rg2525
Goto Top

NTFS Berechtigung greift nicht! Wissenslücke!

Hallo,

Auf einem W2K16 Fileserver habe ich Berechtigungen für Verzeichnisse gesetzt.
Ich vergebe immer explizit Freigabe und NTFS Berechtigungen mit Security Gruppen.

Auf einem einzigen weniger wichtigen Freigegebenen Ordner \\SERVER\Allgemein habe ich als Freigabe Berechtigung den "Authentifizierten Benutzer" gesetzt anstatt eine eigene Security Gruppe zu definieren.
Auch bei der NTFS Berechtigung habe ich den "Authentifizierten Benutzer" benutzt.

Ich habe eine Security Gruppe "SEC_No_Access" wo ich einen externen Teilzeitbenutzer drinen habe. Vom obersten Verzeichniss nach unten vererbt.

Diese Gruppe ist auf allen Ordnern in NTFS Berechtigung eingebaut und Verweigert alle Zugriffe. Auch auf das Verzeichniss mit der Freigabe \\SERVER\Allgemein

Habe mich heute als diesen Benutzer angemeldet und zufällig auf \\SERVER geschaut und auf Allgemein doppelklickt und es ist mir sehr schlecht geworden als ich gesehen habe dass er in dieser Freigabe reinkommt und auch duch die Unterordner. Für diese Firma und den Inhalt dieses Ordneres ist das jetzt keine Katastrophe aber es geht mir überhaupt nicht gut und will wissen warum sowas passieren kann!

Ordner "Allgemein" = Freigabe "Allgemein"
. Freigabeberechtigung > Authentifizierte Benutzert (kann zugreifen)
. NTFS Berechtigung > Authentifizierte Benutzert (kann zugreifen) & SEC_NO_ACCESS (wird alles verweigert)
Der Benutzer in der Gruppe SEC_NO_ACCESS kann aber auf alles in Allgemein zugreifen.

Inzwischen habe ich in der Freigabeberechtigung den SEC_No_ACCESS eingebaut und den Zugriff verweigert. Das greift.

Ich wäre sehr dankbar wenn jemand mir meinen Denkfehler / Wissenslücke aufzeigt!

Danke
Olaf

Content-ID: 666993

Url: https://administrator.de/contentid/666993

Printed on: December 14, 2024 at 00:12 o'clock

cykes
Solution cykes May 22, 2021 at 11:20:21 (UTC)
Goto Top
Moin,

works as designed: Explizite Berechtigung (Gruppe Authentifizierte Benutzer) hat Vorrang vor vererbter Berechtigung (SEC_No_ACCESS).

Hoffe, das füllt Deine Wissenslücke face-wink

Gruß

cykes
RG2525
RG2525 May 22, 2021 at 11:33:45 (UTC)
Goto Top
Hallo cykes,

Ich brauche ein Bisschen Zeit das zu verdauen face-smile Ich habe immer gelernt dass restriktivere Berechtigungen gewinnen!

Einen Unterschied zwischen Vererbte und explizite Berechtigungen habe ich nirgends gelesen (auch nicht bei den Prüfungen)!

DANKE auf jeden Fall für deine Info. Werde mir das genau anschauen und das Problem als gelöst markieren.

LG
Olaf
em-pie
em-pie May 22, 2021 at 12:23:44 (UTC)
Goto Top
Moin,

ggf. hilft dir das hier etwas weiter:
https://www.ntfs.com/ntfs-permissions-precedence.htm

Gruß
em-pie
RG2525
RG2525 May 22, 2021 at 12:53:07 (UTC)
Goto Top
Danke , kann mich wieder erinnern, dass das nicht so einfach war...


  • Wenn auf die Datei lokal zugegriffen wird, werden nur die NTFS-Berechtigungen verwendet, um die Zugriffsebene des Benutzers zu bestimmen.
  • Wenn über eine Freigabe auf die Datei zugegriffen wird, werden NTFS- und Freigabeberechtigungen verwendet und es gilt die restriktivste Berechtigung. Wenn etwa die Freigabeberechtigungen für den freigegebenen Ordner dem Benutzer Lesezugriff gewähren und die NTFS-Berechtigungen dem Benutzer die Zugriffsberechtigung zum Ändern gewähren, ist die effektive Berechtigungsstufe des Benutzers Lesen beim Remotezugriff auf die Freigabe und Ändern beim lokalen Zugriff auf den Ordner.
  • Die individuellen Berechtigungen eines Benutzers werden additiv mit den Berechtigungen der Gruppen kombiniert, denen der Benutzer angehört. Wenn ein Benutzer Lesezugriff auf eine Datei hat, der Benutzer aber Mitglied einer Gruppe ist, die Änderungszugriff auf die gleiche Datei hat, ist die effektive Berechtigungsstufe des Benutzers Ändern.
  • Berechtigungen, die direkt einer bestimmten Datei oder einem bestimmten Ordner zugeordnet sind (explizite Berechtigungen), haben Vorrang vor Berechtigungen, die von einem übergeordneten Ordner geerbt werden (geerbte Berechtigungen).
  • Explizite Verweigerungs-Berechtigungen haben Vorrang vor expliziten Erlaubnis-Berechtigungen, aufgrund der vorherigen Regel haben explizite Erlaubnis-Berechtigungen jedoch Vorrang vor vererbten Verweigerungs-Berechtigungen.
NixVerstehen
NixVerstehen May 22, 2021 at 13:00:18 (UTC)
Goto Top
Zitat von @RG2525:

Danke , kann mich wieder erinnern, dass das nicht so einfach war...

@RG2525: Danke sehr. Das hab ich mir jetzt echt mal in ein Word-Doc kopiert zum Nachlesen.
RG2525
RG2525 May 23, 2021 at 17:10:48 (UTC)
Goto Top
Ich meinte (wollte meinen, aber nicht glücklich ausgedruckt) die Zertifizierungsprüfung vor 20 Jahren.