NTFS-Berechtigungen wie richtig setzen?
Hallo ihr alle,
ich habe da mal eine (evtl.) blöde Frage zu NTFS-Berechtigungen.
Ich habe ein Ordnersystem, das wie folgt lautet:
Kunden\Kunde1\...
Kunden\Kunde2\...
Kunden\Kunde3\...
Momentan hat der "Domäne-Benutzer" (also jeder) Vollzugriff auf alle Ordner. Dies ist jedoch unschön, da es ab und an vorkommt, dass einzelne Kunden-Ordner gelöscht und/oder verschoben werden.
Jetzt ist die Frage... wie schaffe ich es sowohl den hauptordner "Kunden" als auch die einzelnen Unterordner "Kunde1", "Kunde2" etc so zu sichern, dass diese weder gelöscht noch verschoben werden können?
Ich habe bereits etwas herumgetestet (natürlich mit Testordnern) aber bin da irgendwie total verwirrt.
Ich habe zuerst dem Ordner "Kunde1", "Kunde2".. gesagt, er soll keine Berechtigungen mehr erben.
Anschließend habe ich auch dem Hauptordner "Kunden" gesagt, dass er nix erben soll und dann in seinen ACLs gesagt, dass der "Domäne-Benutzer" das Recht "ändern" nicht mehr haben soll.
Nun als stinknormaler User angemeldet und es getestet... an und für sich klappt es. Ich kann Kunden die nicht umbenennen und auch nicht verschieben.
Dann gehe ich in den Ordner rein und kann alles machen, was ich will - ist auch okay so. Nun bearbeite ich jedoch eine Datei, nenne Ordner um udn treibe sonstigen Humbug (als User).
Jetzt gehe ich wieder zum hauptordner und siehe da... ich kann ihn wieder umbenennen?! In den ACLs hat sich aber geändert komischerweise. Also wieterhin kein "ändern"-Recht für den User.. er kann aber alles ändern. Hat es irgendwas damit zu tun, dass er dadrin ne Datei bearbeitet/geändert/umbenannt hat?!
Was wäre die ALternative für mein Vorgehen?
Was mir noch einfällt... ist eine neue Gruppe zu erstellen und dort explizit das ändern/schreiben auf diese Ordner zu verbieten und dort alle User reinzupacken mit ausnahme von 2 oder
3, die das dürfen sollen. Oder gibt es da noch eine bessere Vorgehensweise, die mir jetzt gerade nichte einfällt?
Wobei das Problem, das hier dann auftritt ist, dass Ordner, die in \Kunden\Kunde1 erstllt werden die Rechte vom Ordner oberhalt übernehmen. Von daher müsste derjenige, der die Ordner anlegt dann immer explizit sagen, dass die Vererbung sowie dieses eine "Verbieten"-Recht weg soll?! Ist ja auch nicht das gelbe vom Ei.
Ich hoffe ich habe mich nicht zu verwirrend ausgedrückt und jemand kann mir helfen.
Bei Rückfragen stehe ich gerne zur Verfügung!
Liebe Grüße
AB
Edit:
Habe auch bereits mit den "speziellen Berechtigungen" herumgebastelt aber auch hierrüber bekomme ich das leider nicht hin.
Ich habe dem Hauptordner "Kunden" das erben deaktiviert und anshcließend die Berechtigungen für "Domäne-Benutzer" angepasst. Habe hier diverse Sachen versucht sowohl für "nur diesen Ordner" als auch für "unterordner und dateien" und co. Ich bekomme es aber nicht hin, dass ich:
\Kunden nicht bearbeiten kann
\Kunden\Kunde1\ nicht bearbeiten kann
\Kunden\Kunde2\ nicht bearbeiten kann
hingegen
\Kunden\Kunde1\unterordner\
\Kunden\Kunde1\unterordner\datei.doc
usw bearbeiten, vershcieben, löschen und co. kann.
ich habe da mal eine (evtl.) blöde Frage zu NTFS-Berechtigungen.
Ich habe ein Ordnersystem, das wie folgt lautet:
Kunden\Kunde1\...
Kunden\Kunde2\...
Kunden\Kunde3\...
Momentan hat der "Domäne-Benutzer" (also jeder) Vollzugriff auf alle Ordner. Dies ist jedoch unschön, da es ab und an vorkommt, dass einzelne Kunden-Ordner gelöscht und/oder verschoben werden.
Jetzt ist die Frage... wie schaffe ich es sowohl den hauptordner "Kunden" als auch die einzelnen Unterordner "Kunde1", "Kunde2" etc so zu sichern, dass diese weder gelöscht noch verschoben werden können?
Ich habe bereits etwas herumgetestet (natürlich mit Testordnern) aber bin da irgendwie total verwirrt.
Ich habe zuerst dem Ordner "Kunde1", "Kunde2".. gesagt, er soll keine Berechtigungen mehr erben.
Anschließend habe ich auch dem Hauptordner "Kunden" gesagt, dass er nix erben soll und dann in seinen ACLs gesagt, dass der "Domäne-Benutzer" das Recht "ändern" nicht mehr haben soll.
Nun als stinknormaler User angemeldet und es getestet... an und für sich klappt es. Ich kann Kunden die nicht umbenennen und auch nicht verschieben.
Dann gehe ich in den Ordner rein und kann alles machen, was ich will - ist auch okay so. Nun bearbeite ich jedoch eine Datei, nenne Ordner um udn treibe sonstigen Humbug (als User).
Jetzt gehe ich wieder zum hauptordner und siehe da... ich kann ihn wieder umbenennen?! In den ACLs hat sich aber geändert komischerweise. Also wieterhin kein "ändern"-Recht für den User.. er kann aber alles ändern. Hat es irgendwas damit zu tun, dass er dadrin ne Datei bearbeitet/geändert/umbenannt hat?!
Was wäre die ALternative für mein Vorgehen?
Was mir noch einfällt... ist eine neue Gruppe zu erstellen und dort explizit das ändern/schreiben auf diese Ordner zu verbieten und dort alle User reinzupacken mit ausnahme von 2 oder
3, die das dürfen sollen. Oder gibt es da noch eine bessere Vorgehensweise, die mir jetzt gerade nichte einfällt?
Wobei das Problem, das hier dann auftritt ist, dass Ordner, die in \Kunden\Kunde1 erstllt werden die Rechte vom Ordner oberhalt übernehmen. Von daher müsste derjenige, der die Ordner anlegt dann immer explizit sagen, dass die Vererbung sowie dieses eine "Verbieten"-Recht weg soll?! Ist ja auch nicht das gelbe vom Ei.
Ich hoffe ich habe mich nicht zu verwirrend ausgedrückt und jemand kann mir helfen.
Bei Rückfragen stehe ich gerne zur Verfügung!
Liebe Grüße
AB
Edit:
Habe auch bereits mit den "speziellen Berechtigungen" herumgebastelt aber auch hierrüber bekomme ich das leider nicht hin.
Ich habe dem Hauptordner "Kunden" das erben deaktiviert und anshcließend die Berechtigungen für "Domäne-Benutzer" angepasst. Habe hier diverse Sachen versucht sowohl für "nur diesen Ordner" als auch für "unterordner und dateien" und co. Ich bekomme es aber nicht hin, dass ich:
\Kunden nicht bearbeiten kann
\Kunden\Kunde1\ nicht bearbeiten kann
\Kunden\Kunde2\ nicht bearbeiten kann
hingegen
\Kunden\Kunde1\unterordner\
\Kunden\Kunde1\unterordner\datei.doc
usw bearbeiten, vershcieben, löschen und co. kann.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 183414
Url: https://administrator.de/contentid/183414
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
8 Kommentare
Neuester Kommentar
Moin Moin,
nur mit Domänen-User kannst du das vergessen. Lege Gruppen an und erteile diesen explizit die gewünschten Berechtigungen.
Bedenke, den anderen Usern/Gruppen die Rechte zu nehmen! (außer System/Backup/Admin etc. natürlich)
btw
\Kunden vererben auf \Kunden\Kunde1\
\Kunden vererben auf \Kunden\Kunde2\
weil es doch die gleichen Berechtigungen sind
und
in \Kunden\Kunde1\unterordner\ stellst du doch sowieso die Rechte für die Dateien und Unterordner ein
d.h. für \Kunden\Kunde1\unterordner\datei.doc ist keine zusätzliche Einstellung notwendig
Grüße aus Rostock
Wolfgang
(Netwolf)
nur mit Domänen-User kannst du das vergessen. Lege Gruppen an und erteile diesen explizit die gewünschten Berechtigungen.
Bedenke, den anderen Usern/Gruppen die Rechte zu nehmen! (außer System/Backup/Admin etc. natürlich)
btw
\Kunden vererben auf \Kunden\Kunde1\
\Kunden vererben auf \Kunden\Kunde2\
weil es doch die gleichen Berechtigungen sind
und
in \Kunden\Kunde1\unterordner\ stellst du doch sowieso die Rechte für die Dateien und Unterordner ein
d.h. für \Kunden\Kunde1\unterordner\datei.doc ist keine zusätzliche Einstellung notwendig
Grüße aus Rostock
Wolfgang
(Netwolf)
Moin Moin,
der Domänen - User ist mir zu schwammig. Klare Gruppen lassen sich besser managen.
Das der User doch löschen kann liegt vermutlich daran, dass er in einer der anderen Gruppen drin ist, die noch Berechtigungen auf den Ordner/Datei haben.
Nur mal so am Rande....du bist auf dem Server angemeldet und veränderst die Freigaben oder die lokalen Rechte dort?
Grüße aus Rostock
Wolfgang
(Netwolf)
der Domänen - User ist mir zu schwammig. Klare Gruppen lassen sich besser managen.
Das der User doch löschen kann liegt vermutlich daran, dass er in einer der anderen Gruppen drin ist, die noch Berechtigungen auf den Ordner/Datei haben.
Nur mal so am Rande....du bist auf dem Server angemeldet und veränderst die Freigaben oder die lokalen Rechte dort?
Grüße aus Rostock
Wolfgang
(Netwolf)
Hallo,
Ein Benutzer der ein Dokument oder Ordner anlegt ist auch der Besitzer!
Und versuche ein Verweigern grundsätzlich zu Vermeiden.
Gruß,
Peter
Ein Benutzer der ein Dokument oder Ordner anlegt ist auch der Besitzer!
man kann nun Ordner wieterhin verschieben
Nein, kann man jetzt nicht mehr denn du schreibst ja weiternur, dass sie eben nicht verschwinden. Am neuen Standort wird aber eine Kopie angelegt.
Mach dir doch mal klar was ein Verschieben auf einem Dateisystem tatsächlich ist. Das sind 2 Vorgänge. 1ter ist ein Kopieren und dann folgt als 2tes ein Löschen. Das Löschenh hast du aber verboten, folglich.....Unschn aber am Ende verkraftbar, falls das nicht zu unterbinden ist.
Ausser das bald keiner mehr weiss was an Duplikate wo gespeichert und was davon aktuell ist.Und versuche ein Verweigern grundsätzlich zu Vermeiden.
Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @AndreasBecker:
Wer ein Dokument oder Ordner anlegt ist der Besitzer, da sist klar. Ich habe die Ordner jedoch als Admin angelegt und nicht als User.
Überlege dir ob du den Besitzer nicht evtl. ganz rausnehmen willst. (Spiel das mal durch wenn ein Benutzer einen Ordner / Datei Kopiert)Wer ein Dokument oder Ordner anlegt ist der Besitzer, da sist klar. Ich habe die Ordner jedoch als Admin angelegt und nicht als User.
nur sehr schade, dass Windows das so behandelt.
Das ist keine Sache von Windows.Eine spezielle Rechtegruppe diesbezüglich wäre imho schon sinnvoll aber man kann ja nicht alles haben.
Hast du doch Kopieren und Löschen. Sind einzeln aufgeführt Aber ich Verstehe dichFrage, wie ich bei über 1000 Ordnern das Vererben deaktiviere und anschließend "Unterordner und Dateien löschen" aktiviere bzw "Löschen" deaktiviere.
cacls bzw. icacls ist dein Skripting Favorit für Batchen.Gruß,
Peter