kingcopy
Goto Top

Domänen User haben vollen Zugriff auf Sicherheitseinstellungen

Guten Tag,

ich habe hier in der Domäne auf einmal das Problem das Domänen User (Mitarbeiter) Zugriff auf die Sicherheitseinstellungen der Domäne haben.
Und zwar können die Domänen User auf den Freigaben auf die sie selbst vollen Zugriffe haben, per Sicherheitseinstellungen andere Domänen User die dort auch Zugriff haben, eliminieren
bzw. neue User hinzufügen.

Sogar kann ein Domänen User mich als Domänen Admin von den Sicherheitseinstellungen eliminieren.

Ich verstehe nicht wo das Problem liegt, die haben keine Domänen Admin Rechte.

habe ich irgendwo eine Richtline übersehen die User auf ihren eigenen Freigaben verbietet Sicherheitsrechte selbst zu setzen?
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?


hat jemand eine Idee?

Server Domäne ist Windows 2003 noch
Clienten sind Windows 10 Prof. Domäne und Windows 7 Prof. Domäne.

Content-ID: 296005

Url: https://administrator.de/forum/domaenen-user-haben-vollen-zugriff-auf-sicherheitseinstellungen-296005.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

SlainteMhath
SlainteMhath 12.02.2016 um 09:45:58 Uhr
Goto Top
Moin,

Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
Wenn du damit den Haken beim "Vollzugriff" meinst, dann ist das normal, ja.
Ansonsten solltest Deine Gruppenmitgliedschaften prüfen. Ggfs. sind auch "nur" die Dom-User Mitglied der lokalen Administratoren-Gruppe(n) auf dem/den File-Server(n).

lg,
Slainte
emeriks
emeriks 12.02.2016 um 10:06:05 Uhr
Goto Top
Hi,
ich verstehe nicht wo das Problem liegt, die haben keine Domänen Admin Rechte.
Ich will Dir jetzt wirklich nicht zu nahe treten. Aber vielleicht solltest Du mal vor der eigenen Haustür kehren? Wenn Du der Admin des Systems bist und die Zugriffberechtigungen verwaltest, dann solltest Du es auch verstehen.

habe ich irgendwo eine Richtline übersehen die User auf ihren eigenen Freigaben verbietet Sicherheitsrechte selbst zu setzen?
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
Sofern jemand Vollzugriff auf einen Ordner oder eine Datei hat, kann er für diese auch die Berechtigungsliste (ACL) bearbeiten. Das schließt Hinzufügen und Entfernen von Berechtigungseinrrägen (ACE) ein.
Sofern Benutzer dort das Recht haben, Ordner und/oder Dateien zu erstellen, sind sie nach dem Erstellen dieser deren Besitzer. Ein Besitzer kann ebenfalls die Berechtigungsliste bearbeiten, das kann man nicht verhindern.
kingcopy
kingcopy 12.02.2016 um 10:26:44 Uhr
Goto Top
Gibt es nicht irgendwo eine Policy die "zugriff auf Sicherheitseinstellungen der Domänen-Benutzer" Verhindert?
emeriks
emeriks 12.02.2016 um 10:35:51 Uhr
Goto Top
Was schreibst Du denn da? Allein die Frage disqualifiziert Dich als Fileserver-Admin.
Es geht doch um Zugriffsrechte auf Dateien und nicht um Sicherheitseinstellungen der Domänen-Benutzer!? Das sind nicht mal Äppel und Birnen, dass sind Äppel und Schuhe!

Man kann nicht verhindern, dass der Besitzer einer Datei deren Zugriffrechte bearbeitet kann. Ende.

Man könnte höchstens einen Dienst oder einen Task laufen lassen, welcher bei Erstellung einer Datei oder eines Ordner dessen Besitzer auf "Administratoren" o.ä. ändert.
SlainteMhath
SlainteMhath 12.02.2016 um 10:37:02 Uhr
Goto Top
Was meinst du denn mit "Sicherheitseinstellungen der Domänen-Benutzer"? Die CIFS/NTFS Rechte der User am Fileserver?
Grundsätzlich kann man Rechte per GPP regeln, das macht aber auf dem Fileserver keinen Sinn.
kingcopy
kingcopy 12.02.2016 um 10:49:07 Uhr
Goto Top
Ich meine das Feld der sicherheitseinstellungen "Auszugrauen"
VGem-e
VGem-e 12.02.2016 um 10:51:55 Uhr
Goto Top
Servus,

kurz OT:

Du bist mutig, nach Supportende noch mit MS Server 2003 zu arbeiten...

Ich hoffe doch wenigstens, dass der Server bis zur Umstellung nicht auch noch ins Internet kommt?

Gruß
VGem-e
lenny4me
lenny4me 12.02.2016 um 10:53:03 Uhr
Goto Top
Ich stimme meinem Vorredner zu.
Einfach vollzugriff entfernen. Lesen Schreiben reicht für 99,9% der User aus.
emeriks
emeriks 12.02.2016 aktualisiert um 10:57:16 Uhr
Goto Top
Man man ...
Also im Explorer den Reiter "Sicherheit" ausblenden?

Computereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
Registerkarte "Sicherheit" entfernen

Das erschwert aber nur, verhindert nicht. Ist eine Einstellunge, die am Client erfolgen muss. Sie gilt dann für den gesamten Client, unabhängig vom Benutzer und für alle Dateien und Ordner, auf welche von diesem Client aus zugegriffen wird.

Edit:
Nee, ist eine Benutzereinstellung. Gilt also nur für diesen Bnutzer.
Benutzereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
lenny4me
lenny4me 12.02.2016 um 10:56:08 Uhr
Goto Top
"Also im Explorer den Reiter "Sicherheit" ausblenden"

dann nehm ich eben subinacl oder powershell face-smile
emeriks
emeriks 12.02.2016 um 10:56:58 Uhr
Goto Top
dann nehm ich eben subinacl oder powershell face-smile
Schrieb ich ja ...
DerWoWusste
DerWoWusste 12.02.2016 um 11:07:06 Uhr
Goto Top
Hi.

Vergib in der Freigabeberechtigung nur ändern-Rechte an die Nutzer und alles wird gut.
SlainteMhath
SlainteMhath 12.02.2016 um 11:08:06 Uhr
Goto Top
Ich meine das Feld der sicherheitseinstellungen "Auszugrauen"
Ok, heute ist Freitag... alles klar face-smile
emeriks
emeriks 12.02.2016 um 11:11:04 Uhr
Goto Top
Vergib in der Freigabeberechtigung nur ändern-Rechte an die Nutzer und alles wird gut.
Hi DWW,
Ja klar, so geht das auch. Das gilt dann aber für die ganze Struktur innerhalb dieser Freigabe. Das kann u.U. nicht immer erwünscht sein.

E.
DerWoWusste
DerWoWusste 12.02.2016 um 11:15:31 Uhr
Goto Top
Das gilt dann aber für die ganze Struktur innerhalb dieser Freigabe. Das kann u.U. nicht immer erwünscht sein.
Welchen Fall sprichst Du an? Wenn ich verhindern will, dass jemand Rechte ändert, dann muss ich es so machen, genau so und nicht anders geht es. Setzt man Ändern-Rechte auf die Freigabe, dann kann nirgendwo unterhalb ein Recht von Nutzern geändert werden. Der Anwendungsfall, dass Nutzer in Unterordner A Rechte nicht ändern dürfen, aber in B wieder ist doch nie gegeben - Nutzern sollen niemals Rechte ändern.
emeriks
emeriks 12.02.2016 um 11:26:19 Uhr
Goto Top
Wir haben bei uns z.B. Ordnerstrukturen, die vorgegeben sind. Nur bestimmte Benutzer dürfen da neue Stammordner erstellen. Dies erfolgt mittels eines Scripts, welches einen Vorlage-Ordner samt Unterstruktur und Berechtigungen kopiert. Dafür benötigen diese Benutzer Vollzugriff in der Freigabe.
Das kann man zwar explizit für nur diese Benutzer einrichten. Aber diese Benutzer sollen danach an den Rechten des neu erstellten Stammordners und der definierten Unterstruktur nachträglich nichts mehr ändern dürfen.
DerWoWusste
DerWoWusste 12.02.2016 um 12:50:58 Uhr
Goto Top
Verstehe. Aber das könnte nun auch ein Skript für die Nutzer machen, das in einem anderen Rechtekontext handelt.
clSchak
clSchak 12.02.2016 um 13:08:06 Uhr
Goto Top
Hi

bei uns hat kein Nutzer Vollzugriffsrechte auf irgendwelche Dateifreigaben, selbst Ändern von Berechtigungen oder die Besitzübernahme ist auf NTFS "verweigert", dass hat bei uns zu Anfang nicht nur einmal zu Problemen geführt. Zu dem ist die Gesamte Grundstruktur der Ordner komplett vorgeben und durch keinen Anwender editierbar, die können ggf. in tieferen Unterordner etwas anpassen mehr aber auch nicht.

Zu dem Berechtigt man im Regelfall keine Benutzer direkt auf irgendwelche Dateifreigaben, wie lange möchtest denn nach evtl. Freigaben suchen und diese ändern wenn der Personen einen anderen Aufgabenbereich bekommt, nimm dafür immer Gruppen und niemals den Benutzer direkt.

Just my 2 Cent
@clSchak
DerWoWusste
DerWoWusste 12.02.2016 um 13:18:33 Uhr
Goto Top
selbst Ändern von Berechtigungen oder die Besitzübernahme ist auf NTFS "verweigert",
Ob Du's glaubst oder nicht, steht in den Freigaberechten Vollzugriff für alle/auth.Ben. drin, dann wird diese Restriktion schlicht übergangen, wenn der Nutzer Ersteller der Datei ist. Wichtiger und somit auch hinreichend für Deine Zwecke ist also das Freigaberecht.
clSchak
clSchak 12.02.2016 um 13:35:15 Uhr
Goto Top
Wir haben immer 3 Gruppen "Lesen/ändern/schreiben" und die sind auch in den NTFS Berechtigungen eingestellt und weder Freigabe noch NTFS Berechtigung haben Vollzugriff face-wink
emeriks
emeriks 12.02.2016 um 13:46:55 Uhr
Goto Top
Ob Du's glaubst oder nicht, steht in den Freigaberechten Vollzugriff für alle/auth.Ben. drin, dann wird diese Restriktion schlicht übergangen, wenn der Nutzer Ersteller der Datei ist.
Ich betrachte das nicht als "übergehen". Es sind zwei verschiedene Objekte. Das eine ist die Datei, das andere die ACL. "Sicherheit bearbeiten" betrifft nicht die Datei selbst.
emeriks
emeriks 12.02.2016 um 13:53:14 Uhr
Goto Top
Wir haben immer 3 Gruppen "Lesen/ändern/schreiben" und die sind auch in den NTFS Berechtigungen eingestellt und weder Freigabe noch NTFS Berechtigung haben Vollzugriff face-wink
Es ist vollkomme egal, wie Du das machst. Wenn jemand dort eine Datei erstellt, dann ist er der Besitzer dieser. Und er kann dann die ACL bearbeiten.
Nur: Wenn man an der Freigabe bereits die Rechte filtert (kein Vollzugriff), dann kommen die Anfragen für diese Rechte gar nicht erst beim NTFS an. Und nur deshalb kann dann der Benutzer sein Besitzrecht nicht in Anspruch nehmen.
kingcopy
kingcopy 12.02.2016 aktualisiert um 15:31:13 Uhr
Goto Top
Vielen Dank für die Vorschläge ich habe das Konzept überarbeitet und denke das nun eine Lösung gefunden ist.

und Ja ich bin dabei den 2003 aufzulösen bzw die AD an den 2008 er zu übergeben.
ichbindernikolaus
ichbindernikolaus 13.02.2016 um 18:00:11 Uhr
Goto Top
Gerade völlig OT aber im Jahr 2016 noch auf einen Server 2008 migrieren? Auch nicht die beste aller Ideen oder?
Warum nicht die Chance nutzen und gleich auf was aktuelles hochziehen damit man hinterher ein paar Jahre Ruhe hat?

Gruß aus HH
kingcopy
kingcopy 16.02.2016 um 08:09:10 Uhr
Goto Top
Wir haben ein dutzend Server 2008 R2 LIZ