userin-muenchen
Goto Top

Problem mit Rechtevergabe in Active-Directory

Rechtevergabe greift nicht.

Hallo,

also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.

Die ganzen Hauptordner der 1. Linie wurde Laufwerksbuchstaben zugeordnet. z.B.

S = Beschaffung, da dürfen Gruppe Vorstand, Finanzen, Team und Teilnehmer zugreifen.

Darunter hat es in der nächsten (2.) Ebene noch verschiedene Ordner. z. B.

- Maschinen
- EDV
- Möbel

Auf den EDV-Ordner dürfen aber nur noch die Gruppen: Vorstand, Finanzen und Team zugreifen. Die Teilnehmer nicht mehr.

Nun ist es ja so, dass die Sicherheit vererbt werden kann, jedoch NICHT die sogennannte "Erweiterte Freigabe".
Gut. das heben wir Kapiert.

Obwohl ich bzw. wir (Kollegin und ich kämpfen uns grad durch) die Ordner Maschinen, EDV und Möbel wirklich komplett, mit der Erweiterten Freigabe ergänzt haben und bei EDV die Gruppe Teilnehmer raus haben (sowohl in der Erweiterten Freigabe als auch in der Sicherheit) kann ein Benutzer der Gruppe Teilnehmer IMMER NOCH auf den EDV-Ordner zugreifen. ?????? Anmerkung: Mitgliedschaften der Gruppen und Benutzer und dergl. 1000 mal kontrolliert. Stimmt alles.

Wir verstehen die Welt nicht mehr. Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!

LG
Elke + Kerstin

Content-ID: 172013

Url: https://administrator.de/forum/problem-mit-rechtevergabe-in-active-directory-172013.html

Ausgedruckt am: 24.12.2024 um 03:12 Uhr

60730
60730 24.08.2011 um 16:40:44 Uhr
Goto Top
moin,

also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.

Klingt spannend, kombinierter Tipp & Denkfehler, oder eine W2k8 Domain?

Wir verstehen die Welt nicht mehr.

Ganz zur Not gibt es ein Recht, das in solchen Fällen immer richtig ist, das Recht - nix zu dürfen. (verweigern)


Mal die Umgebung deiner Frage mal auf, so kann sich doch nur einer mit aktiver Kristallkugel ein Bild machen.

Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!

PS: An eurer beiden Stelle würd ich mir zur Stellenabsicherung mal überlegen, ob eine Schulungsmaßnahme nicht ein Ansatz wäre....

Gruß
Xaero1982
Xaero1982 24.08.2011 um 18:02:23 Uhr
Goto Top
Moin ihr zwei,

um das noch mal aufzudröseln.

Ihr redet nicht vom Active Directory oder? Sondern nur von einer normalen Ordnerstruktur auf dem Server?

Hauptordner - Beschaffung: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - Maschinen: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - EDV: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team.; /Freigaberechte:/ Vorstand, Finanzen, Team
Unterordner - Möbel: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer

Ist das so korrekt?

Eigentlich überflüssig, denn über die erweiterte Freigabe könnt ihr "Jeder" einstellen auf lesen und den Rest über die NTFS Rechte erledigen.

Was ihr noch machen könnt:

Überprüft bitte mal die Berechtigungen (Sicherheit) der einzelnen Ordner von einem Client aus.
Also nehmt euch einen PC, meldet euch als Admin an und checkt die Berechtigungen von dort aus. Musste schon feststellen, dass auf dem Server andere angezeigt worden sind, als auf den Clients (welche letztlich griffen, aber nicht korrekt waren)

VG
60730
60730 24.08.2011 um 18:58:51 Uhr
Goto Top
servus Xaero1982,

ich gebs ja zu, die Andeutung mit dem Veweigerungsrecht - damit habe ich angefangen und das ist in Sachen Freigabe/Ordnerrechte schon heftiger Tobak.

Dem "Benutzer" jeder auf der Freigabe irgendwelche Rechte einzuräumen ist dagegen wirklich extrem suboptimal.

Jeder ist Jeder - "wenn" schon, dann sollte man(n)/Frau da die Gruppe Authentifizierte Benutzer reinmalen, aber Jeder................ face-sad
Wir sind doch Hier im Adminforum und nicht an der Frittenbude

Ich vermute mal, die beiden sind schon bei mspress gewesen oder das Problem hat sich in Luft aufgelöst...

Gruß
bastla
bastla 24.08.2011 um 19:19:48 Uhr
Goto Top
... und wenn ich das richtig verstehe und die einzige Freigabeberechtigung
"Jeder" einstellen auf lesen
sein soll - werden dann die Daten lokal am Server bearbeitet?

Grüße
bastla
Xaero1982
Xaero1982 24.08.2011 um 19:24:19 Uhr
Goto Top
Hi Timo,

ach naja ... vielleicht hab ich sie damit überfordert und verschreckt ... wer weiß face-smile Verweigerungsrechte mag ich eh nicht - die überseh ich immer face-sad

Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht, oder bin ich da nun falsch abgebogen? Hab ich zumindest letztens erst noch hier gelesen... mit den Authentifizierten Nutzern hast du natürlich recht. Wollte nur klar machen, dass letztlich die Zugriffe nicht über die Freigabe geregelt werden.

Bastla, natürlich nicht, denn wie gesagt geschieht das über die Sicherheitseinstellungen face-smile

Ich teste das mal durch face-smile

VG
bastla
bastla 24.08.2011 um 19:31:46 Uhr
Goto Top
@Xaero1982
Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht
D'accord, aber: Beim Zugriff über eine Freigabe, die mir nur Leserechte gibt, kann mir keine NTFS-Berechtigung mehr "Schreiben" oder mehr ermöglichen ...

Kurzfassung: Beim Zusammenwirken von Freigabeberechtigungen und Sicherheitseinstellungen zählt das niedrigere Recht.

Grüße
bastla
Xaero1982
Xaero1982 24.08.2011 um 19:49:10 Uhr
Goto Top
@bastla,

scheinbar hast du recht face-confused hab mich letztens schon gewundert, als ich das gelesen habe ... würd ich den Thread nur finden face-sad

Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.

VG
bastla
bastla 24.08.2011 um 19:54:19 Uhr
Goto Top
@Xaero1982
Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.
Yepp - mit dem angenehmen Nebeneffekt, dass durch die Einschränkung auf "Ändern" dann auch Besitzer von Ordnern keinen Vollzugriff mehr haben ...

Grüße
bastla
Userin-Muenchen
Userin-Muenchen 25.08.2011 um 08:44:01 Uhr
Goto Top
Guten Morgen,
nachdem wir gestern um 7:30 Uhr angefangen haben und wir Nachmittags 30 Grad im Büro hatten, haben wir nach dem Einsetzen dieses Beitrages die Segel gestrichen. Desw. keine Antworten. Sorry.

Also: deine Aufstellung, Xaero1982 ist korrekt.

Wir haben einen neuen Server Windows 2008R2 und dort den Domänenserver mit Active-Directory. Alle Gruppen und Benutzer haben wir im Team eingegeben und eingerichtet. Doppelt kontrolliert.

Die Berechtigung direkt vom Client aus habe ich als Admin gecheckt. Ist definitiv so wie es gehört: auf dem EDV-Ordner ist die Gruppe der Teilnehmer ausgeschlossen.

Anmerkung zu Timo:
Schulung???? das ich nicht lache!!! unter anderem weil diese mir verweigert wurde, hab ich hier auch gekündigt. Hauptsache einen Haufen Geld sparen. Meine Kollegin kämpft weiter, viell. bekommt sie ja irgendwann eine Schulung. Das Edv-Gedöns ist nur unser "Nebenjob", der Abende und WE - ausfüllt (hab Kollegin in den letzten Monaten eingelernt, damit ist sie nun der DvD). Jetzt zur Umstellung ist es halt knackig (76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon"), dann sollte es angeblich von selbst laufen, bei Problemen wird uns von extern geholfen. aber ich bin in 4 wochen weg. Viel Spaß.

Herzlichst
Elke
60730
60730 25.08.2011 um 10:16:59 Uhr
Goto Top
moin,

Die Berechtigung direkt vom Client aus habe ich als Admin gecheckt. Ist definitiv so wie es gehört:

Ich mach es mal kurz - wie? Das Klickbunti?
Und dann ist "für mich" als "gelernter" auch eher die Tatsache von interessse, was man auf dem Client als Benutzer sieht.

  • Kennst du xcacls?
  • wirf das mal auf den Baum und poste zur Not die Anzeige - obwohl die3 selbsterklärend ist.

Und wegen den 30° im Büro, die hatten wir auch und trotzdem haben wir uns um dein "Problem" gekümmert.....

Gruß
bastla
bastla 25.08.2011 um 10:33:22 Uhr
Goto Top
... oder schau gleich mal nach, was AccessEnum bzw AccessChk an Info liefern ...

Grüße
bastla
Userin-Muenchen
Userin-Muenchen 25.08.2011 um 10:50:03 Uhr
Goto Top
Hallo,

haben die Lösung gefunden: Windows generiert einen allgemeinen Benutzer der "Benutzer" heißt, und wenn dieser bei der Sicherheit rausgelöscht wird funktionierts, dann darf "Teilnehmer-Gruppe" auch nicht mehr zugreifen. Der darf aber nicht als Rundumschlag bei der Active-Directory Benutzer-Strukturen rausgelöscht werden, sondern eben nur bei der Rechtevergabe der spez. Ordner.

Kleine Lösung bei großem Problem face-wink
Danke euch trotzdem,
herzliche Grüße aus München
Xaero1982
Xaero1982 25.08.2011 um 11:31:00 Uhr
Goto Top
Hi,

hach ... na das musst du uns schon sagen, wer außer den genannten den noch Zugriff hat.

Das ist kein Benutzer, sondern eine Benutzergruppe in der alle User der Domäne sind.

Frage dazu:
"76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon""

Sind das individuelle Konfigurationen der einzelnen Clients?
Ansonsten hätte ich euch den WDS Dienst ans Herz gelegt.

VG
Userin-Muenchen
Userin-Muenchen 25.08.2011 um 12:42:38 Uhr
Goto Top
Hi,

ok, fehlendes wichtiges Detail unterschlagen, sorry.

Wir machen die alle richtig platt, und haben einen Master, den wir per Snapshot draufspielen. Dort sind die pauschalen Programme bereits alle drauf. Es geht um so Datails wie:

- eurofibu (einzelplatz, aber Daten auf dem Server abgelegt wegen Sicherung)
- fritzfax (einzelplatz)
- Online-Banking (Einzelplatz)
- PublicSharefolder (muss irgendwo auf einen Server rauf)
- neue pcs - pcs di nur Office2010 tauglich sind und nicht win7
- komplett neue Ordnerstrukturen aufbauen, die alten werden nicht einfach rübergezogen
- PCs tauschen, weil der eine nicht fähig, der andere schon, dann zusätzliche umgeordnete Arbeitsplätze.
und und und...
eigentlich full-time für einen Admin, aber der ist ja zu teuer.

dann geht zwischendrin wieder mal ein switch irgendwo kaputt, oder die Cat5 kabel spinnen und wollen ausgetauscht werden.... ach ja, gott sei dank haben wir in unserer Hauptaufgabe grad ein bisserl ein Sommerloch face-wink

es gibt immer wieder überraschungen, und Planänderungen
Herzlichst und noch "gut-schwitz" im Süden,
Elke
Xaero1982
Xaero1982 25.08.2011 um 12:46:32 Uhr
Goto Top
Hi,

hört sich spannend an ...

Aber ich denke ihr seid auf dem richtigen Weg, also weiterhin viel Erfolg und gutes Gelingen face-smile

VG