Frage zu NTFS-Rechten
Hallo zusammen,
zunächst mal Sorry für die Überschrift. Ich weiß leider nicht, wie ich mein Problem kurz beschreiben soll.
Also hier die lange Version:
Ich habe einen Ordner im Netz freigegen, nennen wir ihn mal root.
Root hat folgende Rechte:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Lesen, Diesen Ordner
In Root sind Unterordner mit folgenden Berechtigungen:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Ändern, Unterordner, Dateien
So, in Root selbst kann niemand was fuschen, außer der Admin - Richtig so!
In den Unterordnern kann auch so gearbeitet werden wie es soll - Richtig so!
Einziges Problem:
Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!
Die User sollen IN den Unterordnern tun und lassen können was sie wollen, aber im Rootordner haben sie rein GARNICHTS zu verändern!
Wie genau setz ich das um??
zunächst mal Sorry für die Überschrift. Ich weiß leider nicht, wie ich mein Problem kurz beschreiben soll.
Also hier die lange Version:
Ich habe einen Ordner im Netz freigegen, nennen wir ihn mal root.
Root hat folgende Rechte:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Lesen, Diesen Ordner
In Root sind Unterordner mit folgenden Berechtigungen:
Administratoren: Vollzugriff, Diesen Ordner, Unterordner, Dateien
User: Ändern, Unterordner, Dateien
So, in Root selbst kann niemand was fuschen, außer der Admin - Richtig so!
In den Unterordnern kann auch so gearbeitet werden wie es soll - Richtig so!
Einziges Problem:
Die Unterordner können aus dem Rootordner gelöscht werden. Das soll aber nicht sein!!
Die User sollen IN den Unterordnern tun und lassen können was sie wollen, aber im Rootordner haben sie rein GARNICHTS zu verändern!
Wie genau setz ich das um??
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 161576
Url: https://administrator.de/contentid/161576
Ausgedruckt am: 05.11.2024 um 17:11 Uhr
20 Kommentare
Neuester Kommentar
Tach nochmal
Du musst ja auch nur bei den Benutzern - Nur dieser Ordner verweigern.
Sollte so aussehen
Root:
Admin
- Vollzugriff
Benutzer - Nur dieser Ordner
- Auflisten - ja
- Lesen,Ausführen - ja
- löschen - verweigern
- erstellen - verweigern
Domäne Benutzer - Nur Unterordner und Dateien
- Auflisten - ja
- Lesen,Ausführen - ja
- schreiben - ja
- ändern - ja
Achtung, nicht Domäne Benutzer sondern Benutzer.
Wenn du den "Domäne Benutzer" nimmst dann schließt das den "Admin" ein.
Mfg
-s-v-o-
Du musst ja auch nur bei den Benutzern - Nur dieser Ordner verweigern.
Sollte so aussehen
Root:
Admin
- Vollzugriff
Benutzer - Nur dieser Ordner
- Auflisten - ja
- Lesen,Ausführen - ja
- löschen - verweigern
- erstellen - verweigern
Domäne Benutzer - Nur Unterordner und Dateien
- Auflisten - ja
- Lesen,Ausführen - ja
- schreiben - ja
- ändern - ja
Achtung, nicht Domäne Benutzer sondern Benutzer.
Wenn du den "Domäne Benutzer" nimmst dann schließt das den "Admin" ein.
Mfg
-s-v-o-
Tach auch
Wenn ich das richtig verstanden habe bekommst du das so zumindest nicht hin.
Verweigern hat immer höhere Prio wie freigeben, d.h. Du gibt einem user Vollzugriff und parallel
verweigerst du ihm alles dann darf er nichts mehr und genau da liegt das problem.
Ich denke so kannst du das erstmal nicht lösen da der "Admin" Benutzer auch in untergruppen
Mitglied ist.
Mfg
-s-v-o-
Wenn ich das richtig verstanden habe bekommst du das so zumindest nicht hin.
Verweigern hat immer höhere Prio wie freigeben, d.h. Du gibt einem user Vollzugriff und parallel
verweigerst du ihm alles dann darf er nichts mehr und genau da liegt das problem.
Ich denke so kannst du das erstmal nicht lösen da der "Admin" Benutzer auch in untergruppen
Mitglied ist.
Mfg
-s-v-o-
Moin moin
1x mit schreiben/Löschen usw. Übernehmen für: Unterordner und Dateien
1x mit ohne Löschen: Übernehmen für: Diesen Ordner
Ich hoffe das hilft dir weiter.
Gruß L.
Zitat von @Maik87:
Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht
kann.
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.Aber ich hab gelernt, dass man Rechte fast nie verweigern muss, weil nicht einräumen heißt, dass man es schon nicht
kann.
Wieso kann mein Benutzer nun einen Unterordner aus root löschen, obwohl er in root nur Leserechte hat? Ich habe ihm die
Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
Du must im Unterordner (nicht in Root) die Gruppe der User die dort ändern sollen 2x hinzufügen:Ändernrechte doch nur IN dem Unterordner gegeben. Klingt doch mehr nach Bug als nach Feature, oder??
1x mit schreiben/Löschen usw. Übernehmen für: Unterordner und Dateien
1x mit ohne Löschen: Übernehmen für: Diesen Ordner
Ich hoffe das hilft dir weiter.
Gruß L.
Hier mal eine Erklärung, wie Microsoft sich das mit den Rechten genau vorstellt:
1. Share anlegen und Vollzugriff für authentifizierte Benutzer einrichten(feinere Rechte werden über NTFS eingerichtet)
2. Bitte niemals mit Deny arbeiten. Erhöht die Komplexität und schafft nur Probleme
3. Wichtig ist auf dem Root! (damit es eben auch nicht vererbt wird) den "Ersteller/Besitzer" entfernen. Dieser hat nämlich immer Vollzugriff auf die von ihm erstellen Ressourcen
4. für jeden Berechtigungstyp pro Ressource eine Gruppe anlegen: für "Ändern" z.B. Gr_Pfad_md; für "Lesen und Ausführen" z.B. "GR_Pfad_r"
5. in diese Gruppen die zu berechtigenden Personen und oder Gruppen einfügen
Wenn man jetzt mehrere Ebenen in Verzeichnisbaum hat und weiter unten Berechtigungen anders sein sollen, dann Berechtigt man die User die weiter unten Ändernrechte haben sollen, damit sie sich überhaupt zu dem Pfad durchbrowsen können mit Listrechten. Am besten vergibt man die Listrechte der explizit angelegt "Ändergruppe"
Ich hoffe das hilft.
Viele Grüße, Thomas
www.aikux.com
1. Share anlegen und Vollzugriff für authentifizierte Benutzer einrichten(feinere Rechte werden über NTFS eingerichtet)
2. Bitte niemals mit Deny arbeiten. Erhöht die Komplexität und schafft nur Probleme
3. Wichtig ist auf dem Root! (damit es eben auch nicht vererbt wird) den "Ersteller/Besitzer" entfernen. Dieser hat nämlich immer Vollzugriff auf die von ihm erstellen Ressourcen
4. für jeden Berechtigungstyp pro Ressource eine Gruppe anlegen: für "Ändern" z.B. Gr_Pfad_md; für "Lesen und Ausführen" z.B. "GR_Pfad_r"
5. in diese Gruppen die zu berechtigenden Personen und oder Gruppen einfügen
Wenn man jetzt mehrere Ebenen in Verzeichnisbaum hat und weiter unten Berechtigungen anders sein sollen, dann Berechtigt man die User die weiter unten Ändernrechte haben sollen, damit sie sich überhaupt zu dem Pfad durchbrowsen können mit Listrechten. Am besten vergibt man die Listrechte der explizit angelegt "Ändergruppe"
Ich hoffe das hilft.
Viele Grüße, Thomas
www.aikux.com
Moin Moin
Eben nicht.
Wenn Du für einen Unterordner (z.B. Root\Abteilung1) einer Gruppe (z.B. Abteilung1) einfach nur Lesen/Schreiben Rechte vergiebst beziehen dise sich auch auf den Ordner selbst.
Du musst schon über die Schaltfläche Erweitert die Rechte bearbeiten und dabei die Auswahl Übernehmen für beachten.
Und hier wählst du 1x für die Gruppe Abteilung1 Lesen und schreiben Übernehmen für: Unterordner und Dateien.
und ein weiteresmal für die Gruppe Abteilung1 Lesen Übernehmen für diesen Ordner.
Jetzt taucht deine Gruppe Abteilung1 in den erweiterten Sicherheitseinstellungen 2x auf.
Jetzt kannst du für deinen "Share Admin" (oder für eine Gruppe "ShareAdmin") gerne erweiterte Rechte setzen ohne ihn aus der Gruppe Abteilung1 entfernen zu müssen.
Gruß L.
Eben nicht.
Wenn Du für einen Unterordner (z.B. Root\Abteilung1) einer Gruppe (z.B. Abteilung1) einfach nur Lesen/Schreiben Rechte vergiebst beziehen dise sich auch auf den Ordner selbst.
Du musst schon über die Schaltfläche Erweitert die Rechte bearbeiten und dabei die Auswahl Übernehmen für beachten.
Und hier wählst du 1x für die Gruppe Abteilung1 Lesen und schreiben Übernehmen für: Unterordner und Dateien.
und ein weiteresmal für die Gruppe Abteilung1 Lesen Übernehmen für diesen Ordner.
Jetzt taucht deine Gruppe Abteilung1 in den erweiterten Sicherheitseinstellungen 2x auf.
Jetzt kannst du für deinen "Share Admin" (oder für eine Gruppe "ShareAdmin") gerne erweiterte Rechte setzen ohne ihn aus der Gruppe Abteilung1 entfernen zu müssen.
Zitat von @Maik87:
Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Zitat von @Logan000:
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.
Damit hast du übrigens ein schönes Bsp. dafür geschaffen, warum es vernünftig ist, auf "Verweigern" Rechte zu verzichten.Problem ist da, dass wenn ich der Usergruppe ein Recht verweigere, der Admin mit betroffen ist!!
Zitat von @Logan000:
Sehr richtig. Mit Verweigern bekommt man früher oder später nur Schwierigkeiten.
Gruß L.