21
Hilfe, User ohne Zugriffsrechte kann auf gesamten Fileserver zugreifen.
Hallo,
System Windows 2008 R2 Server
Client Win 7 Prof. 64 BIT
habe folgendes Problem:
Zugriffsrechte auf freigegebene Ordner
Ich habe in meinem AD mehrere OUs angelegt inclusive lokaler und globaler Sicherheitsgruppen
nehmen wir mal die Gruppe IT
dort sind alle Mitarbeiter der IT Abteilung hinterlegt
2 global Sicherheitsgruppen Admins und Betreuer -> in jeder gruppe sind jeweils die Mitarbeiter eingetragen
2 lokale sicherheitsgruppen IT readandwrite und IT readonly -> in IT readandwrite steckt die IT Admin Gruppe und IT readonly die steckz die Gruppe IT Betreuer
So habe jetzt auf Fileserver folgende Ordnerstrucktur
abteilung -> intern -> "jeweiligen Abteilungen" für mein problem nehme ich mir mal den Ordner "edv" heraus
Folgende rechtevergabe habe ich aufgebaut:
Ordner abteilung
-> freigabe: abteilung$ -> Berechtigung: Administratoren (voll)
-> sicherheit: Administratoren (voll)
Ordner intern:
-> keine freigabe
Ordner edv:
-> freigabe: edv$ -> Berechtigung: Jeder(voll)
-> sicherheit: Administratoren (voll), IT readandwrite (voll), IT readonly (leserechte)
-> In der Statuszeile des Explorer Fensters steht "Freigeben für: IT readandwrite, It readonly, Administrator"
So jetzt zu meinem Problem:
Habe dann mal einen Test User angelegt
-> hat nur Domain Benutzer Rechte und leigt in einer ganz anderen gruppe im AD (Gruppe Alle, diese Gruppe hat noch keine zuweisungen oder berechtigungen)
Habe mich mit User an Win7 Testrechner angemeldet -> Habe dann ein Netzlaufwerk zu edv$ angelegt.
Habe dann doppelt auf das Netzlaufwerk geklickt und ich konnte darauf zugreifen, konnte Ordner und Dateien anlegen und andere sogar löschen.
Das darf doch gar nicht passieren da der User für sowas nun garkeine Rechte hat.
Ich kann meinerseits keinen fehler finden.
Was habe ich was falsch gemacht?!
Habe ich einen Denkfehler?!
Ich das ein Windows 2008 R2 Server BUG?!?!
Bitte hälft mir.
Dank im Voraus
Kalma73
System Windows 2008 R2 Server
Client Win 7 Prof. 64 BIT
habe folgendes Problem:
Zugriffsrechte auf freigegebene Ordner
Ich habe in meinem AD mehrere OUs angelegt inclusive lokaler und globaler Sicherheitsgruppen
nehmen wir mal die Gruppe IT
dort sind alle Mitarbeiter der IT Abteilung hinterlegt
2 global Sicherheitsgruppen Admins und Betreuer -> in jeder gruppe sind jeweils die Mitarbeiter eingetragen
2 lokale sicherheitsgruppen IT readandwrite und IT readonly -> in IT readandwrite steckt die IT Admin Gruppe und IT readonly die steckz die Gruppe IT Betreuer
So habe jetzt auf Fileserver folgende Ordnerstrucktur
abteilung -> intern -> "jeweiligen Abteilungen" für mein problem nehme ich mir mal den Ordner "edv" heraus
Folgende rechtevergabe habe ich aufgebaut:
Ordner abteilung
-> freigabe: abteilung$ -> Berechtigung: Administratoren (voll)
-> sicherheit: Administratoren (voll)
Ordner intern:
-> keine freigabe
Ordner edv:
-> freigabe: edv$ -> Berechtigung: Jeder(voll)
-> sicherheit: Administratoren (voll), IT readandwrite (voll), IT readonly (leserechte)
-> In der Statuszeile des Explorer Fensters steht "Freigeben für: IT readandwrite, It readonly, Administrator"
So jetzt zu meinem Problem:
Habe dann mal einen Test User angelegt
-> hat nur Domain Benutzer Rechte und leigt in einer ganz anderen gruppe im AD (Gruppe Alle, diese Gruppe hat noch keine zuweisungen oder berechtigungen)
Habe mich mit User an Win7 Testrechner angemeldet -> Habe dann ein Netzlaufwerk zu edv$ angelegt.
Habe dann doppelt auf das Netzlaufwerk geklickt und ich konnte darauf zugreifen, konnte Ordner und Dateien anlegen und andere sogar löschen.
Das darf doch gar nicht passieren da der User für sowas nun garkeine Rechte hat.
Ich kann meinerseits keinen fehler finden.
Was habe ich was falsch gemacht?!
Habe ich einen Denkfehler?!
Ich das ein Windows 2008 R2 Server BUG?!?!
Bitte hälft mir.
Dank im Voraus
Kalma73
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204469
Url: https://administrator.de/contentid/204469
Printed on: April 19, 2024 at 01:04 o'clock
21 Comments
Latest comment
Hiii
Also wenn ich dich richtig verstanden habe, denn hast du wirklich nen Denkfehler.
Wie hast du das Netzlaufwerk angelegt zu edv$ ????
eig durftest du es mit dem nutzer gar nicht. oder haste andere anmeldedaten verwendet ????
MfG Dimitri
Also wenn ich dich richtig verstanden habe, denn hast du wirklich nen Denkfehler.
Wie hast du das Netzlaufwerk angelegt zu edv$ ????
eig durftest du es mit dem nutzer gar nicht. oder haste andere anmeldedaten verwendet ????
MfG Dimitri
Moin,
Schau Dir einmal Deine Freigabe an .... ist für Jeden frei gegeben, also kann auch "Jeder" die Freigabe sehen und lesen. Das Du auch Ordner anlegen konntest trotz der Sicherheitseinstellungen liegt wahrscheinlich an vererbten Einstellungen.
Grüße,
Janni
Ordner edv:
-> freigabe: edv$ -> Berechtigung: Jeder(voll)
-> sicherheit: Administratoren (voll), IT readandwrite (voll), IT readonly (leserechte)
-> freigabe: edv$ -> Berechtigung: Jeder(voll)
-> sicherheit: Administratoren (voll), IT readandwrite (voll), IT readonly (leserechte)
Schau Dir einmal Deine Freigabe an .... ist für Jeden frei gegeben, also kann auch "Jeder" die Freigabe sehen und lesen. Das Du auch Ordner anlegen konntest trotz der Sicherheitseinstellungen liegt wahrscheinlich an vererbten Einstellungen.
Grüße,
Janni
Moin,
was steht denn in den erweiterten Freigabeeinstellungen drin?
LG, Thomas
was steht denn in den erweiterten Freigabeeinstellungen drin?
LG, Thomas
Normalerweise dürfte bei deinen Einstellungen das Laufwerk nicht verbunden werden und du solltest keine Berechtigung haben Ordner / Dateien anzulegen.
Wie sehen die genauen NTFS-Berechtigungen aus? Ist dort vielleicht der Punkt "Authentifizierte Benutzer" mit drin?
Gruß StyX82
Wie sehen die genauen NTFS-Berechtigungen aus? Ist dort vielleicht der Punkt "Authentifizierte Benutzer" mit drin?
Gruß StyX82
@ Styx
also es sind nochfolgende Sicherheits bzuw NTFS Berechtigungen drin:
Ersteller-Besitzer -> spezielle
SYSTEM -> Vollzugriff
Benutzer -> Ausführe, Lesen
@ keine-ahnung
Freigabe berechtigung
hauptordner abteilung -> Administratoren Vollzugriff
unterordner edv -> jeder (vollzugriff)
also es sind nochfolgende Sicherheits bzuw NTFS Berechtigungen drin:
Ersteller-Besitzer -> spezielle
SYSTEM -> Vollzugriff
Benutzer -> Ausführe, Lesen
@ keine-ahnung
Freigabe berechtigung
hauptordner abteilung -> Administratoren Vollzugriff
unterordner edv -> jeder (vollzugriff)
bin auf Netzlaufwerk verbinden gegangen
habe \\Servername\edv$ eingeben
hat sich verbunden
Wurden keine seperaten anmeldedaten angefordert
habe \\Servername\edv$ eingeben
hat sich verbunden
Wurden keine seperaten anmeldedaten angefordert
@ Styx
also es sind nochfolgende Sicherheits bzuw NTFS Berechtigungen drin:
Ersteller-Besitzer -> spezielle
SYSTEM -> Vollzugriff
Benutzer -> Ausführe, Lesen
Also hast Du vererbte Berechtigungen....diese anschauen, bzw. die Vererbung abschalten.also es sind nochfolgende Sicherheits bzuw NTFS Berechtigungen drin:
Ersteller-Besitzer -> spezielle
SYSTEM -> Vollzugriff
Benutzer -> Ausführe, Lesen
P.S.
Normalerweise dürfte bei deinen Einstellungen das Laufwerk nicht verbunden werden und du solltest keine Berechtigung haben
Ordner / Dateien anzulegen.
Stimmt nicht, da er die Freigabe lesen darf durch die Berechtigung "Jeder" der Freigabe.Ordner / Dateien anzulegen.
wo muss ich nun welche vererbung rausnehmen?
bei Benutzer oder bei Ersteller-Besitzer??
bei Benutzer oder bei Ersteller-Besitzer??
Unter den erweiterten Sicherheitseinstellungen kannst Du die Vererbung abschalten.
Des Weiteren solltest Du vielleicht einmal alle Sicherheitseinstellungen posten, da so keiner weiß was Du da wirklich drinnen stehen hast .....
Des Weiteren solltest Du vielleicht einmal alle Sicherheitseinstellungen posten, da so keiner weiß was Du da wirklich drinnen stehen hast .....
sicherheitseinstellungen Ordner "edv"
Ersteller-Besitzer -> spezielle Berechtigungen -> unter Erweitert finde ich ausgegraut Vollzugriff
System -> Vollzugriff bis auf spezielle Berechtigungen
IT readonly -> Lesen,ausführen
IT readandwrite -> Vollzugriff
Administratoren -> Vollzugriff
Besitzer -> spezielle Berechtigungen -> unter Erweitert finde 1x Lesen,Ausführen geerbet von D:/, 1x spezielle -> Daten und Ordner erstellen bzw löschen geerbt von D:/
mehr ist nicht.
Ich muss irgendwie die Einstellung Besitzer loswerden bzw ändern. aber ich komme nicht ran. Bzw wenn ich "vererbbare Berechtigungen des übergeordneten objektes einschliessen" entferne hab eich ja keine zugriffsrechte mehr.
Ersteller-Besitzer -> spezielle Berechtigungen -> unter Erweitert finde ich ausgegraut Vollzugriff
System -> Vollzugriff bis auf spezielle Berechtigungen
IT readonly -> Lesen,ausführen
IT readandwrite -> Vollzugriff
Administratoren -> Vollzugriff
Besitzer -> spezielle Berechtigungen -> unter Erweitert finde 1x Lesen,Ausführen geerbet von D:/, 1x spezielle -> Daten und Ordner erstellen bzw löschen geerbt von D:/
mehr ist nicht.
Ich muss irgendwie die Einstellung Besitzer loswerden bzw ändern. aber ich komme nicht ran. Bzw wenn ich "vererbbare Berechtigungen des übergeordneten objektes einschliessen" entferne hab eich ja keine zugriffsrechte mehr.
P.S.
> Normalerweise dürfte bei deinen Einstellungen das Laufwerk nicht verbunden werden und du solltest keine Berechtigung
haben
> Ordner / Dateien anzulegen.
Stimmt nicht, da er die Freigabe lesen darf durch die Berechtigung "Jeder" der Freigabe.
> Normalerweise dürfte bei deinen Einstellungen das Laufwerk nicht verbunden werden und du solltest keine Berechtigung
haben
> Ordner / Dateien anzulegen.
Stimmt nicht, da er die Freigabe lesen darf durch die Berechtigung "Jeder" der Freigabe.
Vielleicht kann es verbunden werden, sollte aber nichts angezeigt bekommen, da der Benutzer keine Berechtigungen hat den Ordnerinhalt aufzulisten.
Unterschied Freigabeberechtigung und NTFS-Berechtigung!!!
das ist auch meine Meinung.
Wazu habe ich verschiedene Gruppen angelegt und diese in die Sicherheitseinstellungen mit verschiedene Rechten reingepackt.
hätte ja sonst gleich bei Freigabe dort die Berechtigungen für Administratoren, IT readonly und IT readandwrite reinpacken können.
Wazu habe ich verschiedene Gruppen angelegt und diese in die Sicherheitseinstellungen mit verschiedene Rechten reingepackt.
hätte ja sonst gleich bei Freigabe dort die Berechtigungen für Administratoren, IT readonly und IT readandwrite reinpacken können.
So habe es nun endlich hinbekommen.
Das mit der Vererbung ist ja echt blöd.
Also ich habe folgendes gemacht:
Sicherheitseinstellungen -> erweitert-> Berechtigungen bearbeiten -> hacken bei vererbten Berechtigungen rausgemacht und auf Button Entferen bestätigt -> dann sind alle Sicherheitseinstellungen ausserd ie selbst hinzugefügten weg -> jetzt muss ich die Gruppen "Administratoren", "Ersteller-Besitzer" und "System" wieder manuell mit den Berechtigungen hinzufügen.
Dann habe ich mich mit den Test Account wieder angemeldet. Und Siehe da erkann nichts mehr machen.
So wie ich es haben will.
Kann man irgendwie das dem System klarmachen das man beim erstellen bestimmter Ordner die Vererbung nicht mitnehmen soll.
Weil sonst muss ich den oben beschriebenen Weg bei fast 100 Ordner händisch machen. und das wird ein geklicke (da bekomme ich ja einen Tennis Finger vom vielen Mausklicken
)
Kalma73
Das mit der Vererbung ist ja echt blöd.
Also ich habe folgendes gemacht:
Sicherheitseinstellungen -> erweitert-> Berechtigungen bearbeiten -> hacken bei vererbten Berechtigungen rausgemacht und auf Button Entferen bestätigt -> dann sind alle Sicherheitseinstellungen ausserd ie selbst hinzugefügten weg -> jetzt muss ich die Gruppen "Administratoren", "Ersteller-Besitzer" und "System" wieder manuell mit den Berechtigungen hinzufügen.
Dann habe ich mich mit den Test Account wieder angemeldet. Und Siehe da erkann nichts mehr machen.
So wie ich es haben will.
Kann man irgendwie das dem System klarmachen das man beim erstellen bestimmter Ordner die Vererbung nicht mitnehmen soll.
Weil sonst muss ich den oben beschriebenen Weg bei fast 100 Ordner händisch machen. und das wird ein geklicke (da bekomme ich ja einen Tennis Finger vom vielen Mausklicken
)Kalma73
Bei Freigaben kannst Du die Rechte an zwei Stellen konfigurieren:
- in den Freígabeberechtigungen
- in den NTFS-Rechten (Dateisystem)
Seit ich damit zu tun habe, gibt dazu jeder "Gelehrte" etwas anderes von sich. Aluhelmträger, Paranoiker, Kontrollfreaks und Leute, die immer alles ganz genau haben und machen wollen, setzen die Rechte bei den Freigabeberechtigungen UND bei NTFS.
Leute wie ich haben in der Freigabe Jeder->Vollzugriff und regeln alles weitere unter NTFS.
Deine letztgenannte Variante, in NTFS alles zu öffnen und Rechte nur in der Freigabe zu regeln, ist selten (mir noch nie begegnet) und meines Erachtens nicht zu empfehlen. Freigabeberechtigungen sind sehr grob (Vollzugriff, Lesen, Schreiben), unter NTFS lassen sich die Berechtigungen deutlich granularer setzen, was ich auch sinnvoll finde (z.B. "Ausführen" verhindern, damit die User in Ihren Homes keine *.exe-Dateien ausführen können, die da drin auch gar nichts verloren haben).
Mach' Dir am besten nochmal grundlegende und gründliche Gedanken, wie Du das Setzen von Berechtigungen in Zukunft generell regeln willst.
Grüße
- in den Freígabeberechtigungen
- in den NTFS-Rechten (Dateisystem)
Seit ich damit zu tun habe, gibt dazu jeder "Gelehrte" etwas anderes von sich. Aluhelmträger, Paranoiker, Kontrollfreaks und Leute, die immer alles ganz genau haben und machen wollen, setzen die Rechte bei den Freigabeberechtigungen UND bei NTFS.
Leute wie ich haben in der Freigabe Jeder->Vollzugriff und regeln alles weitere unter NTFS.
Deine letztgenannte Variante, in NTFS alles zu öffnen und Rechte nur in der Freigabe zu regeln, ist selten (mir noch nie begegnet) und meines Erachtens nicht zu empfehlen. Freigabeberechtigungen sind sehr grob (Vollzugriff, Lesen, Schreiben), unter NTFS lassen sich die Berechtigungen deutlich granularer setzen, was ich auch sinnvoll finde (z.B. "Ausführen" verhindern, damit die User in Ihren Homes keine *.exe-Dateien ausführen können, die da drin auch gar nichts verloren haben).
Mach' Dir am besten nochmal grundlegende und gründliche Gedanken, wie Du das Setzen von Berechtigungen in Zukunft generell regeln willst.
Grüße
Geht doch ....
Kann man irgendwie das dem System klarmachen das man beim erstellen bestimmter Ordner die Vererbung nicht mitnehmen soll.
Ebenfalls bei den erweiterten Sicherheitseinstellungen. Nimm einfach bei dem übergeordneten Ordner den Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten." rauß.
Schönes Wochenende
Kann man irgendwie das dem System klarmachen das man beim erstellen bestimmter Ordner die Vererbung nicht mitnehmen soll.
Schönes Wochenende
@ departure
ich mach das doch so
Freigeabe Berechtigungen -> Jeder Vollzugriff
Sicherheitseinstellungen bzw NTFS -> zugriffberechtigungen
ich mach das doch so
Freigeabe Berechtigungen -> Jeder Vollzugriff
Sicherheitseinstellungen bzw NTFS -> zugriffberechtigungen
Dann ist's recht.
Hallo Kalma73!
Für wirklich viele Ordner, die mit den gleichen Berechtigungen ausgestattet werden sollen, bietet sich natürlich ein Script / Batch mit "
Grüße
bastla
Sicherheitseinstellungen -> erweitert-> Berechtigungen bearbeiten -> hacken bei vererbten Berechtigungen rausgemacht und auf Button Entferen bestätigt -> dann sind alle Sicherheitseinstellungen ausserd ie selbst hinzugefügten weg -> jetzt muss ich die Gruppen "Administratoren", "Ersteller-Besitzer" und "System" wieder manuell mit den Berechtigungen hinzufügen.
Da Löschen leichter geht als Hinzufügen solltest Du lieber nicht "Entfernen", sondern "Kopieren" wählen und danach die unerwünschte(n) Gruppe(n) entfernen.Für wirklich viele Ordner, die mit den gleichen Berechtigungen ausgestattet werden sollen, bietet sich natürlich ein Script / Batch mit "
icacls" (Beispiel etwa: Setting Permissions from the Command Line) an ...Grüße
bastla
Danke für eure hilfe.
habs jetzt hinbekommen.
habe da noch so eine Idee, weiss aber nicht obman das realisieren kann.
Also,
ich habe einen Ordner "abteilung" (freigegeben) darunter die verschiedenen abteilungen z.b. vertrieb, einkauf etc.
alle abteilungsordner sind freigegeben mit verschiedenen zugriffsberechtigungen
jetzt habe ich mir gedacht das wenn ich den Ordner "abteilung" bei den verschiednen Mitarbeiter als Netzlaufwerk freigebe, aber wenn ich den Netzlaufwerk öffne der Mitarbeiter nur die verzeichnisse für seine berechtigung angezeigt wird.
also statt z.b. vertrieb, einkauf, verwaltung, edv
nur "vertrieb" und "einkauf" sieht und der Rest für Ihn versteckt ist.
Ist das möglich?
Hoffe ich habs nicht zu kompliziert geschrieben.
Gruß
Kalma
habs jetzt hinbekommen.
habe da noch so eine Idee, weiss aber nicht obman das realisieren kann.
Also,
ich habe einen Ordner "abteilung" (freigegeben) darunter die verschiedenen abteilungen z.b. vertrieb, einkauf etc.
alle abteilungsordner sind freigegeben mit verschiedenen zugriffsberechtigungen
jetzt habe ich mir gedacht das wenn ich den Ordner "abteilung" bei den verschiednen Mitarbeiter als Netzlaufwerk freigebe, aber wenn ich den Netzlaufwerk öffne der Mitarbeiter nur die verzeichnisse für seine berechtigung angezeigt wird.
also statt z.b. vertrieb, einkauf, verwaltung, edv
nur "vertrieb" und "einkauf" sieht und der Rest für Ihn versteckt ist.
Ist das möglich?
Hoffe ich habs nicht zu kompliziert geschrieben.
Gruß
Kalma
Moin,
ja das geht auch. Dein Stichwort ist Access-based Enumeration.
Siehe u.A.: http://technet.microsoft.com/de-de/library/dd772681%28v=ws.10%29.aspx
Grüße
ja das geht auch. Dein Stichwort ist Access-based Enumeration.
Siehe u.A.: http://technet.microsoft.com/de-de/library/dd772681%28v=ws.10%29.aspx
Grüße
So habe mir das mal durchgelesen.
ist echt nicht schlecht.
Aber gibt es in der Version von Win 2008 R2 Server immer noch die eventuellen probleme bei DFS (Distributed File System) bzw. Backup-Anwendungen (rechte für ordnerzugriff) auf?
ist echt nicht schlecht.
Aber gibt es in der Version von Win 2008 R2 Server immer noch die eventuellen probleme bei DFS (Distributed File System) bzw. Backup-Anwendungen (rechte für ordnerzugriff) auf?
