15
Problem mit Rechtevergabe in Active-Directory
Rechtevergabe greift nicht.
Hallo,
also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.
Die ganzen Hauptordner der 1. Linie wurde Laufwerksbuchstaben zugeordnet. z.B.
S = Beschaffung, da dürfen Gruppe Vorstand, Finanzen, Team und Teilnehmer zugreifen.
Darunter hat es in der nächsten (2.) Ebene noch verschiedene Ordner. z. B.
- Maschinen
- EDV
- Möbel
Auf den EDV-Ordner dürfen aber nur noch die Gruppen: Vorstand, Finanzen und Team zugreifen. Die Teilnehmer nicht mehr.
Nun ist es ja so, dass die Sicherheit vererbt werden kann, jedoch NICHT die sogennannte "Erweiterte Freigabe".
Gut. das heben wir Kapiert.
Obwohl ich bzw. wir (Kollegin und ich kämpfen uns grad durch) die Ordner Maschinen, EDV und Möbel wirklich komplett, mit der Erweiterten Freigabe ergänzt haben und bei EDV die Gruppe Teilnehmer raus haben (sowohl in der Erweiterten Freigabe als auch in der Sicherheit) kann ein Benutzer der Gruppe Teilnehmer IMMER NOCH auf den EDV-Ordner zugreifen. ?????? Anmerkung: Mitgliedschaften der Gruppen und Benutzer und dergl. 1000 mal kontrolliert. Stimmt alles.
Wir verstehen die Welt nicht mehr. Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!
LG
Elke + Kerstin
also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.
Die ganzen Hauptordner der 1. Linie wurde Laufwerksbuchstaben zugeordnet. z.B.
S = Beschaffung, da dürfen Gruppe Vorstand, Finanzen, Team und Teilnehmer zugreifen.
Darunter hat es in der nächsten (2.) Ebene noch verschiedene Ordner. z. B.
- Maschinen
- EDV
- Möbel
Auf den EDV-Ordner dürfen aber nur noch die Gruppen: Vorstand, Finanzen und Team zugreifen. Die Teilnehmer nicht mehr.
Nun ist es ja so, dass die Sicherheit vererbt werden kann, jedoch NICHT die sogennannte "Erweiterte Freigabe".
Gut. das heben wir Kapiert.
Obwohl ich bzw. wir (Kollegin und ich kämpfen uns grad durch) die Ordner Maschinen, EDV und Möbel wirklich komplett, mit der Erweiterten Freigabe ergänzt haben und bei EDV die Gruppe Teilnehmer raus haben (sowohl in der Erweiterten Freigabe als auch in der Sicherheit) kann ein Benutzer der Gruppe Teilnehmer IMMER NOCH auf den EDV-Ordner zugreifen. ?????? Anmerkung: Mitgliedschaften der Gruppen und Benutzer und dergl. 1000 mal kontrolliert. Stimmt alles.
Wir verstehen die Welt nicht mehr. Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!
LG
Elke + Kerstin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172013
Url: https://administrator.de/contentid/172013
Printed on: April 16, 2024 at 07:04 o'clock
15 Comments
Latest comment
moin,
Klingt spannend, kombinierter Tipp & Denkfehler, oder eine W2k8 Domain?
Ganz zur Not gibt es ein Recht, das in solchen Fällen immer richtig ist, das Recht - nix zu dürfen. (verweigern)
Mal die Umgebung deiner Frage mal auf, so kann sich doch nur einer mit aktiver Kristallkugel ein Bild machen.
PS: An eurer beiden Stelle würd ich mir zur Stellenabsicherung mal überlegen, ob eine Schulungsmaßnahme nicht ein Ansatz wäre....
Gruß
also: wir bauen gerade einen neuen Ordnerbaum in Active-Directory inkl. sehr spezieller Rechtevergabe auf.
Klingt spannend, kombinierter Tipp & Denkfehler, oder eine W2k8 Domain?
Wir verstehen die Welt nicht mehr.
Ganz zur Not gibt es ein Recht, das in solchen Fällen immer richtig ist, das Recht - nix zu dürfen. (verweigern)
Mal die Umgebung deiner Frage mal auf, so kann sich doch nur einer mit aktiver Kristallkugel ein Bild machen.
Nur zur Anmerkung: wir sind beide KEINE gelernten Admins, machen das nur angelernt, das heißt bitte mit besonderen spezial-EDV-mäßigen Ausdrücken sparsam umgehen. Danke!
PS: An eurer beiden Stelle würd ich mir zur Stellenabsicherung mal überlegen, ob eine Schulungsmaßnahme nicht ein Ansatz wäre....
Gruß
Moin ihr zwei,
um das noch mal aufzudröseln.
Ihr redet nicht vom Active Directory oder? Sondern nur von einer normalen Ordnerstruktur auf dem Server?
Hauptordner - Beschaffung: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - Maschinen: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - EDV: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team.; /Freigaberechte:/ Vorstand, Finanzen, Team
Unterordner - Möbel: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Ist das so korrekt?
Eigentlich überflüssig, denn über die erweiterte Freigabe könnt ihr "Jeder" einstellen auf lesen und den Rest über die NTFS Rechte erledigen.
Was ihr noch machen könnt:
Überprüft bitte mal die Berechtigungen (Sicherheit) der einzelnen Ordner von einem Client aus.
Also nehmt euch einen PC, meldet euch als Admin an und checkt die Berechtigungen von dort aus. Musste schon feststellen, dass auf dem Server andere angezeigt worden sind, als auf den Clients (welche letztlich griffen, aber nicht korrekt waren)
VG
um das noch mal aufzudröseln.
Ihr redet nicht vom Active Directory oder? Sondern nur von einer normalen Ordnerstruktur auf dem Server?
Hauptordner - Beschaffung: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - Maschinen: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Unterordner - EDV: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team.; /Freigaberechte:/ Vorstand, Finanzen, Team
Unterordner - Möbel: /NTFS-Rechte (Sicherheit):/ Vorstand, Finanzen, Team und Teilnehmer; /Freigaberechte:/ Vorstand, Finanzen, Team und Teilnehmer
Ist das so korrekt?
Eigentlich überflüssig, denn über die erweiterte Freigabe könnt ihr "Jeder" einstellen auf lesen und den Rest über die NTFS Rechte erledigen.
Was ihr noch machen könnt:
Überprüft bitte mal die Berechtigungen (Sicherheit) der einzelnen Ordner von einem Client aus.
Also nehmt euch einen PC, meldet euch als Admin an und checkt die Berechtigungen von dort aus. Musste schon feststellen, dass auf dem Server andere angezeigt worden sind, als auf den Clients (welche letztlich griffen, aber nicht korrekt waren)
VG
servus Xaero1982,
ich gebs ja zu, die Andeutung mit dem Veweigerungsrecht - damit habe ich angefangen und das ist in Sachen Freigabe/Ordnerrechte schon heftiger Tobak.
Dem "Benutzer" jeder auf der Freigabe irgendwelche Rechte einzuräumen ist dagegen wirklich extrem suboptimal.
Jeder ist Jeder - "wenn" schon, dann sollte man(n)/Frau da die Gruppe Authentifizierte Benutzer reinmalen, aber Jeder................
Wir sind doch Hier im Adminforum und nicht an der Frittenbude
Ich vermute mal, die beiden sind schon bei mspress gewesen oder das Problem hat sich in Luft aufgelöst...
Gruß
ich gebs ja zu, die Andeutung mit dem Veweigerungsrecht - damit habe ich angefangen und das ist in Sachen Freigabe/Ordnerrechte schon heftiger Tobak.
Dem "Benutzer" jeder auf der Freigabe irgendwelche Rechte einzuräumen ist dagegen wirklich extrem suboptimal.
Jeder ist Jeder - "wenn" schon, dann sollte man(n)/Frau da die Gruppe Authentifizierte Benutzer reinmalen, aber Jeder................
Wir sind doch Hier im Adminforum und nicht an der Frittenbude
Ich vermute mal, die beiden sind schon bei mspress gewesen oder das Problem hat sich in Luft aufgelöst...
Gruß
... und wenn ich das richtig verstehe und die einzige Freigabeberechtigung
Grüße
bastla
"Jeder" einstellen auf lesen
sein soll - werden dann die Daten lokal am Server bearbeitet?Grüße
bastla
Hi Timo,
ach naja ... vielleicht hab ich sie damit überfordert und verschreckt ... wer weiß
Verweigerungsrechte mag ich eh nicht - die überseh ich immer
Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht, oder bin ich da nun falsch abgebogen? Hab ich zumindest letztens erst noch hier gelesen... mit den Authentifizierten Nutzern hast du natürlich recht. Wollte nur klar machen, dass letztlich die Zugriffe nicht über die Freigabe geregelt werden.
Bastla, natürlich nicht, denn wie gesagt geschieht das über die Sicherheitseinstellungen
Ich teste das mal durch
VG
ach naja ... vielleicht hab ich sie damit überfordert und verschreckt ... wer weiß
Verweigerungsrechte mag ich eh nicht - die überseh ich immer Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht, oder bin ich da nun falsch abgebogen? Hab ich zumindest letztens erst noch hier gelesen... mit den Authentifizierten Nutzern hast du natürlich recht. Wollte nur klar machen, dass letztlich die Zugriffe nicht über die Freigabe geregelt werden.
Bastla, natürlich nicht, denn wie gesagt geschieht das über die Sicherheitseinstellungen
Ich teste das mal durch
VG
@Xaero1982
Kurzfassung: Beim Zusammenwirken von Freigabeberechtigungen und Sicherheitseinstellungen zählt das niedrigere Recht.
Grüße
bastla
Der Punkt ist doch, dass man die Berechtigungen selbst über die NTFS Einstellungen macht
D'accord, aber: Beim Zugriff über eine Freigabe, die mir nur Leserechte gibt, kann mir keine NTFS-Berechtigung mehr "Schreiben" oder mehr ermöglichen ...Kurzfassung: Beim Zusammenwirken von Freigabeberechtigungen und Sicherheitseinstellungen zählt das niedrigere Recht.
Grüße
bastla
@bastla,
scheinbar hast du recht
hab mich letztens schon gewundert, als ich das gelesen habe ... würd ich den Thread nur finden
Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.
VG
scheinbar hast du recht
hab mich letztens schon gewundert, als ich das gelesen habe ... würd ich den Thread nur finden Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.
VG
@Xaero1982
Grüße
bastla
Also müssen auf der obersten Freigabeebene zumindest die authentifizierten Nutzer mit Ändern versehen werden.
Yepp - mit dem angenehmen Nebeneffekt, dass durch die Einschränkung auf "Ändern" dann auch Besitzer von Ordnern keinen Vollzugriff mehr haben ...Grüße
bastla
Guten Morgen,
nachdem wir gestern um 7:30 Uhr angefangen haben und wir Nachmittags 30 Grad im Büro hatten, haben wir nach dem Einsetzen dieses Beitrages die Segel gestrichen. Desw. keine Antworten. Sorry.
Also: deine Aufstellung, Xaero1982 ist korrekt.
Wir haben einen neuen Server Windows 2008R2 und dort den Domänenserver mit Active-Directory. Alle Gruppen und Benutzer haben wir im Team eingegeben und eingerichtet. Doppelt kontrolliert.
Die Berechtigung direkt vom Client aus habe ich als Admin gecheckt. Ist definitiv so wie es gehört: auf dem EDV-Ordner ist die Gruppe der Teilnehmer ausgeschlossen.
Anmerkung zu Timo:
Schulung???? das ich nicht lache!!! unter anderem weil diese mir verweigert wurde, hab ich hier auch gekündigt. Hauptsache einen Haufen Geld sparen. Meine Kollegin kämpft weiter, viell. bekommt sie ja irgendwann eine Schulung. Das Edv-Gedöns ist nur unser "Nebenjob", der Abende und WE - ausfüllt (hab Kollegin in den letzten Monaten eingelernt, damit ist sie nun der DvD). Jetzt zur Umstellung ist es halt knackig (76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon"), dann sollte es angeblich von selbst laufen, bei Problemen wird uns von extern geholfen. aber ich bin in 4 wochen weg. Viel Spaß.
Herzlichst
Elke
nachdem wir gestern um 7:30 Uhr angefangen haben und wir Nachmittags 30 Grad im Büro hatten, haben wir nach dem Einsetzen dieses Beitrages die Segel gestrichen. Desw. keine Antworten. Sorry.
Also: deine Aufstellung, Xaero1982 ist korrekt.
Wir haben einen neuen Server Windows 2008R2 und dort den Domänenserver mit Active-Directory. Alle Gruppen und Benutzer haben wir im Team eingegeben und eingerichtet. Doppelt kontrolliert.
Die Berechtigung direkt vom Client aus habe ich als Admin gecheckt. Ist definitiv so wie es gehört: auf dem EDV-Ordner ist die Gruppe der Teilnehmer ausgeschlossen.
Anmerkung zu Timo:
Schulung???? das ich nicht lache!!! unter anderem weil diese mir verweigert wurde, hab ich hier auch gekündigt. Hauptsache einen Haufen Geld sparen. Meine Kollegin kämpft weiter, viell. bekommt sie ja irgendwann eine Schulung. Das Edv-Gedöns ist nur unser "Nebenjob", der Abende und WE - ausfüllt (hab Kollegin in den letzten Monaten eingelernt, damit ist sie nun der DvD). Jetzt zur Umstellung ist es halt knackig (76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon"), dann sollte es angeblich von selbst laufen, bei Problemen wird uns von extern geholfen. aber ich bin in 4 wochen weg. Viel Spaß.
Herzlichst
Elke
moin,
Ich mach es mal kurz - wie? Das Klickbunti?
Und dann ist "für mich" als "gelernter" auch eher die Tatsache von interessse, was man auf dem Client als Benutzer sieht.
Und wegen den 30° im Büro, die hatten wir auch und trotzdem haben wir uns um dein "Problem" gekümmert.....
Gruß
Die Berechtigung direkt vom Client aus habe ich als Admin gecheckt. Ist definitiv so wie es gehört:
Ich mach es mal kurz - wie? Das Klickbunti?
Und dann ist "für mich" als "gelernter" auch eher die Tatsache von interessse, was man auf dem Client als Benutzer sieht.
- Kennst du xcacls?
- wirf das mal auf den Baum und poste zur Not die Anzeige - obwohl die3 selbsterklärend ist.
Und wegen den 30° im Büro, die hatten wir auch und trotzdem haben wir uns um dein "Problem" gekümmert.....
Gruß
Hallo,
haben die Lösung gefunden: Windows generiert einen allgemeinen Benutzer der "Benutzer" heißt, und wenn dieser bei der Sicherheit rausgelöscht wird funktionierts, dann darf "Teilnehmer-Gruppe" auch nicht mehr zugreifen. Der darf aber nicht als Rundumschlag bei der Active-Directory Benutzer-Strukturen rausgelöscht werden, sondern eben nur bei der Rechtevergabe der spez. Ordner.
Kleine Lösung bei großem Problem
Danke euch trotzdem,
herzliche Grüße aus München
haben die Lösung gefunden: Windows generiert einen allgemeinen Benutzer der "Benutzer" heißt, und wenn dieser bei der Sicherheit rausgelöscht wird funktionierts, dann darf "Teilnehmer-Gruppe" auch nicht mehr zugreifen. Der darf aber nicht als Rundumschlag bei der Active-Directory Benutzer-Strukturen rausgelöscht werden, sondern eben nur bei der Rechtevergabe der spez. Ordner.
Kleine Lösung bei großem Problem
Danke euch trotzdem,
herzliche Grüße aus München
Hi,
hach ... na das musst du uns schon sagen, wer außer den genannten den noch Zugriff hat.
Das ist kein Benutzer, sondern eine Benutzergruppe in der alle User der Domäne sind.
Frage dazu:
"76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon""
Sind das individuelle Konfigurationen der einzelnen Clients?
Ansonsten hätte ich euch den WDS Dienst ans Herz gelegt.
VG
hach ... na das musst du uns schon sagen, wer außer den genannten den noch Zugriff hat.
Das ist kein Benutzer, sondern eine Benutzergruppe in der alle User der Domäne sind.
Frage dazu:
"76 Clients auf Win7 und office2010 inkl. aller möglichen Unwegbarkeiten die man sich in dem Zuge nur vorstellen kann, 28 PCs haben wir "schon""
Sind das individuelle Konfigurationen der einzelnen Clients?
Ansonsten hätte ich euch den WDS Dienst ans Herz gelegt.
VG
Hi,
ok, fehlendes wichtiges Detail unterschlagen, sorry.
Wir machen die alle richtig platt, und haben einen Master, den wir per Snapshot draufspielen. Dort sind die pauschalen Programme bereits alle drauf. Es geht um so Datails wie:
- eurofibu (einzelplatz, aber Daten auf dem Server abgelegt wegen Sicherung)
- fritzfax (einzelplatz)
- Online-Banking (Einzelplatz)
- PublicSharefolder (muss irgendwo auf einen Server rauf)
- neue pcs - pcs di nur Office2010 tauglich sind und nicht win7
- komplett neue Ordnerstrukturen aufbauen, die alten werden nicht einfach rübergezogen
- PCs tauschen, weil der eine nicht fähig, der andere schon, dann zusätzliche umgeordnete Arbeitsplätze.
und und und...
eigentlich full-time für einen Admin, aber der ist ja zu teuer.
dann geht zwischendrin wieder mal ein switch irgendwo kaputt, oder die Cat5 kabel spinnen und wollen ausgetauscht werden.... ach ja, gott sei dank haben wir in unserer Hauptaufgabe grad ein bisserl ein Sommerloch
es gibt immer wieder überraschungen, und Planänderungen
Herzlichst und noch "gut-schwitz" im Süden,
Elke
ok, fehlendes wichtiges Detail unterschlagen, sorry.
Wir machen die alle richtig platt, und haben einen Master, den wir per Snapshot draufspielen. Dort sind die pauschalen Programme bereits alle drauf. Es geht um so Datails wie:
- eurofibu (einzelplatz, aber Daten auf dem Server abgelegt wegen Sicherung)
- fritzfax (einzelplatz)
- Online-Banking (Einzelplatz)
- PublicSharefolder (muss irgendwo auf einen Server rauf)
- neue pcs - pcs di nur Office2010 tauglich sind und nicht win7
- komplett neue Ordnerstrukturen aufbauen, die alten werden nicht einfach rübergezogen
- PCs tauschen, weil der eine nicht fähig, der andere schon, dann zusätzliche umgeordnete Arbeitsplätze.
und und und...
eigentlich full-time für einen Admin, aber der ist ja zu teuer.
dann geht zwischendrin wieder mal ein switch irgendwo kaputt, oder die Cat5 kabel spinnen und wollen ausgetauscht werden.... ach ja, gott sei dank haben wir in unserer Hauptaufgabe grad ein bisserl ein Sommerloch
es gibt immer wieder überraschungen, und Planänderungen
Herzlichst und noch "gut-schwitz" im Süden,
Elke
Hi,
hört sich spannend an ...
Aber ich denke ihr seid auf dem richtigen Weg, also weiterhin viel Erfolg und gutes Gelingen
VG
hört sich spannend an ...
Aber ich denke ihr seid auf dem richtigen Weg, also weiterhin viel Erfolg und gutes Gelingen
VG