8
NTFS-Berechtigungen wie richtig setzen?
Hallo ihr alle,
ich habe da mal eine (evtl.) blöde Frage zu NTFS-Berechtigungen.
Ich habe ein Ordnersystem, das wie folgt lautet:
Kunden\Kunde1\...
Kunden\Kunde2\...
Kunden\Kunde3\...
Momentan hat der "Domäne-Benutzer" (also jeder) Vollzugriff auf alle Ordner. Dies ist jedoch unschön, da es ab und an vorkommt, dass einzelne Kunden-Ordner gelöscht und/oder verschoben werden.
Jetzt ist die Frage... wie schaffe ich es sowohl den hauptordner "Kunden" als auch die einzelnen Unterordner "Kunde1", "Kunde2" etc so zu sichern, dass diese weder gelöscht noch verschoben werden können?
Ich habe bereits etwas herumgetestet (natürlich mit Testordnern) aber bin da irgendwie total verwirrt.
Ich habe zuerst dem Ordner "Kunde1", "Kunde2".. gesagt, er soll keine Berechtigungen mehr erben.
Anschließend habe ich auch dem Hauptordner "Kunden" gesagt, dass er nix erben soll und dann in seinen ACLs gesagt, dass der "Domäne-Benutzer" das Recht "ändern" nicht mehr haben soll.
Nun als stinknormaler User angemeldet und es getestet... an und für sich klappt es. Ich kann Kunden die nicht umbenennen und auch nicht verschieben.
Dann gehe ich in den Ordner rein und kann alles machen, was ich will - ist auch okay so. Nun bearbeite ich jedoch eine Datei, nenne Ordner um udn treibe sonstigen Humbug (als User).
Jetzt gehe ich wieder zum hauptordner und siehe da... ich kann ihn wieder umbenennen?! In den ACLs hat sich aber geändert komischerweise. Also wieterhin kein "ändern"-Recht für den User.. er kann aber alles ändern. Hat es irgendwas damit zu tun, dass er dadrin ne Datei bearbeitet/geändert/umbenannt hat?!
Was wäre die ALternative für mein Vorgehen?
Was mir noch einfällt... ist eine neue Gruppe zu erstellen und dort explizit das ändern/schreiben auf diese Ordner zu verbieten und dort alle User reinzupacken mit ausnahme von 2 oder
3, die das dürfen sollen. Oder gibt es da noch eine bessere Vorgehensweise, die mir jetzt gerade nichte einfällt?
Wobei das Problem, das hier dann auftritt ist, dass Ordner, die in \Kunden\Kunde1 erstllt werden die Rechte vom Ordner oberhalt übernehmen. Von daher müsste derjenige, der die Ordner anlegt dann immer explizit sagen, dass die Vererbung sowie dieses eine "Verbieten"-Recht weg soll?! Ist ja auch nicht das gelbe vom Ei.
Ich hoffe ich habe mich nicht zu verwirrend ausgedrückt und jemand kann mir helfen.
Bei Rückfragen stehe ich gerne zur Verfügung!
Liebe Grüße
AB
Edit:
Habe auch bereits mit den "speziellen Berechtigungen" herumgebastelt aber auch hierrüber bekomme ich das leider nicht hin.
Ich habe dem Hauptordner "Kunden" das erben deaktiviert und anshcließend die Berechtigungen für "Domäne-Benutzer" angepasst. Habe hier diverse Sachen versucht sowohl für "nur diesen Ordner" als auch für "unterordner und dateien" und co. Ich bekomme es aber nicht hin, dass ich:
\Kunden nicht bearbeiten kann
\Kunden\Kunde1\ nicht bearbeiten kann
\Kunden\Kunde2\ nicht bearbeiten kann
hingegen
\Kunden\Kunde1\unterordner\
\Kunden\Kunde1\unterordner\datei.doc
usw bearbeiten, vershcieben, löschen und co. kann.
ich habe da mal eine (evtl.) blöde Frage zu NTFS-Berechtigungen.
Ich habe ein Ordnersystem, das wie folgt lautet:
Kunden\Kunde1\...
Kunden\Kunde2\...
Kunden\Kunde3\...
Momentan hat der "Domäne-Benutzer" (also jeder) Vollzugriff auf alle Ordner. Dies ist jedoch unschön, da es ab und an vorkommt, dass einzelne Kunden-Ordner gelöscht und/oder verschoben werden.
Jetzt ist die Frage... wie schaffe ich es sowohl den hauptordner "Kunden" als auch die einzelnen Unterordner "Kunde1", "Kunde2" etc so zu sichern, dass diese weder gelöscht noch verschoben werden können?
Ich habe bereits etwas herumgetestet (natürlich mit Testordnern) aber bin da irgendwie total verwirrt.
Ich habe zuerst dem Ordner "Kunde1", "Kunde2".. gesagt, er soll keine Berechtigungen mehr erben.
Anschließend habe ich auch dem Hauptordner "Kunden" gesagt, dass er nix erben soll und dann in seinen ACLs gesagt, dass der "Domäne-Benutzer" das Recht "ändern" nicht mehr haben soll.
Nun als stinknormaler User angemeldet und es getestet... an und für sich klappt es. Ich kann Kunden die nicht umbenennen und auch nicht verschieben.
Dann gehe ich in den Ordner rein und kann alles machen, was ich will - ist auch okay so. Nun bearbeite ich jedoch eine Datei, nenne Ordner um udn treibe sonstigen Humbug (als User).
Jetzt gehe ich wieder zum hauptordner und siehe da... ich kann ihn wieder umbenennen?! In den ACLs hat sich aber geändert komischerweise. Also wieterhin kein "ändern"-Recht für den User.. er kann aber alles ändern. Hat es irgendwas damit zu tun, dass er dadrin ne Datei bearbeitet/geändert/umbenannt hat?!
Was wäre die ALternative für mein Vorgehen?
Was mir noch einfällt... ist eine neue Gruppe zu erstellen und dort explizit das ändern/schreiben auf diese Ordner zu verbieten und dort alle User reinzupacken mit ausnahme von 2 oder
3, die das dürfen sollen. Oder gibt es da noch eine bessere Vorgehensweise, die mir jetzt gerade nichte einfällt?
Wobei das Problem, das hier dann auftritt ist, dass Ordner, die in \Kunden\Kunde1 erstllt werden die Rechte vom Ordner oberhalt übernehmen. Von daher müsste derjenige, der die Ordner anlegt dann immer explizit sagen, dass die Vererbung sowie dieses eine "Verbieten"-Recht weg soll?! Ist ja auch nicht das gelbe vom Ei.
Ich hoffe ich habe mich nicht zu verwirrend ausgedrückt und jemand kann mir helfen.
Bei Rückfragen stehe ich gerne zur Verfügung!
Liebe Grüße
AB
Edit:
Habe auch bereits mit den "speziellen Berechtigungen" herumgebastelt aber auch hierrüber bekomme ich das leider nicht hin.
Ich habe dem Hauptordner "Kunden" das erben deaktiviert und anshcließend die Berechtigungen für "Domäne-Benutzer" angepasst. Habe hier diverse Sachen versucht sowohl für "nur diesen Ordner" als auch für "unterordner und dateien" und co. Ich bekomme es aber nicht hin, dass ich:
\Kunden nicht bearbeiten kann
\Kunden\Kunde1\ nicht bearbeiten kann
\Kunden\Kunde2\ nicht bearbeiten kann
hingegen
\Kunden\Kunde1\unterordner\
\Kunden\Kunde1\unterordner\datei.doc
usw bearbeiten, vershcieben, löschen und co. kann.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 183414
Url: https://administrator.de/contentid/183414
Ausgedruckt am: 05.11.2024 um 23:11 Uhr
8 Kommentare
Neuester Kommentar
Moin Moin,
nur mit Domänen-User kannst du das vergessen. Lege Gruppen an und erteile diesen explizit die gewünschten Berechtigungen.
Bedenke, den anderen Usern/Gruppen die Rechte zu nehmen! (außer System/Backup/Admin etc. natürlich)
btw
\Kunden vererben auf \Kunden\Kunde1\
\Kunden vererben auf \Kunden\Kunde2\
weil es doch die gleichen Berechtigungen sind
und
in \Kunden\Kunde1\unterordner\ stellst du doch sowieso die Rechte für die Dateien und Unterordner ein
d.h. für \Kunden\Kunde1\unterordner\datei.doc ist keine zusätzliche Einstellung notwendig
Grüße aus Rostock
Wolfgang
(Netwolf)
nur mit Domänen-User kannst du das vergessen. Lege Gruppen an und erteile diesen explizit die gewünschten Berechtigungen.
Bedenke, den anderen Usern/Gruppen die Rechte zu nehmen! (außer System/Backup/Admin etc. natürlich)
btw
\Kunden vererben auf \Kunden\Kunde1\
\Kunden vererben auf \Kunden\Kunde2\
weil es doch die gleichen Berechtigungen sind
und
in \Kunden\Kunde1\unterordner\ stellst du doch sowieso die Rechte für die Dateien und Unterordner ein
d.h. für \Kunden\Kunde1\unterordner\datei.doc ist keine zusätzliche Einstellung notwendig
Grüße aus Rostock
Wolfgang
(Netwolf)
Hallo NetWolf,
warum kann ich das mit den Domäne-Usern vergessen? Das ist doch genauso eine Gruppe wie jede andere?
Was ich nicht verstehe ist:
wenn ich eine spezielle Berechtigung für Domäne-User anlege die heißt "Löschen -> verweigern" und aktiviere sie "Nur für diesen Ordner" ... bekomme ich zwar vom System die Meldung "Verweigern ist wichtiger als genehmigen bla bla" aber der User kann das Ding dennoch löschen. Aber warum?
Auch wenn ich bei den genehmigungen/verwiegerungen nach logischen Menschenverstand vorgehe... irgendwie scheint Windows da eine andere Logik zu haben.
Ich habe nun diverse Dinge versucht mit und ohne vererbung. Mit verwiegern oder nur wegnehmen der Lösch-Rechte... mit "nur für diesen ordner" oder "ordner & unterordner". Manchmal klappt es, dass ich bei den Ordnern "Zugriff verweigert" bekomme aber dann bekomme ich auch bei den Dtaeien diese Meldung - auch wenn ich wie oben geschrieben nur ordner gewählt habe.
Das ist doch echt nicht wahr... =/
Gruß
AB
warum kann ich das mit den Domäne-Usern vergessen? Das ist doch genauso eine Gruppe wie jede andere?
Was ich nicht verstehe ist:
wenn ich eine spezielle Berechtigung für Domäne-User anlege die heißt "Löschen -> verweigern" und aktiviere sie "Nur für diesen Ordner" ... bekomme ich zwar vom System die Meldung "Verweigern ist wichtiger als genehmigen bla bla" aber der User kann das Ding dennoch löschen. Aber warum?
Auch wenn ich bei den genehmigungen/verwiegerungen nach logischen Menschenverstand vorgehe... irgendwie scheint Windows da eine andere Logik zu haben.
Ich habe nun diverse Dinge versucht mit und ohne vererbung. Mit verwiegern oder nur wegnehmen der Lösch-Rechte... mit "nur für diesen ordner" oder "ordner & unterordner". Manchmal klappt es, dass ich bei den Ordnern "Zugriff verweigert" bekomme aber dann bekomme ich auch bei den Dtaeien diese Meldung - auch wenn ich wie oben geschrieben nur ordner gewählt habe.
Das ist doch echt nicht wahr... =/
Gruß
AB
Moin Moin,
der Domänen - User ist mir zu schwammig. Klare Gruppen lassen sich besser managen.
Das der User doch löschen kann liegt vermutlich daran, dass er in einer der anderen Gruppen drin ist, die noch Berechtigungen auf den Ordner/Datei haben.
Nur mal so am Rande....du bist auf dem Server angemeldet und veränderst die Freigaben oder die lokalen Rechte dort?
Grüße aus Rostock
Wolfgang
(Netwolf)
der Domänen - User ist mir zu schwammig. Klare Gruppen lassen sich besser managen.
Das der User doch löschen kann liegt vermutlich daran, dass er in einer der anderen Gruppen drin ist, die noch Berechtigungen auf den Ordner/Datei haben.
Nur mal so am Rande....du bist auf dem Server angemeldet und veränderst die Freigaben oder die lokalen Rechte dort?
Grüße aus Rostock
Wolfgang
(Netwolf)
Hi nochmal,
ich bin an meinem rechner mit Domain-Admin-Rechten angemeldet.
Zeitgleich auf einem Terminal mit User-Rechten.
das mit dem Domain-User stimmt, da gebe ich dir Recht. Aber fürs prinzip sollte das jetzt ja nicht das große Problem darstellen. Zukünftig werde ich das aber mit sicherheit irgendwann ändern!
Ich habe nun irgendwo auf dem Fileserver in einem Dummy-Ordner entsprechende Ordner zum Testen eingerichtet und an den Rechten gespielt udn dies dann über den User-Acc auf dem temrinal getestet. An Freigabe und lokalen Rechten auf dem Server habe ich nichts geändert nur eben die Berechtigungen für diesen einen Unterordner irgendwo auf dem Fileserver, den ich zum Testen angelegt habe.
Andere Gruppen sind nicht da.. es gibt folgende:
- ersteller-besitzer (bin ich als admin-account, der user nicht)
- system
- Domäne-Benutzer (da ist der User drin)
- administrator
- fileserver\benutzer (also lokale ruser auf dem fs, da ist der domain-user auch nicht drin)
Nun zu einer halben Lösung die ich herausgefunden habe:
Siehe hier: https://www.mcseboard.de/windows-server-forum-78/verzeichnis-gegen-loesc ...
Auf Seite 3 ganz unten
Das geht dann in etwa so:
1)
Ordner Kunden:
--- Vererbung deaktivieren
--- Domäne-Benutzer den "Vollzugriff" nehmen
damit verliert diese Gruppe unter den speziellen ber. das Recht "Unterordner und Dateien löschen"
2)
Ordner Kunden\Kunde1
--- Vererbung deaktivieren
--- Spezielle Berechtigung von Domäne-User bearbeiten und "löschen entfernen" dafür "Unterordner und Dateien löschen" hinzufügen
Nun scheint es zu klappen, dass ich Kunde\Kunde1, \Kunde\Kunde2 usw nicht mehr löschen kann aber alles was unten drunter ist schon.
Neues Problem, was sich daraus ergibt:
Ich muss jedem Kundenordner sagen, dass er die 3 Punkte unter 2) machen muss. Bei über 1000 Ordnern nicht händisch praktikabel. Gibt es hier Möglichkeiten?
Was auch evtl. noch unschön ist... man kann nun Ordner wieterhin verschieben, nur, dass sie eben nicht verschwinden. Am neuen Standort wird aber eine Kopie angelegt. Unschn aber am Ende verkraftbar, falls das nicht zu unterbinden ist.
Gruß und jetzt schon vielen Dank für deine Hilfe!
MB
ich bin an meinem rechner mit Domain-Admin-Rechten angemeldet.
Zeitgleich auf einem Terminal mit User-Rechten.
das mit dem Domain-User stimmt, da gebe ich dir Recht. Aber fürs prinzip sollte das jetzt ja nicht das große Problem darstellen. Zukünftig werde ich das aber mit sicherheit irgendwann ändern!
Ich habe nun irgendwo auf dem Fileserver in einem Dummy-Ordner entsprechende Ordner zum Testen eingerichtet und an den Rechten gespielt udn dies dann über den User-Acc auf dem temrinal getestet. An Freigabe und lokalen Rechten auf dem Server habe ich nichts geändert nur eben die Berechtigungen für diesen einen Unterordner irgendwo auf dem Fileserver, den ich zum Testen angelegt habe.
Andere Gruppen sind nicht da.. es gibt folgende:
- ersteller-besitzer (bin ich als admin-account, der user nicht)
- system
- Domäne-Benutzer (da ist der User drin)
- administrator
- fileserver\benutzer (also lokale ruser auf dem fs, da ist der domain-user auch nicht drin)
Nun zu einer halben Lösung die ich herausgefunden habe:
Siehe hier: https://www.mcseboard.de/windows-server-forum-78/verzeichnis-gegen-loesc ...
Auf Seite 3 ganz unten
Das geht dann in etwa so:
1)
Ordner Kunden:
--- Vererbung deaktivieren
--- Domäne-Benutzer den "Vollzugriff" nehmen
damit verliert diese Gruppe unter den speziellen ber. das Recht "Unterordner und Dateien löschen"
2)
Ordner Kunden\Kunde1
--- Vererbung deaktivieren
--- Spezielle Berechtigung von Domäne-User bearbeiten und "löschen entfernen" dafür "Unterordner und Dateien löschen" hinzufügen
Nun scheint es zu klappen, dass ich Kunde\Kunde1, \Kunde\Kunde2 usw nicht mehr löschen kann aber alles was unten drunter ist schon.
Neues Problem, was sich daraus ergibt:
Ich muss jedem Kundenordner sagen, dass er die 3 Punkte unter 2) machen muss. Bei über 1000 Ordnern nicht händisch praktikabel. Gibt es hier Möglichkeiten?
Was auch evtl. noch unschön ist... man kann nun Ordner wieterhin verschieben, nur, dass sie eben nicht verschwinden. Am neuen Standort wird aber eine Kopie angelegt. Unschn aber am Ende verkraftbar, falls das nicht zu unterbinden ist.
Gruß und jetzt schon vielen Dank für deine Hilfe!
MB
Hallo,
Ein Benutzer der ein Dokument oder Ordner anlegt ist auch der Besitzer!
Und versuche ein Verweigern grundsätzlich zu Vermeiden.
Gruß,
Peter
Ein Benutzer der ein Dokument oder Ordner anlegt ist auch der Besitzer!
man kann nun Ordner wieterhin verschieben
Nein, kann man jetzt nicht mehr denn du schreibst ja weiternur, dass sie eben nicht verschwinden. Am neuen Standort wird aber eine Kopie angelegt.
Mach dir doch mal klar was ein Verschieben auf einem Dateisystem tatsächlich ist. Das sind 2 Vorgänge. 1ter ist ein Kopieren und dann folgt als 2tes ein Löschen. Das Löschenh hast du aber verboten, folglich.....Unschn aber am Ende verkraftbar, falls das nicht zu unterbinden ist.
Ausser das bald keiner mehr weiss was an Duplikate wo gespeichert und was davon aktuell ist.Und versuche ein Verweigern grundsätzlich zu Vermeiden.
Gruß,
Peter
Hallo Pjordorf,
vielen Dank für deinen beitrag.
Wer ein Dokument oder Ordner anlegt ist der Besitzer, da sist klar. Ich habe die Ordner jedoch als Admin angelegt und nicht als User.
Die Tatsache, dass verschieben = kopieren & löschen ist verstehe ich auch, nur sehr schade, dass Windows das so behandelt. Eine spezielle Rechtegruppe diesbezüglich wäre imho schon sinnvoll aber man kann ja nicht alles haben.
Das mit den Duplikaten stört mich ehrlich gesagt eher weniger. Das passiert ja nicht soo oft. Und wenn man mal einen Kundenordner in einem anderen drin sieht kann man sich wenigstens zu 100% sicher sein, dass es ein Duplikat ist und somit gelöscht werdne kann.
Verweigern vermeiden = check.
Bei der Lösung die ich im vorhergehenden Post geschrieben habe ist auch kein verweigern drin. Besteht jetzt nur noch die Frage, wie ich bei über 1000 Ordnern das Vererben deaktiviere und anschließend "Unterordner und Dateien löschen" aktiviere bzw "Löschen" deaktiviere.
Grüße
AB
vielen Dank für deinen beitrag.
Wer ein Dokument oder Ordner anlegt ist der Besitzer, da sist klar. Ich habe die Ordner jedoch als Admin angelegt und nicht als User.
Die Tatsache, dass verschieben = kopieren & löschen ist verstehe ich auch, nur sehr schade, dass Windows das so behandelt. Eine spezielle Rechtegruppe diesbezüglich wäre imho schon sinnvoll aber man kann ja nicht alles haben.
Das mit den Duplikaten stört mich ehrlich gesagt eher weniger. Das passiert ja nicht soo oft. Und wenn man mal einen Kundenordner in einem anderen drin sieht kann man sich wenigstens zu 100% sicher sein, dass es ein Duplikat ist und somit gelöscht werdne kann.
Verweigern vermeiden = check.
Bei der Lösung die ich im vorhergehenden Post geschrieben habe ist auch kein verweigern drin. Besteht jetzt nur noch die Frage, wie ich bei über 1000 Ordnern das Vererben deaktiviere und anschließend "Unterordner und Dateien löschen" aktiviere bzw "Löschen" deaktiviere.
Grüße
AB
Hallo,
Kopieren und Löschen. Sind einzeln aufgeführt Aber ich Verstehe dich
.
Gruß,
Peter
Zitat von @AndreasBecker:
Wer ein Dokument oder Ordner anlegt ist der Besitzer, da sist klar. Ich habe die Ordner jedoch als Admin angelegt und nicht als User.
Überlege dir ob du den Besitzer nicht evtl. ganz rausnehmen willst. (Spiel das mal durch wenn ein Benutzer einen Ordner / Datei Kopiert)Wer ein Dokument oder Ordner anlegt ist der Besitzer, da sist klar. Ich habe die Ordner jedoch als Admin angelegt und nicht als User.
nur sehr schade, dass Windows das so behandelt.
Das ist keine Sache von Windows.Eine spezielle Rechtegruppe diesbezüglich wäre imho schon sinnvoll aber man kann ja nicht alles haben.
Hast du doch Kopieren und Löschen. Sind einzeln aufgeführt Aber ich Verstehe dichFrage, wie ich bei über 1000 Ordnern das Vererben deaktiviere und anschließend "Unterordner und Dateien löschen" aktiviere bzw "Löschen" deaktiviere.
cacls bzw. icacls ist dein Skripting Favorit für Batchen.Gruß,
Peter
Hmm na gut vielen Dank, Peter!
Zu cacls habe ich mir heute Tagsüber kurz angeschaut.. ahbe aber auf die schnelle nicht geblickt wie das mit den "speziellen Berechtigungen" geht bzw. wie man damit die Vererbung deaktiviert.
Werde es aber bei Zeiten nochmal genauer nachschauen.. kann glaube ich nicht so schwer sein.
Grüße,
Andi
Zu cacls habe ich mir heute Tagsüber kurz angeschaut.. ahbe aber auf die schnelle nicht geblickt wie das mit den "speziellen Berechtigungen" geht bzw. wie man damit die Vererbung deaktiviert.
Werde es aber bei Zeiten nochmal genauer nachschauen.. kann glaube ich nicht so schwer sein.
Grüße,
Andi
