Problem mit Rechtevergabe in Active-Directory
Rechtevergabe greift nicht.
Hallo,
also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.
Die ganzen Hauptordner der 1. Linie wurde Laufwerksbuchstaben zugeordnet. z.B.
S = Beschaffung, da dürfen Gruppe Vorstand, Finanzen, Team und Teilnehmer zugreifen.
Darunter hat es in der nächsten (2.) Ebene noch verschiedene Ordner. z. B.
- Maschinen
- EDV
- Möbel
Auf den EDV-Ordner dürfen aber nur noch die Gruppen: Vorstand, Finanzen und Team zugreifen. Die Teilnehmer nicht mehr.
Nun ist es ja so, dass die Sicherheit vererbt werden kann, jedoch NICHT die sogennannte "Erweiterte Freigabe".
Gut. das heben wir Kapiert.
Obwohl ich bzw. wir (Kollegin und ich kämpfen uns grad durch) die Ordner Maschinen, EDV und Möbel wirklich komplett, mit der Erweiterten Freigabe ergänzt haben und bei EDV die Gruppe Teilnehmer raus haben (sowohl in der Erweiterten Freigabe als auch in der Sicherheit) kann ein Benutzer der Gruppe Teilnehmer IMMER NOCH auf den EDV-Ordner zugreifen. ?????? Anmerkung: Mitgliedschaften der Gruppen und Benutzer und dergl. 1000 mal kontrolliert. Stimmt alles.
Wir verstehen die Welt nicht mehr. Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!
LG
Elke + Kerstin
Hallo,
also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.
Die ganzen Hauptordner der 1. Linie wurde Laufwerksbuchstaben zugeordnet. z.B.
S = Beschaffung, da dürfen Gruppe Vorstand, Finanzen, Team und Teilnehmer zugreifen.
Darunter hat es in der nächsten (2.) Ebene noch verschiedene Ordner. z. B.
- Maschinen
- EDV
- Möbel
Auf den EDV-Ordner dürfen aber nur noch die Gruppen: Vorstand, Finanzen und Team zugreifen. Die Teilnehmer nicht mehr.
Nun ist es ja so, dass die Sicherheit vererbt werden kann, jedoch NICHT die sogennannte "Erweiterte Freigabe".
Gut. das heben wir Kapiert.
Obwohl ich bzw. wir (Kollegin und ich kämpfen uns grad durch) die Ordner Maschinen, EDV und Möbel wirklich komplett, mit der Erweiterten Freigabe ergänzt haben und bei EDV die Gruppe Teilnehmer raus haben (sowohl in der Erweiterten Freigabe als auch in der Sicherheit) kann ein Benutzer der Gruppe Teilnehmer IMMER NOCH auf den EDV-Ordner zugreifen. ?????? Anmerkung: Mitgliedschaften der Gruppen und Benutzer und dergl. 1000 mal kontrolliert. Stimmt alles.
Wir verstehen die Welt nicht mehr. Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!
LG
Elke + Kerstin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172013
Url: https://administrator.de/forum/problem-mit-rechtevergabe-in-active-directory-172013.html
Ausgedruckt am: 24.12.2024 um 03:12 Uhr
15 Kommentare
Neuester Kommentar
moin,
Klingt spannend, kombinierter Tipp & Denkfehler, oder eine W2k8 Domain?
Ganz zur Not gibt es ein Recht, das in solchen Fällen immer richtig ist, das Recht - nix zu dürfen. (verweigern)
Mal die Umgebung deiner Frage mal auf, so kann sich doch nur einer mit aktiver Kristallkugel ein Bild machen.
PS: An eurer beiden Stelle würd ich mir zur Stellenabsicherung mal überlegen, ob eine Schulungsmaßnahme nicht ein Ansatz wäre....
Gruß
also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.
Klingt spannend, kombinierter Tipp & Denkfehler, oder eine W2k8 Domain?
Wir verstehen die Welt nicht mehr.
Ganz zur Not gibt es ein Recht, das in solchen Fällen immer richtig ist, das Recht - nix zu dürfen. (verweigern)
Mal die Umgebung deiner Frage mal auf, so kann sich doch nur einer mit aktiver Kristallkugel ein Bild machen.
Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!
PS: An eurer beiden Stelle würd ich mir zur Stellenabsicherung mal überlegen, ob eine Schulungsmaßnahme nicht ein Ansatz wäre....
Gruß
Moin ihr zwei,
um das noch mal aufzudröseln.
Ihr redet nicht vom Active Directory oder? Sondern nur von einer normalen Ordnerstruktur auf dem Server?
Hauptordner - Beschaffung: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - Maschinen: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - EDV: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team.; /Freigaberechte:/ Vorstand, Finanzen, Team
Unterordner - Möbel: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Ist das so korrekt?
Eigentlich überflüssig, denn über die erweiterte Freigabe könnt ihr "Jeder" einstellen auf lesen und den Rest über die NTFS Rechte erledigen.
Was ihr noch machen könnt:
Überprüft bitte mal die Berechtigungen (Sicherheit) der einzelnen Ordner von einem Client aus.
Also nehmt euch einen PC, meldet euch als Admin an und checkt die Berechtigungen von dort aus. Musste schon feststellen, dass auf dem Server andere angezeigt worden sind, als auf den Clients (welche letztlich griffen, aber nicht korrekt waren)
VG
um das noch mal aufzudröseln.
Ihr redet nicht vom Active Directory oder? Sondern nur von einer normalen Ordnerstruktur auf dem Server?
Hauptordner - Beschaffung: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - Maschinen: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - EDV: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team.; /Freigaberechte:/ Vorstand, Finanzen, Team
Unterordner - Möbel: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Ist das so korrekt?
Eigentlich überflüssig, denn über die erweiterte Freigabe könnt ihr "Jeder" einstellen auf lesen und den Rest über die NTFS Rechte erledigen.
Was ihr noch machen könnt:
Überprüft bitte mal die Berechtigungen (Sicherheit) der einzelnen Ordner von einem Client aus.
Also nehmt euch einen PC, meldet euch als Admin an und checkt die Berechtigungen von dort aus. Musste schon feststellen, dass auf dem Server andere angezeigt worden sind, als auf den Clients (welche letztlich griffen, aber nicht korrekt waren)
VG
servus Xaero1982,
ich gebs ja zu, die Andeutung mit dem Veweigerungsrecht - damit habe ich angefangen und das ist in Sachen Freigabe/Ordnerrechte schon heftiger Tobak.
Dem "Benutzer" jeder auf der Freigabe irgendwelche Rechte einzuräumen ist dagegen wirklich extrem suboptimal.
Jeder ist Jeder - "wenn" schon, dann sollte man(n)/Frau da die Gruppe Authentifizierte Benutzer reinmalen, aber Jeder................
Wir sind doch Hier im Adminforum und nicht an der Frittenbude
Ich vermute mal, die beiden sind schon bei mspress gewesen oder das Problem hat sich in Luft aufgelöst...
Gruß
ich gebs ja zu, die Andeutung mit dem Veweigerungsrecht - damit habe ich angefangen und das ist in Sachen Freigabe/Ordnerrechte schon heftiger Tobak.
Dem "Benutzer" jeder auf der Freigabe irgendwelche Rechte einzuräumen ist dagegen wirklich extrem suboptimal.
Jeder ist Jeder - "wenn" schon, dann sollte man(n)/Frau da die Gruppe Authentifizierte Benutzer reinmalen, aber Jeder................
Wir sind doch Hier im Adminforum und nicht an der Frittenbude
Ich vermute mal, die beiden sind schon bei mspress gewesen oder das Problem hat sich in Luft aufgelöst...
Gruß
Hi Timo,
ach naja ... vielleicht hab ich sie damit überfordert und verschreckt ... wer weiß Verweigerungsrechte mag ich eh nicht - die überseh ich immer
Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht, oder bin ich da nun falsch abgebogen? Hab ich zumindest letztens erst noch hier gelesen... mit den Authentifizierten Nutzern hast du natürlich recht. Wollte nur klar machen, dass letztlich die Zugriffe nicht über die Freigabe geregelt werden.
Bastla, natürlich nicht, denn wie gesagt geschieht das über die Sicherheitseinstellungen
Ich teste das mal durch
VG
ach naja ... vielleicht hab ich sie damit überfordert und verschreckt ... wer weiß Verweigerungsrechte mag ich eh nicht - die überseh ich immer
Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht, oder bin ich da nun falsch abgebogen? Hab ich zumindest letztens erst noch hier gelesen... mit den Authentifizierten Nutzern hast du natürlich recht. Wollte nur klar machen, dass letztlich die Zugriffe nicht über die Freigabe geregelt werden.
Bastla, natürlich nicht, denn wie gesagt geschieht das über die Sicherheitseinstellungen
Ich teste das mal durch
VG
@Xaero1982
Kurzfassung: Beim Zusammenwirken von Freigabeberechtigungen und Sicherheitseinstellungen zählt das niedrigere Recht.
Grüße
bastla
Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht
D'accord, aber: Beim Zugriff über eine Freigabe, die mir nur Leserechte gibt, kann mir keine NTFS-Berechtigung mehr "Schreiben" oder mehr ermöglichen ...Kurzfassung: Beim Zusammenwirken von Freigabeberechtigungen und Sicherheitseinstellungen zählt das niedrigere Recht.
Grüße
bastla
@bastla,
scheinbar hast du recht hab mich letztens schon gewundert, als ich das gelesen habe ... würd ich den Thread nur finden
Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.
VG
scheinbar hast du recht hab mich letztens schon gewundert, als ich das gelesen habe ... würd ich den Thread nur finden
Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.
VG
@Xaero1982
Grüße
bastla
Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.
Yepp - mit dem angenehmen Nebeneffekt, dass durch die Einschränkung auf "Ändern" dann auch Besitzer von Ordnern keinen Vollzugriff mehr haben ...Grüße
bastla
moin,
Ich mach es mal kurz - wie? Das Klickbunti?
Und dann ist "für mich" als "gelernter" auch eher die Tatsache von interessse, was man auf dem Client als Benutzer sieht.
Und wegen den 30° im Büro, die hatten wir auch und trotzdem haben wir uns um dein "Problem" gekümmert.....
Gruß
Die Berechtigung direkt vom Client aus habe ich als Admin gecheckt. Ist definitiv so wie es gehört:
Ich mach es mal kurz - wie? Das Klickbunti?
Und dann ist "für mich" als "gelernter" auch eher die Tatsache von interessse, was man auf dem Client als Benutzer sieht.
- Kennst du xcacls?
- wirf das mal auf den Baum und poste zur Not die Anzeige - obwohl die3 selbsterklärend ist.
Und wegen den 30° im Büro, die hatten wir auch und trotzdem haben wir uns um dein "Problem" gekümmert.....
Gruß
Hi,
hach ... na das musst du uns schon sagen, wer außer den genannten den noch Zugriff hat.
Das ist kein Benutzer, sondern eine Benutzergruppe in der alle User der Domäne sind.
Frage dazu:
"76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon""
Sind das individuelle Konfigurationen der einzelnen Clients?
Ansonsten hätte ich euch den WDS Dienst ans Herz gelegt.
VG
hach ... na das musst du uns schon sagen, wer außer den genannten den noch Zugriff hat.
Das ist kein Benutzer, sondern eine Benutzergruppe in der alle User der Domäne sind.
Frage dazu:
"76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon""
Sind das individuelle Konfigurationen der einzelnen Clients?
Ansonsten hätte ich euch den WDS Dienst ans Herz gelegt.
VG