NTFS Berechtigung greift nicht! Wissenslücke!

Hallo,

Auf einem W2K16 Fileserver habe ich Berechtigungen für Verzeichnisse gesetzt.
Ich vergebe immer explizit Freigabe und NTFS Berechtigungen mit Security Gruppen.

Auf einem einzigen weniger wichtigen Freigegebenen Ordner \\SERVER\Allgemein habe ich als Freigabe Berechtigung den "Authentifizierten Benutzer" gesetzt anstatt eine eigene Security Gruppe zu definieren.
Auch bei der NTFS Berechtigung habe ich den "Authentifizierten Benutzer" benutzt.

Ich habe eine Security Gruppe "SEC_No_Access" wo ich einen externen Teilzeitbenutzer drinen habe. Vom obersten Verzeichniss nach unten vererbt.

Diese Gruppe ist auf allen Ordnern in NTFS Berechtigung eingebaut und Verweigert alle Zugriffe. Auch auf das Verzeichniss mit der Freigabe \\SERVER\Allgemein

Habe mich heute als diesen Benutzer angemeldet und zufällig auf \\SERVER geschaut und auf Allgemein doppelklickt und es ist mir sehr schlecht geworden als ich gesehen habe dass er in dieser Freigabe reinkommt und auch duch die Unterordner. Für diese Firma und den Inhalt dieses Ordneres ist das jetzt keine Katastrophe aber es geht mir überhaupt nicht gut und will wissen warum sowas passieren kann!

Ordner "Allgemein" = Freigabe "Allgemein"
. Freigabeberechtigung > Authentifizierte Benutzert (kann zugreifen)
. NTFS Berechtigung > Authentifizierte Benutzert (kann zugreifen) & SEC_NO_ACCESS (wird alles verweigert)

Der Benutzer in der Gruppe SEC_NO_ACCESS kann aber auf alles in Allgemein zugreifen.

Inzwischen habe ich in der Freigabeberechtigung den SEC_No_ACCESS eingebaut und den Zugriff verweigert. Das greift.

Ich wäre sehr dankbar wenn jemand mir meinen Denkfehler / Wissenslücke aufzeigt!

Danke
Olaf

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 666993

Url: https://administrator.de/contentid/666993

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

6 Kommentare

Neuester Kommentar

Moin,

works as designed: Explizite Berechtigung (Gruppe Authentifizierte Benutzer) hat Vorrang vor vererbter Berechtigung (SEC_No_ACCESS).

Hoffe, das füllt Deine Wissenslücke

Gruß

cykes

Hallo cykes,

Ich brauche ein Bisschen Zeit das zu verdauen

Ich habe immer gelernt dass restriktivere Berechtigungen gewinnen!

Einen Unterschied zwischen Vererbte und explizite Berechtigungen habe ich nirgends gelesen (auch nicht bei den Prüfungen)!

DANKE auf jeden Fall für deine Info. Werde mir das genau anschauen und das Problem als gelöst markieren.

LG
Olaf

Moin,

ggf. hilft dir das hier etwas weiter:
https://www.ntfs.com/ntfs-permissions-precedence.htm

Gruß
em-pie

Danke , kann mich wieder erinnern, dass das nicht so einfach war...

Wenn auf die Datei lokal zugegriffen wird, werden nur die NTFS-Berechtigungen verwendet, um die Zugriffsebene des Benutzers zu bestimmen.
Wenn über eine Freigabe auf die Datei zugegriffen wird, werden NTFS- und Freigabeberechtigungen verwendet und es gilt die restriktivste Berechtigung. Wenn etwa die Freigabeberechtigungen für den freigegebenen Ordner dem Benutzer Lesezugriff gewähren und die NTFS-Berechtigungen dem Benutzer die Zugriffsberechtigung zum Ändern gewähren, ist die effektive Berechtigungsstufe des Benutzers Lesen beim Remotezugriff auf die Freigabe und Ändern beim lokalen Zugriff auf den Ordner.
Die individuellen Berechtigungen eines Benutzers werden additiv mit den Berechtigungen der Gruppen kombiniert, denen der Benutzer angehört. Wenn ein Benutzer Lesezugriff auf eine Datei hat, der Benutzer aber Mitglied einer Gruppe ist, die Änderungszugriff auf die gleiche Datei hat, ist die effektive Berechtigungsstufe des Benutzers Ändern.
Berechtigungen, die direkt einer bestimmten Datei oder einem bestimmten Ordner zugeordnet sind (explizite Berechtigungen), haben Vorrang vor Berechtigungen, die von einem übergeordneten Ordner geerbt werden (geerbte Berechtigungen).
Explizite Verweigerungs-Berechtigungen haben Vorrang vor expliziten Erlaubnis-Berechtigungen, aufgrund der vorherigen Regel haben explizite Erlaubnis-Berechtigungen jedoch Vorrang vor vererbten Verweigerungs-Berechtigungen.