6
Bin zu dumm für NTFS Berechtigungen, bitte Hilfe beim Verständnis
Servus;
Ich zweifle gerade ganz stark an mir.
Entweder bin ich wirklich so dumm oder ich steh komplett am Schlauch.
Hosts ESXi 6
Domäne 2012R2 (domain.local)
Server 2012R2
Clients Windows 10 1709 & Windows 8.1
Es geht um NTFS Berechtigungen bei einem Fileserver.
Da ist eine zweite HDD drin.
1) Sollte man in den NTFS Berechtigung für das zweite Laufwerk die "Benutzer (FILESERVER\Benutzer)" löschen oder?
Weil ja in dieser Gruppe die "DOMAIN\Domänen-Benutzer" sind.
Und dadurch ja jeder Benutzer in der Domäne gleich mal Leserechte hat.
Sehe ich das richtig? Oder gleich Vererbung deaktivieren?
2) Ich bin als Domänen-Admin angemeldet auf dem Fileserver.
Wenn ich die "Benutzer (Fileserver\Benutzer)" aus den Berechtigungen rausschmeiß, komm ich sogar als Domänen-Admin nicht mehr rein. (Zugriff verweigert)
Wie kann denn das sein. Es ist ja noch die Berechtigung für "Administratoren (FILESERVER\Administratoren)" mit Vollzugriff da.
Die Berechtigung kann ich allerdings nachher wieder hinzufügen.
Bitte erlöst mich.
Ich zweifle gerade ganz stark an mir.
Entweder bin ich wirklich so dumm oder ich steh komplett am Schlauch.
Hosts ESXi 6
Domäne 2012R2 (domain.local)
Server 2012R2
Clients Windows 10 1709 & Windows 8.1
Es geht um NTFS Berechtigungen bei einem Fileserver.
Da ist eine zweite HDD drin.
1) Sollte man in den NTFS Berechtigung für das zweite Laufwerk die "Benutzer (FILESERVER\Benutzer)" löschen oder?
Weil ja in dieser Gruppe die "DOMAIN\Domänen-Benutzer" sind.
Und dadurch ja jeder Benutzer in der Domäne gleich mal Leserechte hat.
Sehe ich das richtig? Oder gleich Vererbung deaktivieren?
2) Ich bin als Domänen-Admin angemeldet auf dem Fileserver.
Wenn ich die "Benutzer (Fileserver\Benutzer)" aus den Berechtigungen rausschmeiß, komm ich sogar als Domänen-Admin nicht mehr rein. (Zugriff verweigert)
Wie kann denn das sein. Es ist ja noch die Berechtigung für "Administratoren (FILESERVER\Administratoren)" mit Vollzugriff da.
Die Berechtigung kann ich allerdings nachher wieder hinzufügen.
Bitte erlöst mich.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 422606
Url: https://administrator.de/contentid/422606
Printed on: April 16, 2024 at 23:04 o'clock
6 Comments
Latest comment
Hi,
E.
Zitat von @Freak-On-Silicon:
1) Sollte man in den NTFS Berechtigung für das zweite Laufwerk die "Benutzer (FILESERVER\Benutzer)" löschen oder?
Weil ja in dieser Gruppe die "DOMAIN\Domänen-Benutzer" sind.
Und dadurch ja jeder Benutzer in der Domäne gleich mal Leserechte hat.
Sehe ich das richtig? Oder gleich Vererbung deaktivieren?
Sofern sich niemand von diesen "Benutzern" lokal am Server anmelden kann und diese HDD nicht explizit freigegeben ist, kann da niemand drauf zugreifen. Erst wenn Du diese freigibst, oder einen Ordner von dieser, dann gilt hier das Gleiche, wie bei anderen Freigaben von stationären HDD's.1) Sollte man in den NTFS Berechtigung für das zweite Laufwerk die "Benutzer (FILESERVER\Benutzer)" löschen oder?
Weil ja in dieser Gruppe die "DOMAIN\Domänen-Benutzer" sind.
Und dadurch ja jeder Benutzer in der Domäne gleich mal Leserechte hat.
Sehe ich das richtig? Oder gleich Vererbung deaktivieren?
2) Ich bin als Domänen-Admin angemeldet auf dem Fileserver.
Wenn ich die "Benutzer (Fileserver\Benutzer)" aus den Berechtigungen rausschmeiß, komm ich sogar als Domänen-Admin nicht mehr rein. (Zugriff verweigert)
Wie kann denn das sein. Es ist ja noch die Berechtigung für "Administratoren (FILESERVER\Administratoren)" mit Vollzugriff da.
Das hat was mit UAC zu tun. Starte mal eine CMD "als Administrator" und Du hast dann aus dieser CMD bestimmt Zugriff auf diese HDD.Wenn ich die "Benutzer (Fileserver\Benutzer)" aus den Berechtigungen rausschmeiß, komm ich sogar als Domänen-Admin nicht mehr rein. (Zugriff verweigert)
Wie kann denn das sein. Es ist ja noch die Berechtigung für "Administratoren (FILESERVER\Administratoren)" mit Vollzugriff da.
E.
1
Hi.
Erklärbar: Domänenadmins verlieren Dank der UAC Ihren starken Sitzungstoken und arbeiten als normale Nutzer, solnage, bis sie Elevation (Rechtsklick ->"als Administrator ausführen") nutzen. Da diese Elevation beim Windows-Explorer nicht ohne Weiteres funktioniert, empfiehlt sich entweder
A ein anderer Dateibrowser für den Fileserveradministrator (zum Beispiel Total Commander)
B UAC am Fileserver auszuschalten
C eine Gruppe "Fileserveradmins" mit Vollzugriff auf alles einzurichten, in die dann explizit die Namen der einzelnen (Domänen-)admins eingetragen werden.
Zur Frage: ja, normale Nutzer sollten nicht generell Leserecht haben. Ob Du nun Weg1 oder Weg2 8Vererbung auflösen) beschreitest, bleibt Dir überlassen. vererbung ist jedoch in der Regel erwünscht.
Erklärbar: Domänenadmins verlieren Dank der UAC Ihren starken Sitzungstoken und arbeiten als normale Nutzer, solnage, bis sie Elevation (Rechtsklick ->"als Administrator ausführen") nutzen. Da diese Elevation beim Windows-Explorer nicht ohne Weiteres funktioniert, empfiehlt sich entweder
A ein anderer Dateibrowser für den Fileserveradministrator (zum Beispiel Total Commander)
B UAC am Fileserver auszuschalten
C eine Gruppe "Fileserveradmins" mit Vollzugriff auf alles einzurichten, in die dann explizit die Namen der einzelnen (Domänen-)admins eingetragen werden.
Zur Frage: ja, normale Nutzer sollten nicht generell Leserecht haben. Ob Du nun Weg1 oder Weg2 8Vererbung auflösen) beschreitest, bleibt Dir überlassen. vererbung ist jedoch in der Regel erwünscht.
1
Zitat von @emeriks:
Hi,
Hi,
Zitat von @Freak-On-Silicon:
1) Sollte man in den NTFS Berechtigung für das zweite Laufwerk die "Benutzer (FILESERVER\Benutzer)" löschen oder?
Weil ja in dieser Gruppe die "DOMAIN\Domänen-Benutzer" sind.
Und dadurch ja jeder Benutzer in der Domäne gleich mal Leserechte hat.
Sehe ich das richtig? Oder gleich Vererbung deaktivieren?
Sofern sich niemand von diesen "Benutzern" lokal am Server anmelden kann und diese HDD nicht explizit freigegeben ist, kann da niemand drauf zugreifen. Erst wenn Du diese freigibst, oder einen Ordner von dieser, dann gilt hier das Gleiche, wie bei anderen Freigaben von stationären HDD's.1) Sollte man in den NTFS Berechtigung für das zweite Laufwerk die "Benutzer (FILESERVER\Benutzer)" löschen oder?
Weil ja in dieser Gruppe die "DOMAIN\Domänen-Benutzer" sind.
Und dadurch ja jeder Benutzer in der Domäne gleich mal Leserechte hat.
Sehe ich das richtig? Oder gleich Vererbung deaktivieren?
Ja ok, das ist klar. Aber natürlich sollen bei dem Fileserver mal Ordner freigegeben werden.
2) Ich bin als Domänen-Admin angemeldet auf dem Fileserver.
Wenn ich die "Benutzer (Fileserver\Benutzer)" aus den Berechtigungen rausschmeiß, komm ich sogar als Domänen-Admin nicht mehr rein. (Zugriff verweigert)
Wie kann denn das sein. Es ist ja noch die Berechtigung für "Administratoren (FILESERVER\Administratoren)" mit Vollzugriff da.
Das hat was mit UAC zu tun. Starte mal eine CMD "als Administrator" und Du hast dann aus dieser CMD bestimmt Zugriff auf diese HDD.Wenn ich die "Benutzer (Fileserver\Benutzer)" aus den Berechtigungen rausschmeiß, komm ich sogar als Domänen-Admin nicht mehr rein. (Zugriff verweigert)
Wie kann denn das sein. Es ist ja noch die Berechtigung für "Administratoren (FILESERVER\Administratoren)" mit Vollzugriff da.
Ahhhhh die UAC.
Die hab ich komplett außer Acht gelassen.
Stimmt, über CMD gehts dann.
E.
Zitat von @DerWoWusste:
Hi.
Erklärbar: Domänenadmins verlieren Dank der UAC Ihren starken Sitzungstoken und arbeiten als normale Nutzer, solnage, bis sie Elevation (Rechtsklick ->"als Administrator ausführen") nutzen. Da diese Elevation beim Windows-Explorer nicht ohne Weiteres funktioniert, empfiehlt sich entweder
Hi.
Erklärbar: Domänenadmins verlieren Dank der UAC Ihren starken Sitzungstoken und arbeiten als normale Nutzer, solnage, bis sie Elevation (Rechtsklick ->"als Administrator ausführen") nutzen. Da diese Elevation beim Windows-Explorer nicht ohne Weiteres funktioniert, empfiehlt sich entweder
Würde auch andere Beobachtungen von mir erklären, danke.
A ein anderer Dateibrowser für den Fileserveradministrator (zum Beispiel Total Commander)
B UAC am Fileserver auszuschalten
C eine Gruppe "Fileserveradmins" mit Vollzugriff auf alles einzurichten, in die dann explizit die Namen der einzelnen (Domänen-)admins eingetragen werden.
C wirds werden, da ich eh noch ein "Konzept" ausarbeiten muss, punkto mehrerer "kleiner" Admins.
Denn derzeit wird der Domänen-Admin hier genutzt, ist natürlich ein No-Go
Zur Frage: ja, normale Nutzer sollten nicht generell Leserecht haben. Ob Du nun Weg1 oder Weg2 8Vererbung auflösen) beschreitest, bleibt Dir überlassen. vererbung ist jedoch in der Regel erwünscht.
Ja, ich denke ich werde die Vererbung deaktivieren, gefällt mir besser.
Eine kurze Offtopic Anmerkung, da ich gelesen habe, dass ihr noch Windows 10 1709 verwendet.
Denk dran, dass sofern ihr Windows 10 Pro oder darunter verwendet in weniger als 2 Monaten der Support ausläuft.
Und zwar am 9. April 2019.
Nur bei Enterprise oder Education habt ihr noch bis zum 14. April 2020 Zeit.
Würde also empfehlen so langsam zu upgrade ;)
Denk dran, dass sofern ihr Windows 10 Pro oder darunter verwendet in weniger als 2 Monaten der Support ausläuft.
Und zwar am 9. April 2019.
Nur bei Enterprise oder Education habt ihr noch bis zum 14. April 2020 Zeit.
Würde also empfehlen so langsam zu upgrade ;)
Zitat von @Bem0815:
Eine kurze Offtopic Anmerkung, da ich gelesen habe, dass ihr noch Windows 10 1709 verwendet.
Denk dran, dass sofern ihr Windows 10 Pro oder darunter verwendet in weniger als 2 Monaten der Support ausläuft.
Und zwar am 9. April 2019.
Nur bei Enterprise oder Education habt ihr noch bis zum 14. April 2020 Zeit.
Würde also empfehlen so langsam zu upgrade ;)
Eine kurze Offtopic Anmerkung, da ich gelesen habe, dass ihr noch Windows 10 1709 verwendet.
Denk dran, dass sofern ihr Windows 10 Pro oder darunter verwendet in weniger als 2 Monaten der Support ausläuft.
Und zwar am 9. April 2019.
Nur bei Enterprise oder Education habt ihr noch bis zum 14. April 2020 Zeit.
Würde also empfehlen so langsam zu upgrade ;)
Danke für die Info.
Das ist mir bekannt, und wir haben Enterprise
Ich werde erst mit Version 2003 wechseln.
