killtec
Goto Top

NTFS Berechtigungsproblem - Benutzer in gleicher Gruppe, jedoch unterschiedlich berechtigt

Hallo zusammen,
wir Verwalten unsere NTFS-Berechtigungen über Benutzergruppen (Globale und Lokale).
Nun ist es so, dass aus ein und der selben Gruppe, die sieben Benutzer beinhaltet, drei die Rechte haben wie sie sein sollten, und vier nicht.
Ich habe mir dann die Effektiven Berechtigungen angeschaut. Sehe aber nicht, wo hier der Fehler liegt, dass die Berechtigungen nicht gesetzt werden.
Verweigern Einträge gibt es hier nicht. Die Benutzer sollen schreiben können.
Server: Windows 2008 R2. Clients: 2008 R2 (Terminal), XP und W7Pro

Gruß

Content-Key: 226946

Url: https://administrator.de/contentid/226946

Printed on: April 18, 2024 at 01:04 o'clock

Member: hajowe
hajowe Jan 17, 2014 at 10:42:35 (UTC)
Goto Top
Hallo Killtec

Wäre es möglich, das die Gruppe zwar die richtigen Datei- und Filerechte besitzt,
aber die Freigaberechte nicht korrekt sind.

So das die Benutzer, bei denen es geht lesen und Schreiben dürfen
und die anderen bei denen es nicht geht nur eine Freigabe zum Lesen besitzen.


Gruß
Member: killtec
killtec Jan 17, 2014 at 10:59:28 (UTC)
Goto Top
Hi hajowe,
eigentlich nicht. Habe die Gruppen nachgesehen. Es heißt ja auch, dass die höhere Berechtigung gillt. Sprich, wenn eine Gruppe lesen darf und eine schreiben und der Benutzer in beiden ist, dann gilt das Schreibrecht.

Gruß
Member: AndreasHoster
AndreasHoster Jan 17, 2014 updated at 11:13:25 (UTC)
Goto Top
höhere Berechtigung gilt
Ja, wenn es um NTFS Berechtigungen geht.
Aber wenn in der Share Berechtigung (aka Freigabeberechtigung) nur lesen steht, kannst Du unter NTFS machen was Du willst, mehr als Lesen gibts nicht.
Member: hajowe
hajowe Jan 17, 2014 updated at 12:04:59 (UTC)
Goto Top
Ack Andreas

Genau darauf wollte ich ja auch hinaus.
Wenn die NTFS Gruppe nicht identisch mit der Gruppe in der Freigabe ist und diese nur lesen hat
wird die NTFS-Gruppe auch nicht schreibend durch die Freigabe kommen.

In seinem Post kommt da aber nicht rüber wie und wo was definiert ist.

Gruß
Member: killtec
killtec Jan 17, 2014 updated at 12:13:00 (UTC)
Goto Top
Ja ok,
die Freigaben sind bei uns prinzipiell Jeder darf alles und die eigentlichen Berechtigungen sind komplett über NTFS.

Edit: Eine Ordnerebene weiter oben scheint es noch ok zu sein.

Gruß
Member: hajowe
hajowe Jan 17, 2014 at 13:41:07 (UTC)
Goto Top
Edit: Eine Ordnerebene weiter oben scheint es noch ok zu sein.

Wenn es geht vererb doch noch mal nach unten.
Member: killtec
killtec Jan 17, 2014 at 13:42:48 (UTC)
Goto Top
Hi,
geht nicht ganz, da ist noch eine Gruppe hinzugekommen.

Gruß
Member: hajowe
hajowe Jan 17, 2014 at 14:15:07 (UTC)
Goto Top
Da muss ich wohl passen, das habe ich so noch nicht erlebt:
oder ich habe es nicht verstanden.

So verstehe ich es:
IST --> Gruppe XYZ mit zugewiesenen Benutzer 4 Stück
IST --> Als NTFS Recht lesen und schreiben -- Gruppe war schon existent und auf Filestruktur gesetzt


NEU --> Über Benutzerverwaltung weitere 3 Benutzer der Gruppe hinzugefügt

Normal muss jetzt nichts mehr am NTFS Recht getan werden
Bei dir haben diese zusätzlichen Benutzer keine Rechte.

Gruß
Member: killtec
killtec Jan 17, 2014 at 15:54:12 (UTC)
Goto Top
So in der Art,
Ist: Benutzer sind in Gruppe, Gruppe hat Schreibrechte auf ein Verzeichnis. Aus der Gruppe haben komischerweise nicht alle die Effektive schreibberechtigung.

Gruß & schönes WE.
Member: killtec
killtec Jan 20, 2014 at 13:03:40 (UTC)
Goto Top
Hi,
habe noch etwas getestet. Wenn ich dem Benutzer direkt die schreibrechte gebe, hat er trotzdem keine Berechtigung zum schreiben.
Irgendwie komisch.

Gruß
Member: hajowe
hajowe Jan 20, 2014 at 14:21:08 (UTC)
Goto Top
Hast du den Benutzer nach der Änderung nochmal neu angemeldet.
Member: killtec
killtec Jan 21, 2014 updated at 06:51:44 (UTC)
Goto Top
Hi,
ja, der hat sich neu angemeldet. Ich prüfe aber auch die Effektiven Berechtigungen direkt nach dem Einstellen über den Reiter Effektive Berechtigungen. Dazu muss sich der Benutzer nicht neu anmelden.

EDIT: Annahme: Der Benutzer ist in einer Gruppe drin, die eine Verweigern Berechtigung besitzt. was überwiegt?
Member: AndreasHoster
Solution AndreasHoster Jan 21, 2014 updated at 11:34:38 (UTC)
Goto Top
Verweigern überwiegt IMMER.
Aber das sollte man in den effektiven Berechtigungen sehen.
Member: killtec
killtec Jan 21, 2014 at 09:30:54 (UTC)
Goto Top
Ich dachte es mir. Dann wird es vermutlich daran liegen.
Überwiegt das immer, auch wenn der Benutzer als solches Schreiben bekommt?
Member: hajowe
Solution hajowe Jan 21, 2014 updated at 11:34:30 (UTC)
Goto Top
so wie du irgendwo ein verweigern eingestellt hast
Ist dies gültig, egal wie oft und mit wie viel Gruppen ihm du wieder Erlaubnis erteilst.

Es heißt nicht umsonst, das man das verweigern nur in absoluten Notfällen (was auch immer das sein soll) nehmen soll.

Ich würde dir empfehlen die Rechte- und Freigabestruktur genau zu überdenken.

Gruß
Member: killtec
killtec Jan 21, 2014 at 11:34:21 (UTC)
Goto Top
Haben die Berechtigungen angepasst. Jetzt klappt es. Alles was mit Verweigern war ist weg.

Danke.
Member: hajowe
hajowe Jan 21, 2014 at 12:40:23 (UTC)
Goto Top
Siehst
Manchmal muss man die Rechte doch näher betrachten.

Das mit den Benutzern in der Gruppe hinzufügen ist ja Tagesgeschäft, folglich musste es an der Berechtigung hängen.

Hauptsache es klappt jetzt.
Schaue einfach mal das dein Freigabe- und Rechtekonzept so steht, das es ohne irgendwelche Verweigerneinstellungen läuft.
Gruß
Hajowe
Member: killtec
killtec Jan 22, 2014 at 06:17:53 (UTC)
Goto Top
Hi hajowe,
ja, das mit der Berechtigung für den Ordner habe ich nicht selbst gemacht. Im Normalfall haben wir das auch so und versuchen erstmal Sonderfälle zu meiden. Aber bei diesem Ordner war das etwas speziell. Da war zwar die Berechtigung gesetzt dass eine Gruppe schreiben darf, aber bei genauer Betrachtung war diese (unter Erweitert) auf Verweigern gesetzt. War also ein bisschen knifflig das zu sehen.

Gruß
Member: bastla
bastla Jan 22, 2014 at 06:57:09 (UTC)
Goto Top
Hallo killtec!
War also ein bisschen knifflig das zu sehen.
In solchen Fällen könnte zB AccessChk oder AccessEnum nützlich sein ...

Grüße
bastla
Member: killtec
killtec Jan 22, 2014 at 11:43:07 (UTC)
Goto Top
Hi Bastla,
danke für die Hinweise, Werde ich mir anschauen.

Gruß