freak-on-silicon
Goto Top

Bin zu dumm für NTFS Berechtigungen, bitte Hilfe beim Verständnis

Servus;

Ich zweifle gerade ganz stark an mir.
Entweder bin ich wirklich so dumm oder ich steh komplett am Schlauch.

Hosts ESXi 6
Domäne 2012R2 (domain.local)
Server 2012R2
Clients Windows 10 1709 & Windows 8.1

Es geht um NTFS Berechtigungen bei einem Fileserver.
Da ist eine zweite HDD drin.

1) Sollte man in den NTFS Berechtigung für das zweite Laufwerk die "Benutzer (FILESERVER\Benutzer)" löschen oder?
Weil ja in dieser Gruppe die "DOMAIN\Domänen-Benutzer" sind.
Und dadurch ja jeder Benutzer in der Domäne gleich mal Leserechte hat.
Sehe ich das richtig? Oder gleich Vererbung deaktivieren?

2) Ich bin als Domänen-Admin angemeldet auf dem Fileserver.
Wenn ich die "Benutzer (Fileserver\Benutzer)" aus den Berechtigungen rausschmeiß, komm ich sogar als Domänen-Admin nicht mehr rein. (Zugriff verweigert)
Wie kann denn das sein. Es ist ja noch die Berechtigung für "Administratoren (FILESERVER\Administratoren)" mit Vollzugriff da.
Die Berechtigung kann ich allerdings nachher wieder hinzufügen.

Bitte erlöst mich.

Content-Key: 422606

Url: https://administrator.de/contentid/422606

Ausgedruckt am: 26.09.2022 um 18:09 Uhr

Mitglied: emeriks
Lösung emeriks 27.02.2019 um 12:49:51 Uhr
Goto Top
Hi,
Zitat von @Freak-On-Silicon:
1) Sollte man in den NTFS Berechtigung für das zweite Laufwerk die "Benutzer (FILESERVER\Benutzer)" löschen oder?
Weil ja in dieser Gruppe die "DOMAIN\Domänen-Benutzer" sind.
Und dadurch ja jeder Benutzer in der Domäne gleich mal Leserechte hat.
Sehe ich das richtig? Oder gleich Vererbung deaktivieren?
Sofern sich niemand von diesen "Benutzern" lokal am Server anmelden kann und diese HDD nicht explizit freigegeben ist, kann da niemand drauf zugreifen. Erst wenn Du diese freigibst, oder einen Ordner von dieser, dann gilt hier das Gleiche, wie bei anderen Freigaben von stationären HDD's.

2) Ich bin als Domänen-Admin angemeldet auf dem Fileserver.
Wenn ich die "Benutzer (Fileserver\Benutzer)" aus den Berechtigungen rausschmeiß, komm ich sogar als Domänen-Admin nicht mehr rein. (Zugriff verweigert)
Wie kann denn das sein. Es ist ja noch die Berechtigung für "Administratoren (FILESERVER\Administratoren)" mit Vollzugriff da.
Das hat was mit UAC zu tun. Starte mal eine CMD "als Administrator" und Du hast dann aus dieser CMD bestimmt Zugriff auf diese HDD.

E.
Mitglied: DerWoWusste
Lösung DerWoWusste 27.02.2019 um 12:50:48 Uhr
Goto Top
Hi.

Erklärbar: Domänenadmins verlieren Dank der UAC Ihren starken Sitzungstoken und arbeiten als normale Nutzer, solnage, bis sie Elevation (Rechtsklick ->"als Administrator ausführen") nutzen. Da diese Elevation beim Windows-Explorer nicht ohne Weiteres funktioniert, empfiehlt sich entweder

A ein anderer Dateibrowser für den Fileserveradministrator (zum Beispiel Total Commander)
B UAC am Fileserver auszuschalten
C eine Gruppe "Fileserveradmins" mit Vollzugriff auf alles einzurichten, in die dann explizit die Namen der einzelnen (Domänen-)admins eingetragen werden.

Zur Frage: ja, normale Nutzer sollten nicht generell Leserecht haben. Ob Du nun Weg1 oder Weg2 8Vererbung auflösen) beschreitest, bleibt Dir überlassen. vererbung ist jedoch in der Regel erwünscht.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 27.02.2019 um 13:00:05 Uhr
Goto Top
Zitat von @emeriks:

Hi,
Zitat von @Freak-On-Silicon:
1) Sollte man in den NTFS Berechtigung für das zweite Laufwerk die "Benutzer (FILESERVER\Benutzer)" löschen oder?
Weil ja in dieser Gruppe die "DOMAIN\Domänen-Benutzer" sind.
Und dadurch ja jeder Benutzer in der Domäne gleich mal Leserechte hat.
Sehe ich das richtig? Oder gleich Vererbung deaktivieren?
Sofern sich niemand von diesen "Benutzern" lokal am Server anmelden kann und diese HDD nicht explizit freigegeben ist, kann da niemand drauf zugreifen. Erst wenn Du diese freigibst, oder einen Ordner von dieser, dann gilt hier das Gleiche, wie bei anderen Freigaben von stationären HDD's.

Ja ok, das ist klar. Aber natürlich sollen bei dem Fileserver mal Ordner freigegeben werden.



2) Ich bin als Domänen-Admin angemeldet auf dem Fileserver.
Wenn ich die "Benutzer (Fileserver\Benutzer)" aus den Berechtigungen rausschmeiß, komm ich sogar als Domänen-Admin nicht mehr rein. (Zugriff verweigert)
Wie kann denn das sein. Es ist ja noch die Berechtigung für "Administratoren (FILESERVER\Administratoren)" mit Vollzugriff da.
Das hat was mit UAC zu tun. Starte mal eine CMD "als Administrator" und Du hast dann aus dieser CMD bestimmt Zugriff auf diese HDD.

Ahhhhh die UAC.
Die hab ich komplett außer Acht gelassen.
Stimmt, über CMD gehts dann.

E.

Mitglied: Freak-On-Silicon
Freak-On-Silicon 27.02.2019 um 13:02:13 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Erklärbar: Domänenadmins verlieren Dank der UAC Ihren starken Sitzungstoken und arbeiten als normale Nutzer, solnage, bis sie Elevation (Rechtsklick ->"als Administrator ausführen") nutzen. Da diese Elevation beim Windows-Explorer nicht ohne Weiteres funktioniert, empfiehlt sich entweder

Würde auch andere Beobachtungen von mir erklären, danke.

A ein anderer Dateibrowser für den Fileserveradministrator (zum Beispiel Total Commander)
B UAC am Fileserver auszuschalten
C eine Gruppe "Fileserveradmins" mit Vollzugriff auf alles einzurichten, in die dann explizit die Namen der einzelnen (Domänen-)admins eingetragen werden.

C wirds werden, da ich eh noch ein "Konzept" ausarbeiten muss, punkto mehrerer "kleiner" Admins.
Denn derzeit wird der Domänen-Admin hier genutzt, ist natürlich ein No-Go

Zur Frage: ja, normale Nutzer sollten nicht generell Leserecht haben. Ob Du nun Weg1 oder Weg2 8Vererbung auflösen) beschreitest, bleibt Dir überlassen. vererbung ist jedoch in der Regel erwünscht.

Ja, ich denke ich werde die Vererbung deaktivieren, gefällt mir besser.
Mitglied: Bem0815
Bem0815 28.02.2019 um 09:24:16 Uhr
Goto Top
Eine kurze Offtopic Anmerkung, da ich gelesen habe, dass ihr noch Windows 10 1709 verwendet.

Denk dran, dass sofern ihr Windows 10 Pro oder darunter verwendet in weniger als 2 Monaten der Support ausläuft.
Und zwar am 9. April 2019.

Nur bei Enterprise oder Education habt ihr noch bis zum 14. April 2020 Zeit.

Würde also empfehlen so langsam zu upgrade ;)
Mitglied: Freak-On-Silicon
Freak-On-Silicon 01.03.2019 um 08:40:44 Uhr
Goto Top
Zitat von @Bem0815:

Eine kurze Offtopic Anmerkung, da ich gelesen habe, dass ihr noch Windows 10 1709 verwendet.

Denk dran, dass sofern ihr Windows 10 Pro oder darunter verwendet in weniger als 2 Monaten der Support ausläuft.
Und zwar am 9. April 2019.

Nur bei Enterprise oder Education habt ihr noch bis zum 14. April 2020 Zeit.

Würde also empfehlen so langsam zu upgrade ;)


Danke für die Info.

Das ist mir bekannt, und wir haben Enterprise face-smile
Ich werde erst mit Version 2003 wechseln.