maik87
Goto Top

Frage zu NTFS-Rechten

Hallo zusammen,
zunächst mal Sorry für die Überschrift. Ich weiß leider nicht, wie ich mein Problem kurz beschreiben soll.

Also hier die lange Version:
Ich habe einen Ordner im Netz freigegen, nennen wir ihn mal root.

Root hat folgende Rechte:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Lesen, Diesen Ordner

In Root sind Unterordner mit folgenden Berechtigungen:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Ändern, Unterordner, Dateien

So, in Root selbst kann niemand was fuschen, außer der Admin - Richtig so!
In den Unterordnern kann auch so gearbeitet werden wie es soll - Richtig so!

Einziges Problem:
Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!
Die User sollen IN den Unterordnern tun und lassen können was sie wollen, aber im Rootordner haben sie rein GARNICHTS zu verändern!

Wie genau setz ich das um??

Content-ID: 161576

Url: https://administrator.de/contentid/161576

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

-s-v-o-
-s-v-o- 25.02.2011 um 12:01:55 Uhr
Goto Top
Tach auch

Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!

Dann musst du auf dem Root-Ordner den Benutzern das -erstellen,löschen- zusätzlich VERWEIGERN

Mfg
-s-v-o-
Maik87
Maik87 25.02.2011 um 12:06:31 Uhr
Goto Top
Mit Verweigern ist aber leider der Admin auch in den Hintern gekniffen, weil er auch als User in Gruppen steckt, die von dem Verweigern betroffen sind.

Gehts also noch anders?
-s-v-o-
-s-v-o- 25.02.2011 um 12:12:27 Uhr
Goto Top
Tach nochmal

Du musst ja auch nur bei den Benutzern - Nur dieser Ordner verweigern.

Sollte so aussehen

Root:
Admin
- Vollzugriff

Benutzer - Nur dieser Ordner
- Auflisten - ja
- Lesen,Ausführen - ja
- löschen - verweigern
- erstellen - verweigern

Domäne Benutzer - Nur Unterordner und Dateien
- Auflisten - ja
- Lesen,Ausführen - ja
- schreiben - ja
- ändern - ja

Achtung, nicht Domäne Benutzer sondern Benutzer.
Wenn du den "Domäne Benutzer" nimmst dann schließt das den "Admin" ein.

Mfg
-s-v-o-
Maik87
Maik87 25.02.2011 um 12:20:11 Uhr
Goto Top
Hey,
danke aber ich glaub das ist nochnicht das was ich suche.

Fehlt wohl noch ein wenig Hintergrundwissen:
Der Administrator den ich als solchen bezeichne ist kein Domänenadministrator. Er ist nur Admin für diesen Share und die ihm zugeteilten Workstations. Ansonsten ist er ganz normaler Benutzer, der auch in Gruppen im AD steckt, die hier von dem Verweigerungsrecht angesprochen werden. Aus den Gruppen nehmen geht leider nicht, weil er auf anderen Shares (wo er kein Admin ist) damit Zugriff erhält.

Ich meinte mit "Benutze" auch nicht eien fertige Gruppe etc die so heißt, sondern allgemein meine Leute hier. Diese stecken in Gruppen, mit denen ich die Sache regeln will.

Also fassen wir mal zusammen:
Gruppe Administratoren: User 1
Gruppe Abteilung 1: User 1, User 2, User 3
Gruppe Abteilung 2: User 1, User 4
Gruppe Abteilung 3: User 3, User 6

Jetzt sollen halt die Mitglieder der Gruppe Administratoren alles dürfen und die anderen nur in den Unterordnern arbeiten. Wenn ich nun Gruppe Abteilung 1 verweigere, dann ist User 1 machtlos.
Urlicht
Urlicht 25.02.2011 um 12:29:56 Uhr
Goto Top
Dein Hauptproblem ist die Vererbung an untergeordnete Ordner. Diese hebst Du über Eigenschaften, Sicherheit, Erweiutert auf, indem Du das Häkchen zur Vererbung entfernst. Danach kannst Du für untergeordenete Ordner eigene Rechte einrichten. Hoffe, das wars, was Du wolltest.
Maik87
Maik87 25.02.2011 um 12:37:17 Uhr
Goto Top
Wieso ist das mein Hauptproblem? Die Vererbung hab ich schon angepasst. Läuft auch soweit alles wie es soll. Frage ist nur, wie kann ich in Root (Bis dahin haben alle Gruppen außer Administratoren nur Leserechte) das Löschrecht des Ordners abschalten, IN dem die das Schreibrecht haben? In Root kann jeder bis auf die Admins nur lesen. Ich berechtige einen Unterordner mit Ändernrechten. Jetzt können die Benutzer darin arbeiten. Aber sie könne auch diesen Ordner löschen, obwohl er in Root liegt und sie in Root nur Leserechte haben, verstehste? Umbennen hingegen können sie ihn nicht.
-s-v-o-
-s-v-o- 25.02.2011 um 12:55:06 Uhr
Goto Top
Tach auch

Wenn ich das richtig verstanden habe bekommst du das so zumindest nicht hin.

Verweigern hat immer höhere Prio wie freigeben, d.h. Du gibt einem user Vollzugriff und parallel
verweigerst du ihm alles dann darf er nichts mehr und genau da liegt das problem.

Ich denke so kannst du das erstmal nicht lösen da der "Admin" Benutzer auch in untergruppen
Mitglied ist.

Mfg
-s-v-o-
Maik87
Maik87 25.02.2011 um 12:59:37 Uhr
Goto Top
Ja genau da bin ich auch ;)

Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht kann.

Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Logan000
Logan000 25.02.2011 um 14:00:44 Uhr
Goto Top
Moin moin

Zitat von @Maik87:
Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht
kann.
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.

Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die
Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Du must im Unterordner (nicht in Root) die Gruppe der User die dort ändern sollen 2x hinzufügen:
1x mit schreiben/Löschen usw. Übernehmen für: Unterordner und Dateien
1x mit ohne Löschen: Übernehmen für: Diesen Ordner

Ich hoffe das hilft dir weiter.

Gruß L.
Maik87
Maik87 25.02.2011 um 17:49:55 Uhr
Goto Top
Wie mit ohne löschen?
Wieso zweimal, das geht doch in einen Eintrag?!

Hab ich dann auch das Problem umgangen, dass der Admin teil der Usergruppe ist?
bastla
bastla 25.02.2011 um 19:36:12 Uhr
Goto Top
Hallo Maik87!
Hab ich dann auch das Problem umgangen, dass der Admin teil der Usergruppe ist?
Wo wäre das Problem?

Wenn der "Admin" bestimmte Rechte benötigt, gibst Du ihm die einfach "persönlich" (oder besser der "Administratoren"-Gruppe) ...

Grüße
bastla
Maik87
Maik87 25.02.2011 um 19:56:16 Uhr
Goto Top
Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
bastla
bastla 25.02.2011 um 20:46:27 Uhr
Goto Top
Hallo Maik87!

Und wo hätte Logan000 eine Verweigerung vorgeschlagen?

Grüße
bastla
98094
98094 27.02.2011 um 19:38:17 Uhr
Goto Top
Hier mal eine Erklärung, wie Microsoft sich das mit den Rechten genau vorstellt:

1. Share anlegen und Vollzugriff für authentifizierte Benutzer einrichten(feinere Rechte werden über NTFS eingerichtet)
2. Bitte niemals mit Deny arbeiten. Erhöht die Komplexität und schafft nur Probleme
3. Wichtig ist auf dem Root! (damit es eben auch nicht vererbt wird) den "Ersteller/Besitzer" entfernen. Dieser hat nämlich immer Vollzugriff auf die von ihm erstellen Ressourcen
4. für jeden Berechtigungstyp pro Ressource eine Gruppe anlegen: für "Ändern" z.B. Gr_Pfad_md; für "Lesen und Ausführen" z.B. "GR_Pfad_r"
5. in diese Gruppen die zu berechtigenden Personen und oder Gruppen einfügen

Wenn man jetzt mehrere Ebenen in Verzeichnisbaum hat und weiter unten Berechtigungen anders sein sollen, dann Berechtigt man die User die weiter unten Ändernrechte haben sollen, damit sie sich überhaupt zu dem Pfad durchbrowsen können mit Listrechten. Am besten vergibt man die Listrechte der explizit angelegt "Ändergruppe"

Ich hoffe das hilft.

Viele Grüße, Thomas
www.aikux.com
Logan000
Logan000 28.02.2011 um 13:05:10 Uhr
Goto Top
Moin Moin

Zitat von @Maik87:
Wie mit ohne löschen?
Wieso zweimal, das geht doch in einen Eintrag?!
Eben nicht.

Wenn Du für einen Unterordner (z.B. Root\Abteilung1) einer Gruppe (z.B. Abteilung1) einfach nur Lesen/Schreiben Rechte vergiebst beziehen dise sich auch auf den Ordner selbst.
Du musst schon über die Schaltfläche Erweitert die Rechte bearbeiten und dabei die Auswahl Übernehmen für beachten.
Und hier wählst du 1x für die Gruppe Abteilung1 Lesen und schreiben Übernehmen für: Unterordner und Dateien.
und ein weiteresmal für die Gruppe Abteilung1 Lesen Übernehmen für diesen Ordner.
Jetzt taucht deine Gruppe Abteilung1 in den erweiterten Sicherheitseinstellungen 2x auf.

Jetzt kannst du für deinen "Share Admin" (oder für eine Gruppe "ShareAdmin") gerne erweiterte Rechte setzen ohne ihn aus der Gruppe Abteilung1 entfernen zu müssen.

Zitat von @Maik87:
Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Zitat von @Logan000:
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.
Damit hast du übrigens ein schönes Bsp. dafür geschaffen, warum es vernünftig ist, auf "Verweigern" Rechte zu verzichten.

Gruß L.
Maik87
Maik87 02.03.2011 um 11:28:56 Uhr
Goto Top
Ich krieg es einfach nicht hin...
Wenn ich es so mache, wie ich es verstehe, dann schaff ich es zwar, dass der Unterordner sicher ist, ich aber auch nicht drin arbeiten kann. Scheinbar wirkt sich dieses "Unterordner udn Dateien" nur auf bereits bestehende Objekte aus. Nicht generell auf den Ordnerinhalt, der noch entstehen kann.
Maik87
Maik87 02.03.2011 um 12:26:22 Uhr
Goto Top
Poahr, es läuft =)
Man... Also hier mal meine Zusammenfassung:

Root:
Nur diesen Ordner
Shareadmin: Vollzugriff
Usergruppe: Ordner durchsuchen / Datei ausführen + Ordner auflisten / Daten lesen

Unterordner:
Shareadmin erbt Rechte

Nur diesen Ordner
Usergruppe: Ordner durchsuchen/Datei ausführen + Ordner auflisten/Daten lesen + Datei erstellen /Daten schreiben + Ordner erstellen/Daten anhängen

Nur Unterordner udn Dateien
Ändern


Danke für eure Ausdauer!!

Jetzt aber noch ein Problem:
Rechtekonzept läuft nun sauber bis ein User ein Objekt anlegt. Er ist jetzt Eigentümer des Objekts und hat Vollzugriff. Soll er aber nicht...
Was ist zu tun? Hier kann er wieder meine Berechtigung kaputt machen.
bastla
bastla 02.03.2011 um 12:33:35 Uhr
Goto Top
Hallo Maik87!

Soferne er lokal an dem Rechner arbeitet, kannst Du eigentlich nur (zB regelmäßig per Taskplaner) den Besitz (auf die Administratorengruppe) übernehmen; muss der Zugriff über eine Freigabe erfolgen, kannst Du dort einfach als Freigabeberechtigung nur "Ändern" erlauben ...

Grüße
bastla
Maik87
Maik87 02.03.2011 um 12:37:25 Uhr
Goto Top
Danke bastla!
Da ich nur ShareAdmin bin und nicht lokal am Server arbeiten kann, werde ich mich mal mit dem Serverbetreiber in Verbindung setzen. Ich meld mich, sobald ich mehr weiß!!
Maik87
Maik87 15.03.2011 um 09:59:35 Uhr
Goto Top
Geht geht geht!!

Danke Jungs!!