6
NTFS Berechtigung greift nicht! Wissenslücke!
Hallo,
Auf einem W2K16 Fileserver habe ich Berechtigungen für Verzeichnisse gesetzt.
Ich vergebe immer explizit Freigabe und NTFS Berechtigungen mit Security Gruppen.
Auf einem einzigen weniger wichtigen Freigegebenen Ordner \\SERVER\Allgemein habe ich als Freigabe Berechtigung den "Authentifizierten Benutzer" gesetzt anstatt eine eigene Security Gruppe zu definieren.
Auch bei der NTFS Berechtigung habe ich den "Authentifizierten Benutzer" benutzt.
Ich habe eine Security Gruppe "SEC_No_Access" wo ich einen externen Teilzeitbenutzer drinen habe. Vom obersten Verzeichniss nach unten vererbt.
Diese Gruppe ist auf allen Ordnern in NTFS Berechtigung eingebaut und Verweigert alle Zugriffe. Auch auf das Verzeichniss mit der Freigabe \\SERVER\Allgemein
Habe mich heute als diesen Benutzer angemeldet und zufällig auf \\SERVER geschaut und auf Allgemein doppelklickt und es ist mir sehr schlecht geworden als ich gesehen habe dass er in dieser Freigabe reinkommt und auch duch die Unterordner. Für diese Firma und den Inhalt dieses Ordneres ist das jetzt keine Katastrophe aber es geht mir überhaupt nicht gut und will wissen warum sowas passieren kann!
Ordner "Allgemein" = Freigabe "Allgemein"
. Freigabeberechtigung > Authentifizierte Benutzert (kann zugreifen)
. NTFS Berechtigung > Authentifizierte Benutzert (kann zugreifen) & SEC_NO_ACCESS (wird alles verweigert)
Inzwischen habe ich in der Freigabeberechtigung den SEC_No_ACCESS eingebaut und den Zugriff verweigert. Das greift.
Ich wäre sehr dankbar wenn jemand mir meinen Denkfehler / Wissenslücke aufzeigt!
Danke
Olaf
Auf einem W2K16 Fileserver habe ich Berechtigungen für Verzeichnisse gesetzt.
Ich vergebe immer explizit Freigabe und NTFS Berechtigungen mit Security Gruppen.
Auf einem einzigen weniger wichtigen Freigegebenen Ordner \\SERVER\Allgemein habe ich als Freigabe Berechtigung den "Authentifizierten Benutzer" gesetzt anstatt eine eigene Security Gruppe zu definieren.
Auch bei der NTFS Berechtigung habe ich den "Authentifizierten Benutzer" benutzt.
Ich habe eine Security Gruppe "SEC_No_Access" wo ich einen externen Teilzeitbenutzer drinen habe. Vom obersten Verzeichniss nach unten vererbt.
Diese Gruppe ist auf allen Ordnern in NTFS Berechtigung eingebaut und Verweigert alle Zugriffe. Auch auf das Verzeichniss mit der Freigabe \\SERVER\Allgemein
Habe mich heute als diesen Benutzer angemeldet und zufällig auf \\SERVER geschaut und auf Allgemein doppelklickt und es ist mir sehr schlecht geworden als ich gesehen habe dass er in dieser Freigabe reinkommt und auch duch die Unterordner. Für diese Firma und den Inhalt dieses Ordneres ist das jetzt keine Katastrophe aber es geht mir überhaupt nicht gut und will wissen warum sowas passieren kann!
Ordner "Allgemein" = Freigabe "Allgemein"
. Freigabeberechtigung > Authentifizierte Benutzert (kann zugreifen)
. NTFS Berechtigung > Authentifizierte Benutzert (kann zugreifen) & SEC_NO_ACCESS (wird alles verweigert)
Der Benutzer in der Gruppe SEC_NO_ACCESS kann aber auf alles in Allgemein zugreifen.
Inzwischen habe ich in der Freigabeberechtigung den SEC_No_ACCESS eingebaut und den Zugriff verweigert. Das greift.
Ich wäre sehr dankbar wenn jemand mir meinen Denkfehler / Wissenslücke aufzeigt!
Danke
Olaf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666993
Url: https://administrator.de/contentid/666993
Printed on: July 27, 2024 at 11:07 o'clock
6 Comments
Latest comment
Moin,
works as designed: Explizite Berechtigung (Gruppe Authentifizierte Benutzer) hat Vorrang vor vererbter Berechtigung (SEC_No_ACCESS).
Hoffe, das füllt Deine Wissenslücke
Gruß
cykes
works as designed: Explizite Berechtigung (Gruppe Authentifizierte Benutzer) hat Vorrang vor vererbter Berechtigung (SEC_No_ACCESS).
Hoffe, das füllt Deine Wissenslücke
Gruß
cykes
Hallo cykes,
Ich brauche ein Bisschen Zeit das zu verdauen
Ich habe immer gelernt dass restriktivere Berechtigungen gewinnen!
Einen Unterschied zwischen Vererbte und explizite Berechtigungen habe ich nirgends gelesen (auch nicht bei den Prüfungen)!
DANKE auf jeden Fall für deine Info. Werde mir das genau anschauen und das Problem als gelöst markieren.
LG
Olaf
Ich brauche ein Bisschen Zeit das zu verdauen
Ich habe immer gelernt dass restriktivere Berechtigungen gewinnen!Einen Unterschied zwischen Vererbte und explizite Berechtigungen habe ich nirgends gelesen (auch nicht bei den Prüfungen)!
DANKE auf jeden Fall für deine Info. Werde mir das genau anschauen und das Problem als gelöst markieren.
LG
Olaf
Moin,
ggf. hilft dir das hier etwas weiter:
https://www.ntfs.com/ntfs-permissions-precedence.htm
Gruß
em-pie
ggf. hilft dir das hier etwas weiter:
https://www.ntfs.com/ntfs-permissions-precedence.htm
Gruß
em-pie
1
Danke , kann mich wieder erinnern, dass das nicht so einfach war...
- Wenn auf die Datei lokal zugegriffen wird, werden nur die NTFS-Berechtigungen verwendet, um die Zugriffsebene des Benutzers zu bestimmen.
- Wenn über eine Freigabe auf die Datei zugegriffen wird, werden NTFS- und Freigabeberechtigungen verwendet und es gilt die restriktivste Berechtigung. Wenn etwa die Freigabeberechtigungen für den freigegebenen Ordner dem Benutzer Lesezugriff gewähren und die NTFS-Berechtigungen dem Benutzer die Zugriffsberechtigung zum Ändern gewähren, ist die effektive Berechtigungsstufe des Benutzers Lesen beim Remotezugriff auf die Freigabe und Ändern beim lokalen Zugriff auf den Ordner.
- Die individuellen Berechtigungen eines Benutzers werden additiv mit den Berechtigungen der Gruppen kombiniert, denen der Benutzer angehört. Wenn ein Benutzer Lesezugriff auf eine Datei hat, der Benutzer aber Mitglied einer Gruppe ist, die Änderungszugriff auf die gleiche Datei hat, ist die effektive Berechtigungsstufe des Benutzers Ändern.
- Berechtigungen, die direkt einer bestimmten Datei oder einem bestimmten Ordner zugeordnet sind (explizite Berechtigungen), haben Vorrang vor Berechtigungen, die von einem übergeordneten Ordner geerbt werden (geerbte Berechtigungen).
- Explizite Verweigerungs-Berechtigungen haben Vorrang vor expliziten Erlaubnis-Berechtigungen, aufgrund der vorherigen Regel haben explizite Erlaubnis-Berechtigungen jedoch Vorrang vor vererbten Verweigerungs-Berechtigungen.
Ich meinte (wollte meinen, aber nicht glücklich ausgedruckt) die Zertifizierungsprüfung vor 20 Jahren.