5
Fileserver: Änderungen an NTFS-Rechten entfernt Sicherheitsgruppen
Hallo,
wir haben in unserer Firma ein vergleichsweise simples Netzwerk. Alle Server laufen auf Basis von Windows Server 2016. Es gibt den DC, einen Fileserver, Kerio Mailserver, Backupserver, Druckserver. Soweit, sogut.
Herzstück ist wohl der FIleserver, dessen Inhalt etwa so aufgebaut ist:
Dokumente=>Abteilungen=>Bauabteilung
Dokumente=>Abteilungen=>Marketing
Dokumente=>Abteilungen=>Direktion
Dokumente=>Abteilungen=>Personal
usw. (d.h. jede Abteilung hat einen eigenen Unterordner)
Desweiteren gibts noch ein paar zusätzliche Ordner allgemeiner Natur:
Dokumente=>Bildbestand
Dokumente=>Pressemitteilungen
usw.
Nun, die Freigabe ist für den ganzen Dokumente-Ordner für "Jeder" auf Vollzugriff geschaltet. D.h. es kann erstmal jeder alle Ordner auf dem Fileserver sehen. Die NTFS-Berechtigungen sind für "Domänen-Benutzer" für Lesen/Schreiben/Ordnerinhalt sehen/Ändern zugelassen (d.h. lediglich Vollzugriff ist nicht angekreuzt). Diese Berechtigungen werden per Vererbung nach unten durchgereicht. Im Grunde fahren wir also eine "Allow all"-Strategie. Das ist leider nötig, da die User auch meist auf Daten anderer Abteilungen zugreifen müssen und es bei fast 100 Leuten kaum machbar ist, das jedesmal manuell freizugeben. Soweit, sogut, im Normalfall klappt das auch ganz gut.
Die NTFS-Rechte beispielsweise für den Ordner Bildbestand sehen dann so aus:
Administratoren: Vollzugriff
Domänenbenutzer: Lesen/Schreiben/Ändern/Ordnerinhalt anzeigen
Vererbung ist aktiviert
Eingeschränkt ist lediglich der Zugriff auf einige Abteilungsordner wie Personal oder Direktion. Für diese User dieser Abteilungen gibts eigene Sicherheitsgruppen im AD. D.h. in diesen Ordnern ist die Vererbung deaktiviert worden und die Zugriffsrechte für "Domänen-Benutzer" rausgeworfen, dafür die für die jeweilige Sicherheitsgruppe reingenommen worden. Heißt: Ein User,der nicht zu der jeweiligen Abteilung gehört kriegt die Fehlermeldung "Zugriff verweigert". Nur die Benutzer der jeweiligen Abteilungen (und wir als Admins) kommen da rein. Also so wie es sein sollte.
Die Rechte beispielsweise für den Ordner Personal sehen dann so aus:
Administratoren: Vollzugriff
Sicherheitsgruppe Personal: Lesen/Schreiben/Ändern/Ordnerinhalt anzeigen
Vererbung ist deaktiviert
Nun, in einem Ordner, wo die Vererbung deaktiviert wurde (wie die o.g. Abteilungen Personal oder Direktion), sollte es ja keinerlei Veränderungen geben, wenn wir beispielsweise die Berechtigungen für "Domänen-Benutzer" direkt im Wurzelverzeichnis ändern und weitervererben. Sprich: Wenn wir beispielsweise das Änderungsrecht für "Domänen-Benutzer" im Wurzelverzeichnis rausnehmen, greifen die Änderungen für den Personalordner nicht (da Vererbung deaktiviert), im Unterordner "Bildbestand" greifen sie hingegen (da Vererbung aktiv). Also auch alles so wie es sein sollte.
Wo ist nun das Problem ? Nun, in den o.g. eingeschränkten Ordnern für Personal und Direktion ist ja die Vererbung deaktiviert, so dass eine Änderung der Rechte der Gruppe "Domänen-Benutzer" im Wurzelverzeichnis keine Auswirkung auf sie haben sollte. Tja..theoretisch.
Tatsächlich siehts aber so aus,dass es durchaus eine Auswirkung hat. Zwar sind die "Domänen-Benutzer" nicht plötzlich wieder eingetragen, aber dafür sind plötzlich die Sicherheitsgruppen verschwunden und die Vererbung ist auch plötzlich wieder aktiviert. Dann können nur wir Admins noch darauf zugreifen. Und schlimmer noch: Weil der erste Durchlauf ja die Vererbung für die betreffenden Ordner wieder aktiviert, würde eine weitere Änderung der Zugriffsrechte für "Domänenbenutzer" sie wieder in den die betreffenden Ordner eintragen und es hätte wieder jeder drauf Zugriff.
Das heißt also, das wir nach jeder Änderung an Rechten immer erstmal diese speziell gesicherten Ordner kontrollieren müssen, die Vererbung deaktivieren und die Zugriffsrechte für die Sicherheitsgruppen der Abteilungen neu setzen müssen. Ist zwar schnell erledigt, aber trotzdem nervig.
Hatte jemand schonmal dieses Problem und konnte es lösen ?
wir haben in unserer Firma ein vergleichsweise simples Netzwerk. Alle Server laufen auf Basis von Windows Server 2016. Es gibt den DC, einen Fileserver, Kerio Mailserver, Backupserver, Druckserver. Soweit, sogut.
Herzstück ist wohl der FIleserver, dessen Inhalt etwa so aufgebaut ist:
Dokumente=>Abteilungen=>Bauabteilung
Dokumente=>Abteilungen=>Marketing
Dokumente=>Abteilungen=>Direktion
Dokumente=>Abteilungen=>Personal
usw. (d.h. jede Abteilung hat einen eigenen Unterordner)
Desweiteren gibts noch ein paar zusätzliche Ordner allgemeiner Natur:
Dokumente=>Bildbestand
Dokumente=>Pressemitteilungen
usw.
Nun, die Freigabe ist für den ganzen Dokumente-Ordner für "Jeder" auf Vollzugriff geschaltet. D.h. es kann erstmal jeder alle Ordner auf dem Fileserver sehen. Die NTFS-Berechtigungen sind für "Domänen-Benutzer" für Lesen/Schreiben/Ordnerinhalt sehen/Ändern zugelassen (d.h. lediglich Vollzugriff ist nicht angekreuzt). Diese Berechtigungen werden per Vererbung nach unten durchgereicht. Im Grunde fahren wir also eine "Allow all"-Strategie. Das ist leider nötig, da die User auch meist auf Daten anderer Abteilungen zugreifen müssen und es bei fast 100 Leuten kaum machbar ist, das jedesmal manuell freizugeben. Soweit, sogut, im Normalfall klappt das auch ganz gut.
Die NTFS-Rechte beispielsweise für den Ordner Bildbestand sehen dann so aus:
Administratoren: Vollzugriff
Domänenbenutzer: Lesen/Schreiben/Ändern/Ordnerinhalt anzeigen
Vererbung ist aktiviert
Eingeschränkt ist lediglich der Zugriff auf einige Abteilungsordner wie Personal oder Direktion. Für diese User dieser Abteilungen gibts eigene Sicherheitsgruppen im AD. D.h. in diesen Ordnern ist die Vererbung deaktiviert worden und die Zugriffsrechte für "Domänen-Benutzer" rausgeworfen, dafür die für die jeweilige Sicherheitsgruppe reingenommen worden. Heißt: Ein User,der nicht zu der jeweiligen Abteilung gehört kriegt die Fehlermeldung "Zugriff verweigert". Nur die Benutzer der jeweiligen Abteilungen (und wir als Admins) kommen da rein. Also so wie es sein sollte.
Die Rechte beispielsweise für den Ordner Personal sehen dann so aus:
Administratoren: Vollzugriff
Sicherheitsgruppe Personal: Lesen/Schreiben/Ändern/Ordnerinhalt anzeigen
Vererbung ist deaktiviert
Nun, in einem Ordner, wo die Vererbung deaktiviert wurde (wie die o.g. Abteilungen Personal oder Direktion), sollte es ja keinerlei Veränderungen geben, wenn wir beispielsweise die Berechtigungen für "Domänen-Benutzer" direkt im Wurzelverzeichnis ändern und weitervererben. Sprich: Wenn wir beispielsweise das Änderungsrecht für "Domänen-Benutzer" im Wurzelverzeichnis rausnehmen, greifen die Änderungen für den Personalordner nicht (da Vererbung deaktiviert), im Unterordner "Bildbestand" greifen sie hingegen (da Vererbung aktiv). Also auch alles so wie es sein sollte.
Wo ist nun das Problem ? Nun, in den o.g. eingeschränkten Ordnern für Personal und Direktion ist ja die Vererbung deaktiviert, so dass eine Änderung der Rechte der Gruppe "Domänen-Benutzer" im Wurzelverzeichnis keine Auswirkung auf sie haben sollte. Tja..theoretisch.
Tatsächlich siehts aber so aus,dass es durchaus eine Auswirkung hat. Zwar sind die "Domänen-Benutzer" nicht plötzlich wieder eingetragen, aber dafür sind plötzlich die Sicherheitsgruppen verschwunden und die Vererbung ist auch plötzlich wieder aktiviert. Dann können nur wir Admins noch darauf zugreifen. Und schlimmer noch: Weil der erste Durchlauf ja die Vererbung für die betreffenden Ordner wieder aktiviert, würde eine weitere Änderung der Zugriffsrechte für "Domänenbenutzer" sie wieder in den die betreffenden Ordner eintragen und es hätte wieder jeder drauf Zugriff.
Das heißt also, das wir nach jeder Änderung an Rechten immer erstmal diese speziell gesicherten Ordner kontrollieren müssen, die Vererbung deaktivieren und die Zugriffsrechte für die Sicherheitsgruppen der Abteilungen neu setzen müssen. Ist zwar schnell erledigt, aber trotzdem nervig.
Hatte jemand schonmal dieses Problem und konnte es lösen ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8095504019
Url: https://administrator.de/contentid/8095504019
Printed on: April 28, 2024 at 05:04 o'clock
5 Comments
Latest comment
Hallo,
setzt ihr beim Ändern im Wurzelverzeichnis zufällig diesen Haken?
Weil ich meine der aktiviert die Vererbung wieder.
MfG IceBeer
setzt ihr beim Ändern im Wurzelverzeichnis zufällig diesen Haken?
MfG IceBeer
Zitat von @IceBeer:
Hallo,
setzt ihr beim Ändern im Wurzelverzeichnis zufällig diesen Haken?
Weil ich meine der aktiviert die Vererbung wieder.
MfG IceBeer
Hallo,
setzt ihr beim Ändern im Wurzelverzeichnis zufällig diesen Haken?
MfG IceBeer
exakt das ist auch meine Vermutung!
Moin
+1
Nur mal so am Rande: Nein. das ist nicht so, wie es sein sollte. Dafür gibt auf dem Fileserver ein Feature "Zugriffsbasierte Aufzählung", welches dafür sorgt, das solche Ordner nicht angezeigt werden.
Gruß
+1
Zitat von @Werniman:
Ein User,der nicht zu der jeweiligen Abteilung gehört kriegt die Fehlermeldung "Zugriff verweigert". (...) Also so wie es sein sollte.
Ein User,der nicht zu der jeweiligen Abteilung gehört kriegt die Fehlermeldung "Zugriff verweigert". (...) Also so wie es sein sollte.
Nur mal so am Rande: Nein. das ist nicht so, wie es sein sollte. Dafür gibt auf dem Fileserver ein Feature "Zugriffsbasierte Aufzählung", welches dafür sorgt, das solche Ordner nicht angezeigt werden.
Gruß
Danke für eure Tips. Es war tatsächlich dieser Haken, der da noch gesetzt war.
Das ist mir schon bewusst. Früher hatten wir das auch so eingerichtet. Lach nicht, aber wir hatten hier tatsächlich schon User, die sich dran gestört haben, dass sie die Ordner, auf die sie eh nicht hätten zugreifen können, nicht mehr sehen konnten.
Wir hatten auch schon welche, die sich dran gestört haben, dass sie auf ihrem Client "nur" die 2 Drucker eingerichtet bekamen, die sich in ihrer unmittelbaren Nähe befanden und nicht auch Drucker irgendwo am anderen Ende des Hauses. Nicht dass sie die jemals benutzt hätten, denen ging es eher ums Prinzip. Der Kollege könnte ja irgendwie "mehr am Rechner machen können" als sie selbst. Bei manchen Sachen haben wir uns längst abgewöhnt, noch zu diskutieren...das spart auf Dauer Kopfschmerzen.
Wir hatten auch schon welche, die sich dran gestört haben, dass sie auf ihrem Client "nur" die 2 Drucker eingerichtet bekamen, die sich in ihrer unmittelbaren Nähe befanden und nicht auch Drucker irgendwo am anderen Ende des Hauses. Nicht dass sie die jemals benutzt hätten, denen ging es eher ums Prinzip. Der Kollege könnte ja irgendwie "mehr am Rechner machen können" als sie selbst. Bei manchen Sachen haben wir uns längst abgewöhnt, noch zu diskutieren...das spart auf Dauer Kopfschmerzen.
