "Unterordner und Dateinen Löschen" auf Verweigern zu stellen.

Zwar Verstehe ich noch nicht recht warum bei euch alle den gleichen Benutzernamen haben zwecks sicherheit ect. aber ich hoff ma das du das noch erklärst face-smile


Gruß Skid
60730
60730 03.07.2009 um 11:17:24 Uhr
Goto Top
Zitat von @Skidboy:
Hallo Satori

Zwar Verstehe ich noch nicht recht warum bei euch alle den gleichen
Benutzernamen haben zwecks sicherheit ect. aber ich hoff ma das du das
noch erklärst face-smile

Moin,

eben - mach es richtig und außerdem es gibt noch ein paar andere Probleme, die durch das "alle User sind einer" herkommen.

"Das" ist nur eines davon...
dieses Forum nennt sich nicht nur Admnistrator.de, sondern ist auch von undf für Administratoren gedacht - und wenn ein Admin einen immer wieder gleichen Job hat - egal in welcher Firma - dann ist es das anlegen/verwalten von Usern...

Gruß
satori
satori 03.07.2009 um 11:32:50 Uhr
Goto Top
Zwar Verstehe ich noch nicht recht warum bei euch alle den gleichen
Benutzernamen haben zwecks sicherheit ect. aber ich hoff ma das du das
noch erklärst face-smile


Gruß Skid

Okay...dann werde ich jetzt mal versuchen es so ausführlich wie möglich zu erklären. Unsere Firma (Call-Center) habe ca. 300 Mitarbeiter, knapp 150 davon im Standort Karlsruhe (ka_outbound) außerdem noch in der Schweiz und in Österreich, unsere Dialingsoftware kommt mit vielen unterschiedlichen Benutzern nicht klar, außerdem war es für uns und die active directory etc. einfach für die große masse die ja alle die gleichen berechtigungen und zugriffsrechte zu haben in eine gruppe mit einem benutzer anzulegen. Macht es für uns übersichtlicher und einfach etwas einfacher. Alle Mitarbeiter (ka_outbound) habe wie in einer gruppe alle bestimmte rechte für einzelne ordner, sind berechtigt gewisse programme zu starten welche eben auf den benutzer (ka_outbound) konfiguriert worden sind. Ob noch andere Faktoren eine Rolle bei der Entscheidung zum erstellen eines benutzers für die große masse anzulegen, dahinterstecken, ,kann ich so nicht beantworten da ich selbst erst seit knapp einem jahr hier in der firma arbeite.
60730
60730 03.07.2009 um 11:55:28 Uhr
Goto Top
Servus Satori.

vorab - wenn jetzt "fies" erscheinende Zeilen kommen sollten, schon mal vorab um "entschuldigung" - das ist konstruktive Kritik und gut gemeint.

Du hast 2 Beiträge geschrieben und ich nehme mal beide zusammen auseinander face-wink

Bei euch läuft so einiges schief - ein User hat eine mdb auf dem Desktop und dieser User ist alle anderen User.

"Den letzten beissen die Hunde" - das bedeutet bei euch - der letzte, der sich abmeldet überschreibt seine DB mit der DB der anderen.

Das macht alles andere als Sinn und wirklich sehe das als Hilfe, macht es richtig!

So "kurpfuscherei" bringt niemandem etwas.

Immer wieder Benutzer mit "gleichen" Rechten anzulegen ist Kikifax - dafür brauchst nicht mal ein Script, dass user aus einerm CSV in die Ad importiert, da reicht ein simples copy in der AD.

Und wenn es nicht schon xx Anleitungen geben würde, dann könnte man auch eine schreiben - aber die gibts alle schon und wenn ich / ein anderer eine schreiben würde - dann käme (zu recht) von den anderen mitschreibern ein- wozu das ganze nochmal geschrieben heraus.

Gruß
Skidboy
Skidboy 03.07.2009 um 20:05:06 Uhr
Goto Top
nochma hallo Satori

so wie es TimoBeil und schon andere hier beschrieben haben, ist es nicht ok das eine DB auf einen Destop abgespeichert ist.
Ich rate sowieso davon ab, dass User aufn Destop etwas speichern können, denn wenn mal ein Boot fehler is, ist alles futsch sobald das BS neu rauf muss! daher alles entweder auf die andere partition oder auf Server abspeichern!
Eine DB muss für alle zugänglich sein damit änderungen für alle genutzt werden könnten, also sollte diese auf einen Server abgespeichert werden.
Sobald auf einen Server gespeichert wird, muss per sicherheitsrichtlinie gearbeit werden, also muss per AD auch diese zugeteilt werden.
Damit dies auch geht, müssen verschiedene User angelgt werden! Es können ja die verschiedene Standorte zugeteilt werden, nur so ist das nicht ok, IT-Sicherheit würde jetzt die hände übern Kopf zusammenschlagen.
Du kannst momentan ja nichtmal jemanden beweisen, wer gelöscht hat ect, selbst wenn du sagen könntest das du weist wer am welchen rechner arbeit, könnt man gerade im Call center ma eben den arbeits platz wechseln und mist verzapfen.
Das nehste was ich mir vorstelle ist, da ja alle sich mit einen PW anmelden,also wird dieses auch nie geändert.
Es is heutzutage sehr leicht sich von außerhalb einzuloggen und arbeiter im Call Center wechseln ja recht oft.
Sry aber sicherheit gleich NULL.
Als Admin sollte das niemals passieren.
Ja es ist viel arbeit die user zu Aktualiesieren aber dafür sind nunma Admins da.
Sollte vilt in eurer Firma mal drüber nachgedacht werden.

gruß Skid
Coloneltw
Coloneltw 07.07.2009 um 15:30:56 Uhr
Goto Top
Wie es Skid schon sagte, Sicherheit ist wichtig!!! Call Center arbeiten mit Kundendaten, und diese Kunden möchten bestimmt nicht, dass so lachs mit deren Daten umgegangen wird, mal abgesehen davon das dies der gesetzgeber auch nicht so doll findet. Wir alle haben die Berichte gelesen, wo solche Datenbanken mal eben im Netz auftauchen.

Und mal ehrlich, das Usermanagement im AD ist ja nun wirklich einfach. 300 User, die gleichen Rechte würde 1 Arbeitstag Arbeit bedeuten für eine Person.

Mach ne Woche draus und du hast ein guten AD Konzept, Sicherheitspolicies und Überwachung, dazu Datensicherung und den Feinschliff.

Dann noch 1-2 Tage zum Einweisen eines anderen Admins (Ausfallsicherheit auch unter Menschen). Dann steht ihr sauber da. Denn irgendwann ist jedes Unternehmen auf dem Prüfstand und ich kann dir nur raten --> zieh deinen Hintern aus der Schusslinie - der Admin wird immer zuerst bestraft wenn etwas ungesetzlich abläuft. Denn du hättest es wissen müssen.

Also nimm dir die Zeit, studiere die Gesetzeslage was notwendig ist. Wenn dein Chef ablehnt, lass dir das schriftlich geben. 300 User, alles Callcenter MA die wechseln wie die Fliegen und dann noch 1 Name + 1 PW was nie geändert wird, mit der Datenbank auf dem Desktop - lass dir das auf der Zunge zergehen und rechne mal nach wann die ersten Schlagzeilen von euch in den Nachrichten sind.

Über diese Argumente (insbesondere eventuelle Schadensansprüche der Kunden) kann man jeden Chef überzeugen. Denn er will Geld sparen. Du musst ihm zeigen, dass eine Investition was anderes ist als Kosten. Falls mehr Admins eingestellt werden müssen, ist dies eine Investition.