16
NTFS Sicherheitseinstellungen und Vererbung
Nabend Zusammen,
ich hab da nen komisches Problem.
OS: Server 2008
Ich habe einen Ordner freigegeben und die NTFS Sicherheitseinstellungen für zwei Gruppen + Admins eingestellt - wie die Freigabe.
In diesem Ordner gibt es weitere Ordner die ebenfalls nochmal freigegeben sind für diese zwei Gruppen und eine weitere Gruppe.
Soweit so gut. Dort werden dann Dateien und Ordner erstellt. Vererbung ist aktiv.
X erstellt nun einen Ordner und bekommt dort ebenfalls einen Eintrag in den NTFS Sicherheitseinstellungen - nur bekommt dieser Ersteller nur Rechte für diesen Ordner ohne Unterordner.
Das passiert aber auch nicht bei jedem, sondern nur bei manchen.
Wieso wird der da überhaupt eingetragen bei aktiver Vererbung?
Bissel verwirrend - wie die Frage sicher auch.
Wenn Fragen sind bitte gezielt stellen. Danke.
Grüße
x
ich hab da nen komisches Problem.
OS: Server 2008
Ich habe einen Ordner freigegeben und die NTFS Sicherheitseinstellungen für zwei Gruppen + Admins eingestellt - wie die Freigabe.
In diesem Ordner gibt es weitere Ordner die ebenfalls nochmal freigegeben sind für diese zwei Gruppen und eine weitere Gruppe.
Soweit so gut. Dort werden dann Dateien und Ordner erstellt. Vererbung ist aktiv.
X erstellt nun einen Ordner und bekommt dort ebenfalls einen Eintrag in den NTFS Sicherheitseinstellungen - nur bekommt dieser Ersteller nur Rechte für diesen Ordner ohne Unterordner.
Das passiert aber auch nicht bei jedem, sondern nur bei manchen.
Wieso wird der da überhaupt eingetragen bei aktiver Vererbung?
Bissel verwirrend - wie die Frage sicher auch.
Wenn Fragen sind bitte gezielt stellen. Danke.
Grüße
x
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 375978
Url: https://administrator.de/contentid/375978
Printed on: April 19, 2024 at 15:04 o'clock
16 Comments
Latest comment
Guten Abend,
auch wenn ich die Frage nicht ganz verstehe, einen Tipp am Rande:
Vererbung funktioniert nach oben und nicht nach unten in der Ordnerstruktur. Da wird sicher das „Problem“ bzw Missverstandnis liegen.
auch wenn ich die Frage nicht ganz verstehe, einen Tipp am Rande:
Vererbung funktioniert nach oben und nicht nach unten in der Ordnerstruktur. Da wird sicher das „Problem“ bzw Missverstandnis liegen.
Moin,
lg,
Slainte
und die NTFS Sicherheitseinstellungen für zwei Gruppen + Admins eingestellt
Aha.. und wie? Ist die Vererbung auf dem Ordner deaktivuert? Am mal Screenshot von dem Security/Advanced Tablg,
Slainte
Hi,
Definiere "oben" und "unten", dann sehen wir, ob Deine Aussage Bestand hat.
i.A. meint man in einer Dateistruktur mit "oben" die Laufwerkswurzel, und mit "unten" die darunter liegenden Ordner und Dateien. Davon ausgehend erfolgt die Vererbung der NTFS-Berechtigungen also immer von oben nach unten.
E.
Zitat von @Holle1991:
Vererbung funktioniert nach oben und nicht nach unten in der Ordnerstruktur. Da wird sicher das „Problem“ bzw Missverstandnis liegen.
Holla!? Obwohl alles eine Frage der Definition ....Vererbung funktioniert nach oben und nicht nach unten in der Ordnerstruktur. Da wird sicher das „Problem“ bzw Missverstandnis liegen.
Definiere "oben" und "unten", dann sehen wir, ob Deine Aussage Bestand hat.
i.A. meint man in einer Dateistruktur mit "oben" die Laufwerkswurzel, und mit "unten" die darunter liegenden Ordner und Dateien. Davon ausgehend erfolgt die Vererbung der NTFS-Berechtigungen also immer von oben nach unten.
E.
Hi
Kann es sein das du irgendwo doch noch Besitzer-Ersteller drinnen hast in den NTFS Sicherheitseinstellungen ggf mit geänderten / speziellen NTFS Atributten ?
Mit freundlichen Grüßen Nemesis
PS: ggf in einer deiner Gruppen Besitzer / Ersteller drinnen ?
Kann es sein das du irgendwo doch noch Besitzer-Ersteller drinnen hast in den NTFS Sicherheitseinstellungen ggf mit geänderten / speziellen NTFS Atributten ?
Mit freundlichen Grüßen Nemesis
PS: ggf in einer deiner Gruppen Besitzer / Ersteller drinnen ?
1Zitat von @Xaero1982:
Ich habe einen Ordner freigegeben und die NTFS Sicherheitseinstellungen für zwei Gruppen + Admins eingestellt - wie die Freigabe.
In diesem Ordner gibt es weitere Ordner die ebenfalls nochmal freigegeben sind für diese zwei Gruppen und eine weitere Gruppe.
Hier ist m.E. schon ein Design-Fehler.Ich habe einen Ordner freigegeben und die NTFS Sicherheitseinstellungen für zwei Gruppen + Admins eingestellt - wie die Freigabe.
In diesem Ordner gibt es weitere Ordner die ebenfalls nochmal freigegeben sind für diese zwei Gruppen und eine weitere Gruppe.
Welchen Grund gibt es, Ordner unterhalb ein Freigabe noch einmal freizugeben?
X erstellt nun einen Ordner und bekommt dort ebenfalls einen Eintrag in den NTFS Sicherheitseinstellungen - nur bekommt dieser Ersteller nur Rechte für diesen Ordner ohne Unterordner.
Das passiert aber auch nicht bei jedem, sondern nur bei manchen.
Ohne Kenntnis der konkreten ACLs können wir das nur raten.Das passiert aber auch nicht bei jedem, sondern nur bei manchen.
Poste bitte die ACL des obersten freigebenen Ordners und exemplarisch die eines der untergeordneten Ordner.
Ausgabe z.B. mit CACLS.exe
Wieso wird der da überhaupt eingetragen bei aktiver Vererbung?
Das könnte über ERSTELLER-BESITZER kommen.Es schadet aber auch nichts, wenn da keine Verweigerungen bei sind. Die effektiven Rechte sind kummulativ. Wenn er über eine Gruppe andere oder "höhere" Rechte erlangt, dann "addiert" sich das.
E.
1
Hi Zusammen,
@Holle1991: Das ist mir bekannt ... nix neues ...
Die Vererbung ist wie gesagt aktiv, aber in der Tat könnte es an "ERSTELLER-BESITZER" liegen. Danke. Werde ich mir gleich mal ansehen.
Der Grund ist, dass die Gruppe die auf den Hauptordner zugreifen darf eine andere ist als die, die auf die darin freigegebenen Ordner zugreifen darf, zumal da auch noch mal 8 verschiedene Gruppen sind.
Wurscht, das mit dem E-B werde ich mal testen. Danke
Grüße
@Holle1991: Das ist mir bekannt ... nix neues ...
Die Vererbung ist wie gesagt aktiv, aber in der Tat könnte es an "ERSTELLER-BESITZER" liegen. Danke. Werde ich mir gleich mal ansehen.
Der Grund ist, dass die Gruppe die auf den Hauptordner zugreifen darf eine andere ist als die, die auf die darin freigegebenen Ordner zugreifen darf, zumal da auch noch mal 8 verschiedene Gruppen sind.
Wurscht, das mit dem E-B werde ich mal testen. Danke
Grüße
zumal da auch noch mal 8 verschiedene Gruppen sind.
8 verschiedene Berechtigungsstufen? Falls nein, dann hast Du sicher kein AGDLP im Einsatz?Ich will jetzt nicht klugsch...ßern, aber AGDLP kann auch helfen, solche Probleme zu lösen. Und zwar im Kopf des Admins.
Der Wald wird lichter, weil die Bäume weniger. Da springt das Reh dann von ganz alleine raus.
Nein, die Berechtigungsstufen sind identisch, aber unterschiedliche Gruppen.
Beispiel:
Gruppen
All, 1, 2, 3, 4, 5, 6, 7, 8
Ordner:
- Alle -> Zugriff für All und freigegeben für All
- - Ordner 1 -> Zugriff für All, 1 und freigegeben für 1
- - Ordner 2 -> Zugriff für All, 2 und freigegeben für 2
- - Ordner 3 -> Zugriff für All, 3 und freigegeben für 3
- - Ordner 4 -> Zugriff für All, 4 und freigegeben für 4
- - Ordner 5 -> Zugriff für All, 5 und freigegeben für 5
- - Ordner 6 -> Zugriff für All, 6 und freigegeben für 6
- - Ordner 7 -> Zugriff für All, 7 und freigegeben für 7
- - Ordner 8 -> Zugriff für All, 8 und freigegeben für 8
- - Diverse Unterordner auf die All Zugriff hat
Habe jetzt den "ERSTELLER-BESITZER" entfernt, der auf manchen der Ordner 1-8 war - nicht bei allen.
Aber noch ein ganz anderes Problem kam gestern auf.
Die Gruppe All konnte auf bestimmte Unterordner nicht mehr zugreifen und die Berechtigungen waren absolut identisch zu den der anderen Ordner.
Fehler: Zugriff verweigert
Dann habe ich einen Testnutzer mit identischen Rechten wie die Nutzer der Gruppe ALL getestet und bekam gar keine Verbindung mehr zur Freigabe, die als administrative Freigabe eingerichtet war.
Nun hatte ich testweise eine neue Freigabe erstellt mit den identischen Rechten wie die Freigabe mit $.
Danach konnte wieder jeder Nutzer der Gruppe ALL zugreifen und das macht für mich keinerlei Sinn. Vielleicht ist der Server aber jetzt nach 9 Jahren Laufzeit an einem Punkt an dem er keinen Bock mehr hat
Grüße
Beispiel:
Gruppen
All, 1, 2, 3, 4, 5, 6, 7, 8
Ordner:
- Alle -> Zugriff für All und freigegeben für All
- - Ordner 1 -> Zugriff für All, 1 und freigegeben für 1
- - Ordner 2 -> Zugriff für All, 2 und freigegeben für 2
- - Ordner 3 -> Zugriff für All, 3 und freigegeben für 3
- - Ordner 4 -> Zugriff für All, 4 und freigegeben für 4
- - Ordner 5 -> Zugriff für All, 5 und freigegeben für 5
- - Ordner 6 -> Zugriff für All, 6 und freigegeben für 6
- - Ordner 7 -> Zugriff für All, 7 und freigegeben für 7
- - Ordner 8 -> Zugriff für All, 8 und freigegeben für 8
- - Diverse Unterordner auf die All Zugriff hat
Habe jetzt den "ERSTELLER-BESITZER" entfernt, der auf manchen der Ordner 1-8 war - nicht bei allen.
Aber noch ein ganz anderes Problem kam gestern auf.
Die Gruppe All konnte auf bestimmte Unterordner nicht mehr zugreifen und die Berechtigungen waren absolut identisch zu den der anderen Ordner.
Fehler: Zugriff verweigert
Dann habe ich einen Testnutzer mit identischen Rechten wie die Nutzer der Gruppe ALL getestet und bekam gar keine Verbindung mehr zur Freigabe, die als administrative Freigabe eingerichtet war.
Nun hatte ich testweise eine neue Freigabe erstellt mit den identischen Rechten wie die Freigabe mit $.
Danach konnte wieder jeder Nutzer der Gruppe ALL zugreifen und das macht für mich keinerlei Sinn. Vielleicht ist der Server aber jetzt nach 9 Jahren Laufzeit an einem Punkt an dem er keinen Bock mehr hat
Grüße
Vielleicht ist der Server aber jetzt nach 9 Jahren Laufzeit an einem Punkt an dem er keinen Bock mehr hat
Eher der Admin am Ende seines Latein.Erkläre doch bitte mal, welchen Sinn für Dich die erneute Freigabe der Unterordner von "Alle" hat.
Der Sinn ist: Schuster bleib bei deinen .... hab das damals nur so 1:1 übernommen und war zu faul es zu ändern zumal sich die Gruppe "All" schwer tut mit Neuerungen
Ich weiß im Grunde kann ich direkt über die Freigabe Alle gehen und nur das Laufwerk für die Gruppen 1-8 mappen. Mach ich mal bei Gelegenheit ... leider fressen die Clients die Richtlinien nicht immer so schnell und jeden Rechner anfassen macht auch wenig Spaß...
Grüße
Ich weiß im Grunde kann ich direkt über die Freigabe Alle gehen und nur das Laufwerk für die Gruppen 1-8 mappen. Mach ich mal bei Gelegenheit ... leider fressen die Clients die Richtlinien nicht immer so schnell und jeden Rechner anfassen macht auch wenig Spaß...
Grüße
Du kannst auch bei nur einer Freigabe Unterordner derselben als Laufwerk verbinden. Man muss nicht immer direkt mit der Freigabe verbinden.
Also wären die untergeordneten Freigaben schon mal obsolet und ich würde das als erstes auflösen.
Bsp.:
Also wären die untergeordneten Freigaben schon mal obsolet und ich würde das als erstes auflösen.
Bsp.:
- Freigabe "Ordner1" aufheben.
- Netzlaufwerk verbinden mit \\server\alle\Ordner1 (statt wie bisher \\server\ordner1 )
Jep, hab ich ja geschrieben Danke.
Aber wie schon geschrieben muss ich das dann bei ca. 150 Clients prüfen und darauf hab ich wenig Lust wenn es nicht sein muss
Grüße
Danke.Aber wie schon geschrieben muss ich das dann bei ca. 150 Clients prüfen und darauf hab ich wenig Lust wenn es nicht sein muss
Grüße
Bei 150 Clients kann ich doch eine vorhandene Windows Domäne bei Euch vermuten? Falls ja, und die Anmeldung der Benutzer mit einem Domänenkonto erfolgt, dann spielt die Anzahl der Clients keine Rolle. Das kann man alles über ein Script abfackeln. Bzw. dabei gleich umstellen auf GPO.
Emeriks
Das weiß ich und das ist auch alles über Richtlinien geregelt nur werden diese zwar angewendet, aber nicht übernommen. Spielt jetzt auch bei dem eigentlichen Problem keine Rolle.
Ich investiere da jetzt auch nicht unnötig Zeit, da nächstes Jahr eh auf 2016 upgedatet wird oder was immer dann ggf. aktuell ist.
Grüße
Das weiß ich und das ist auch alles über Richtlinien geregelt nur werden diese zwar angewendet, aber nicht übernommen. Spielt jetzt auch bei dem eigentlichen Problem keine Rolle.
Ich investiere da jetzt auch nicht unnötig Zeit, da nächstes Jahr eh auf 2016 upgedatet wird oder was immer dann ggf. aktuell ist.
Grüße
Warum fragst Du dann hier?
Ich frage aus einem bestimmten Grund.
Administrative Freigaben sind nur die $-Freigaben der Laufwerke, Admin$ und IPC$. Alle anderen Freigaben mit "$" am Ende sind ganz normale Freigaben, welche nur nicht beim "einfachen" Browsen angezeigt werden.
Aber mit "Freigabe" und "Freigabe" und "Freigabe" ist mir das alles nicht eindeutig und deshalb nur Stochern im Dunkeln. Da habe ich dann auch keine Lust zu.
Wenn wir Dir also bis hier schon geholfen haben, dann mach doch das Teil zu.
Noch ein Tipp am Rande, auf Verdacht:
Beim eifrigen Testen wird gerne übersehen, dass eine geänderte Gruppenmitgliedschaft für einen Benutzer erst wirkt, wenn er ein neues Sitzungsticket bekommt. Also Benutzer neu anmelden oder manuell das Ticket löschen. Wenn man das nicht beachtet und einen Benutzer mal schnell rein in eine Gruppe und mal schnell raus aus die Gruppe, dann ist das Ergebnis nicht wie erwartet.
Ich frage aus einem bestimmten Grund.
Dann habe ich einen Testnutzer mit identischen Rechten wie die Nutzer der Gruppe ALL getestet und bekam gar keine Verbindung mehr zur Freigabe, die als administrative Freigabe eingerichtet war.
Das hört sich duchaus logisch an.Nun hatte ich testweise eine neue Freigabe erstellt mit den identischen Rechten wie die Freigabe mit $.
Ich glaskugle jetzt mal, dass für Dich eine "$"-Freigabe automatisch auch eine "administrative Freigabe" ist. Falls ja: Dem ist nicht so. Du bringst da einiges durcheinander.Administrative Freigaben sind nur die $-Freigaben der Laufwerke, Admin$ und IPC$. Alle anderen Freigaben mit "$" am Ende sind ganz normale Freigaben, welche nur nicht beim "einfachen" Browsen angezeigt werden.
Aber mit "Freigabe" und "Freigabe" und "Freigabe" ist mir das alles nicht eindeutig und deshalb nur Stochern im Dunkeln. Da habe ich dann auch keine Lust zu.
Wenn wir Dir also bis hier schon geholfen haben, dann mach doch das Teil zu.
Noch ein Tipp am Rande, auf Verdacht:
Beim eifrigen Testen wird gerne übersehen, dass eine geänderte Gruppenmitgliedschaft für einen Benutzer erst wirkt, wenn er ein neues Sitzungsticket bekommt. Also Benutzer neu anmelden oder manuell das Ticket löschen. Wenn man das nicht beachtet und einen Benutzer mal schnell rein in eine Gruppe und mal schnell raus aus die Gruppe, dann ist das Ergebnis nicht wie erwartet.
Emeriks, das Thema worauf du die ganze Zeit rumgeritten bist war nicht die Frage.
Du hast recht - war missverständlich und es ging mir nur um die versteckte Freigabe.
Die Freigabe funktionierte immer bei allen und von heute auf Morgen hat sie wie oben dargestellt angefangen zu spinnen, z.b., dass bestimmte Ordner mit der Meldung "Zugriff verweigert" nicht mehr zu öffnen waren. Der gleiche Nutzer aber mit einer anderen Freigabe auf den gleichen Ordner problemlos zugreifen konnte und die Freigabeberechtigungen waren identisch und die Sicherheitseinstellungen sowieso. Das ging seit 2009 ohne Probleme und jetzt spinnt es rum - auch mit Neustart des Servers.
Danke, ist mir bekannt Sind auch immer wieder andere Nutzer gewesen.
Du hast recht - war missverständlich und es ging mir nur um die versteckte Freigabe.
Die Freigabe funktionierte immer bei allen und von heute auf Morgen hat sie wie oben dargestellt angefangen zu spinnen, z.b., dass bestimmte Ordner mit der Meldung "Zugriff verweigert" nicht mehr zu öffnen waren. Der gleiche Nutzer aber mit einer anderen Freigabe auf den gleichen Ordner problemlos zugreifen konnte und die Freigabeberechtigungen waren identisch und die Sicherheitseinstellungen sowieso. Das ging seit 2009 ohne Probleme und jetzt spinnt es rum - auch mit Neustart des Servers.
Danke, ist mir bekannt
Sind auch immer wieder andere Nutzer gewesen.
