Domänen User haben vollen Zugriff auf Sicherheitseinstellungen
Guten Tag,
ich habe hier in der Domäne auf einmal das Problem das Domänen User (Mitarbeiter) Zugriff auf die Sicherheitseinstellungen der Domäne haben.
Und zwar können die Domänen User auf den Freigaben auf die sie selbst vollen Zugriffe haben, per Sicherheitseinstellungen andere Domänen User die dort auch Zugriff haben, eliminieren
bzw. neue User hinzufügen.
Sogar kann ein Domänen User mich als Domänen Admin von den Sicherheitseinstellungen eliminieren.
Ich verstehe nicht wo das Problem liegt, die haben keine Domänen Admin Rechte.
habe ich irgendwo eine Richtline übersehen die User auf ihren eigenen Freigaben verbietet Sicherheitsrechte selbst zu setzen?
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
hat jemand eine Idee?
Server Domäne ist Windows 2003 noch
Clienten sind Windows 10 Prof. Domäne und Windows 7 Prof. Domäne.
ich habe hier in der Domäne auf einmal das Problem das Domänen User (Mitarbeiter) Zugriff auf die Sicherheitseinstellungen der Domäne haben.
Und zwar können die Domänen User auf den Freigaben auf die sie selbst vollen Zugriffe haben, per Sicherheitseinstellungen andere Domänen User die dort auch Zugriff haben, eliminieren
bzw. neue User hinzufügen.
Sogar kann ein Domänen User mich als Domänen Admin von den Sicherheitseinstellungen eliminieren.
Ich verstehe nicht wo das Problem liegt, die haben keine Domänen Admin Rechte.
habe ich irgendwo eine Richtline übersehen die User auf ihren eigenen Freigaben verbietet Sicherheitsrechte selbst zu setzen?
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
hat jemand eine Idee?
Server Domäne ist Windows 2003 noch
Clienten sind Windows 10 Prof. Domäne und Windows 7 Prof. Domäne.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296005
Url: https://administrator.de/forum/domaenen-user-haben-vollen-zugriff-auf-sicherheitseinstellungen-296005.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
25 Kommentare
Neuester Kommentar
Moin,
Ansonsten solltest Deine Gruppenmitgliedschaften prüfen. Ggfs. sind auch "nur" die Dom-User Mitglied der lokalen Administratoren-Gruppe(n) auf dem/den File-Server(n).
lg,
Slainte
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
Wenn du damit den Haken beim "Vollzugriff" meinst, dann ist das normal, ja.Ansonsten solltest Deine Gruppenmitgliedschaften prüfen. Ggfs. sind auch "nur" die Dom-User Mitglied der lokalen Administratoren-Gruppe(n) auf dem/den File-Server(n).
lg,
Slainte
Hi,
Sofern Benutzer dort das Recht haben, Ordner und/oder Dateien zu erstellen, sind sie nach dem Erstellen dieser deren Besitzer. Ein Besitzer kann ebenfalls die Berechtigungsliste bearbeiten, das kann man nicht verhindern.
ich verstehe nicht wo das Problem liegt, die haben keine Domänen Admin Rechte.
Ich will Dir jetzt wirklich nicht zu nahe treten. Aber vielleicht solltest Du mal vor der eigenen Haustür kehren? Wenn Du der Admin des Systems bist und die Zugriffberechtigungen verwaltest, dann solltest Du es auch verstehen.habe ich irgendwo eine Richtline übersehen die User auf ihren eigenen Freigaben verbietet Sicherheitsrechte selbst zu setzen?
Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
Sofern jemand Vollzugriff auf einen Ordner oder eine Datei hat, kann er für diese auch die Berechtigungsliste (ACL) bearbeiten. Das schließt Hinzufügen und Entfernen von Berechtigungseinrrägen (ACE) ein.Oder ist das gar normal, weil sie ja auf ihre eigenen Freigaben "volle Rechte" haben?
Sofern Benutzer dort das Recht haben, Ordner und/oder Dateien zu erstellen, sind sie nach dem Erstellen dieser deren Besitzer. Ein Besitzer kann ebenfalls die Berechtigungsliste bearbeiten, das kann man nicht verhindern.
Was schreibst Du denn da? Allein die Frage disqualifiziert Dich als Fileserver-Admin.
Es geht doch um Zugriffsrechte auf Dateien und nicht um Sicherheitseinstellungen der Domänen-Benutzer!? Das sind nicht mal Äppel und Birnen, dass sind Äppel und Schuhe!
Man kann nicht verhindern, dass der Besitzer einer Datei deren Zugriffrechte bearbeitet kann. Ende.
Man könnte höchstens einen Dienst oder einen Task laufen lassen, welcher bei Erstellung einer Datei oder eines Ordner dessen Besitzer auf "Administratoren" o.ä. ändert.
Es geht doch um Zugriffsrechte auf Dateien und nicht um Sicherheitseinstellungen der Domänen-Benutzer!? Das sind nicht mal Äppel und Birnen, dass sind Äppel und Schuhe!
Man kann nicht verhindern, dass der Besitzer einer Datei deren Zugriffrechte bearbeitet kann. Ende.
Man könnte höchstens einen Dienst oder einen Task laufen lassen, welcher bei Erstellung einer Datei oder eines Ordner dessen Besitzer auf "Administratoren" o.ä. ändert.
Man man ...
Also im Explorer den Reiter "Sicherheit" ausblenden?
Computereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
Registerkarte "Sicherheit" entfernen
Das erschwert aber nur, verhindert nicht. Ist eine Einstellunge, die am Client erfolgen muss. Sie gilt dann für den gesamten Client, unabhängig vom Benutzer und für alle Dateien und Ordner, auf welche von diesem Client aus zugegriffen wird.
Edit:
Nee, ist eine Benutzereinstellung. Gilt also nur für diesen Bnutzer.
Benutzereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
Also im Explorer den Reiter "Sicherheit" ausblenden?
Computereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
Registerkarte "Sicherheit" entfernen
Das erschwert aber nur, verhindert nicht. Ist eine Einstellunge, die am Client erfolgen muss. Sie gilt dann für den gesamten Client, unabhängig vom Benutzer und für alle Dateien und Ordner, auf welche von diesem Client aus zugegriffen wird.
Edit:
Nee, ist eine Benutzereinstellung. Gilt also nur für diesen Bnutzer.
Benutzereinstellungen\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Explorer
Das gilt dann aber für die ganze Struktur innerhalb dieser Freigabe. Das kann u.U. nicht immer erwünscht sein.
Welchen Fall sprichst Du an? Wenn ich verhindern will, dass jemand Rechte ändert, dann muss ich es so machen, genau so und nicht anders geht es. Setzt man Ändern-Rechte auf die Freigabe, dann kann nirgendwo unterhalb ein Recht von Nutzern geändert werden. Der Anwendungsfall, dass Nutzer in Unterordner A Rechte nicht ändern dürfen, aber in B wieder ist doch nie gegeben - Nutzern sollen niemals Rechte ändern.
Wir haben bei uns z.B. Ordnerstrukturen, die vorgegeben sind. Nur bestimmte Benutzer dürfen da neue Stammordner erstellen. Dies erfolgt mittels eines Scripts, welches einen Vorlage-Ordner samt Unterstruktur und Berechtigungen kopiert. Dafür benötigen diese Benutzer Vollzugriff in der Freigabe.
Das kann man zwar explizit für nur diese Benutzer einrichten. Aber diese Benutzer sollen danach an den Rechten des neu erstellten Stammordners und der definierten Unterstruktur nachträglich nichts mehr ändern dürfen.
Das kann man zwar explizit für nur diese Benutzer einrichten. Aber diese Benutzer sollen danach an den Rechten des neu erstellten Stammordners und der definierten Unterstruktur nachträglich nichts mehr ändern dürfen.
Hi
bei uns hat kein Nutzer Vollzugriffsrechte auf irgendwelche Dateifreigaben, selbst Ändern von Berechtigungen oder die Besitzübernahme ist auf NTFS "verweigert", dass hat bei uns zu Anfang nicht nur einmal zu Problemen geführt. Zu dem ist die Gesamte Grundstruktur der Ordner komplett vorgeben und durch keinen Anwender editierbar, die können ggf. in tieferen Unterordner etwas anpassen mehr aber auch nicht.
Zu dem Berechtigt man im Regelfall keine Benutzer direkt auf irgendwelche Dateifreigaben, wie lange möchtest denn nach evtl. Freigaben suchen und diese ändern wenn der Personen einen anderen Aufgabenbereich bekommt, nimm dafür immer Gruppen und niemals den Benutzer direkt.
Just my 2 Cent
@clSchak
bei uns hat kein Nutzer Vollzugriffsrechte auf irgendwelche Dateifreigaben, selbst Ändern von Berechtigungen oder die Besitzübernahme ist auf NTFS "verweigert", dass hat bei uns zu Anfang nicht nur einmal zu Problemen geführt. Zu dem ist die Gesamte Grundstruktur der Ordner komplett vorgeben und durch keinen Anwender editierbar, die können ggf. in tieferen Unterordner etwas anpassen mehr aber auch nicht.
Zu dem Berechtigt man im Regelfall keine Benutzer direkt auf irgendwelche Dateifreigaben, wie lange möchtest denn nach evtl. Freigaben suchen und diese ändern wenn der Personen einen anderen Aufgabenbereich bekommt, nimm dafür immer Gruppen und niemals den Benutzer direkt.
Just my 2 Cent
@clSchak
selbst Ändern von Berechtigungen oder die Besitzübernahme ist auf NTFS "verweigert",
Ob Du's glaubst oder nicht, steht in den Freigaberechten Vollzugriff für alle/auth.Ben. drin, dann wird diese Restriktion schlicht übergangen, wenn der Nutzer Ersteller der Datei ist. Wichtiger und somit auch hinreichend für Deine Zwecke ist also das Freigaberecht.Ob Du's glaubst oder nicht, steht in den Freigaberechten Vollzugriff für alle/auth.Ben. drin, dann wird diese Restriktion schlicht übergangen, wenn der Nutzer Ersteller der Datei ist.
Ich betrachte das nicht als "übergehen". Es sind zwei verschiedene Objekte. Das eine ist die Datei, das andere die ACL. "Sicherheit bearbeiten" betrifft nicht die Datei selbst.Wir haben immer 3 Gruppen "Lesen/ändern/schreiben" und die sind auch in den NTFS Berechtigungen eingestellt und weder Freigabe noch NTFS Berechtigung haben Vollzugriff
Es ist vollkomme egal, wie Du das machst. Wenn jemand dort eine Datei erstellt, dann ist er der Besitzer dieser. Und er kann dann die ACL bearbeiten.Nur: Wenn man an der Freigabe bereits die Rechte filtert (kein Vollzugriff), dann kommen die Anfragen für diese Rechte gar nicht erst beim NTFS an. Und nur deshalb kann dann der Benutzer sein Besitzrecht nicht in Anspruch nehmen.