25
Probleme mit ACLs
Hallo, ich habe ein Problem mit dem Setzen von Rechten mittels ACLs auf einem NTFS Laufwerk eines SBS 2003.
Und zwar können Benutzer Dateien löschen obwohl sie dazu keine Berechtigung haben. Das Öffnen zB kann ich ihnen wirksam verbieten. Aber das löschen geht immer. Wo ist der Haken?
Ich habe zB alle geerbten Rechte gelöscht und dem Administrator volle Rechte eingeräumt. Sonst beinfden sich keine Rechtezuweisungen auf der Datei. Aber die Benutzer können trotzdem die Dateien löschen, während Öffnen nicht funktioniert. Besitzer ist ebenfalls der Administrator.
Auch habe ich zB alle geerbten Rechte gelöscht und dem Administrator volle Rechte eingeräumt der Gruppe in denen sich die relevanten Benutzer befinden alles verweigert. Aber die Benutzer können trotzdem die Dateien löschen, während Öffnen nicht funktioniert. Besitzer ist ebenfalls der Administrator.
Sonst beinfden sich keine Rechtezuweisungen auf der Datei.
Was habe ich falsch gemacht oder übersehen?
Und zwar können Benutzer Dateien löschen obwohl sie dazu keine Berechtigung haben. Das Öffnen zB kann ich ihnen wirksam verbieten. Aber das löschen geht immer. Wo ist der Haken?
Ich habe zB alle geerbten Rechte gelöscht und dem Administrator volle Rechte eingeräumt. Sonst beinfden sich keine Rechtezuweisungen auf der Datei. Aber die Benutzer können trotzdem die Dateien löschen, während Öffnen nicht funktioniert. Besitzer ist ebenfalls der Administrator.
Auch habe ich zB alle geerbten Rechte gelöscht und dem Administrator volle Rechte eingeräumt der Gruppe in denen sich die relevanten Benutzer befinden alles verweigert. Aber die Benutzer können trotzdem die Dateien löschen, während Öffnen nicht funktioniert. Besitzer ist ebenfalls der Administrator.
Sonst beinfden sich keine Rechtezuweisungen auf der Datei.
Was habe ich falsch gemacht oder übersehen?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 171291
Url: https://administrator.de/forum/probleme-mit-acls-171291.html
Ausgedruckt am: 22.04.2025 um 01:04 Uhr
25 Kommentare
Neuester Kommentar
Hallo,
Benutzer danach neu Angemeldet?
Benutzer neu Angemeldet nach änderungen an der ACL?
Gruß,
Peter
Benutzer danach neu Angemeldet?
Was habe ich falsch gemacht oder übersehen?
Verweigern hat vorrang vor Erlauben.Benutzer neu Angemeldet nach änderungen an der ACL?
Gruß,
Peter
Ja, Benutzer jeweils ab und neu angemeldet (alles per remote), Administrator nicht ab und angemeldet
Hi,
check mal die Sicherheitseinstellungen auf einem Client.
Also meld dich als Admin an oder jemand der Berechtigungen auf die Datei hat und check da die Einstellungen erneut.
Habs schon gehabt, dass die Einstellungen die mir auf dem Server für die Datei/Ordner angezeigt worden sind vollkommen dem widersprochen hat was mir vom Client aus angezeigt wurde und wie es auch tatsächlich war...
Und wie Peter sagte: Neu anmelden nach Änderungen
VG
check mal die Sicherheitseinstellungen auf einem Client.
Also meld dich als Admin an oder jemand der Berechtigungen auf die Datei hat und check da die Einstellungen erneut.
Habs schon gehabt, dass die Einstellungen die mir auf dem Server für die Datei/Ordner angezeigt worden sind vollkommen dem widersprochen hat was mir vom Client aus angezeigt wurde und wie es auch tatsächlich war...
Und wie Peter sagte: Neu anmelden nach Änderungen
VG
Geht es um eine Freigabe?
Wenn ja, dann darf die Freigabeberechtigung ausschließlich "Jeder: Lesen/Schreiben" sein, nichts anderes!
Wenn ja, dann darf die Freigabeberechtigung ausschließlich "Jeder: Lesen/Schreiben" sein, nichts anderes!
Die Berechtigungen werden bei einem Client, der eine entsprechende Freigabe als Netzlaufwerk (nach Änderung der Rechte neu) verbunden hat, korrekt angezeigt. Auch die Funktion effektive Berechtigung zeigt auf allen System an, dass der Benutzer kein Recht zum Löschen hat. Aber er kann trotzdem löschen.
Nein, es geht erst einmal nicht um den Zugriff über CIFS (Windowsfreigabe). Das ist zwar später das Ziel, aber nun scheitert es schon bei normaler lokaler Anmeldung des Benutzers am SBS. Am SBS als Benutzer angemeldet (per RDP allerdings) kann der Benutzer die Datei Löschen obwohl er überhaupt keine Rechte an der Datei hat. Auch ist mir mit der Freigabeberechtigung nicht geholfen, da zumindest nach meinem Wissen dort nicht differenziert für einzelne Dateien Zugriffsrechte gesetzt werden können. Am Ende brauche ich eine Lösung, bei der die Benutzer auf dem Netzlaufwerk lesen, schreiben und löschen dürfen aber einzelne versteut in den einzelnen Ordnern des Netzlaufwerks liegende Dateien nur lesen dürfen.
Hallo,
Gruß,
Peter
Zitat von @JanWie:
scheitert es schon bei normaler lokaler Anmeldung des Benutzers am SBS. Am SBS als Benutzer angemeldet (per RDP allerdings)
Ein normaler Benutzer kann sich nicht am SBS 2003 Anmelden. Weder Lokal noch per RDP. Du hast also hier schon die Rechte gravierend geändert.scheitert es schon bei normaler lokaler Anmeldung des Benutzers am SBS. Am SBS als Benutzer angemeldet (per RDP allerdings)
Auch ist mir mit der Freigabeberechtigung nicht geholfen,
Richtig. er ist LOKAL angemeldet (auch per RDP).Gruß,
Peter
Alle Benutzer die ich im Active Directory-Benutzer und -Computer anlege können sich am SBS anmelden. Das wunder auch mich. Aber ich bin mir keiner Änderung bewußt. Ich kann natürlich einschränken, dass sie sich nur an manchen Computern anmelden dürfen. Aber Standard ist hier Anmeldung an allen Computern erlaubt.
Hallo,
Zitat von @JanWie:
Alle Benutzer die ich im Active Directory-Benutzer und -Computer anlege können sich am SBS anmelden. Das wunder auch mich.
Und wenn du den Asisstenten zum Anlegen von Benutzern nimmst? Serververwaltungskonsole, benutzer -> Neuer Benutzer (denk dran, es gibt verschieden Vorlagen)Alle Benutzer die ich im Active Directory-Benutzer und -Computer anlege können sich am SBS anmelden. Das wunder auch mich.
Aber Standard ist hier Anmeldung an allen Computern erlaubt.
An allen Domänencomputern ist ja auch OK und Standard. Aber nicht an DC's und dein SBS 2003 ist nun mal ein DC.
Hi und danke,
über den Assistenten mit dem User Template angelegte Benutzer können sich auf dem SBS nicht anmelden. Mein normaler Benutzer untershied sich von denen durch die Mitgliedschaft in Remotedesktopbenutzer und konnte sich nur über rdp aber nicht direkt am SBS anmelden. Das habe ich nun erst einmal beseitigt. Benutzer kann sich also nicht mehr am SBS anmelden.
Test darauf hin wiederholt:
.Datei als Admin angelegt, Rechte eingeschränkt, effektive Berechtigung überprüft. Zum client gegangen, Netzlaufwerk verbunden, Datei umbenennen geht nicht, Datei löschen funktioniert aber!
über den Assistenten mit dem User Template angelegte Benutzer können sich auf dem SBS nicht anmelden. Mein normaler Benutzer untershied sich von denen durch die Mitgliedschaft in Remotedesktopbenutzer und konnte sich nur über rdp aber nicht direkt am SBS anmelden. Das habe ich nun erst einmal beseitigt. Benutzer kann sich also nicht mehr am SBS anmelden.
Test darauf hin wiederholt:
.Datei als Admin angelegt, Rechte eingeschränkt, effektive Berechtigung überprüft. Zum client gegangen, Netzlaufwerk verbunden, Datei umbenennen geht nicht, Datei löschen funktioniert aber!
@Pjordorf:
Benutzer neu Angemeldet nach änderungen an der ACL?
Das muss man nicht, nie. Nur wenn Du die Gruppenmitgliedschaft des Users änderst und die Gruppe in der ACL steht.effektive Berechtigung überprüft
Du hast den Usernamen eingegeben - welche Rechte sind dabei rausgekommen, exakt wie erwartet?Teste nun quer mit einem anderen belibigen PC mit einer Freigabe.
Hallo dww,
Aber du hast grundsätzlich Recht.
Gruß,
Peter
Zitat von @DerWoWusste:
Das muss man nicht, nie. Nur wenn Du die Gruppenmitgliedschaft des Users änderst und die Gruppe in der ACL steht.
Da hast du recht. Das ist normal nicht nötig. Ich wollte diese evtl. Fehlerquelle nur ausgeschaltet wissen und es war nicht eindeutig ob er auch Gruppenmitgliedschaften gleichzeitig geändert hat(te). Seine Benuttzer im SBS waren im nach hinein ja auch nicht mit den zu erwartenden Rechten unterwegs.Das muss man nicht, nie. Nur wenn Du die Gruppenmitgliedschaft des Users änderst und die Gruppe in der ACL steht.
Aber du hast grundsätzlich Recht.
Gruß,
Peter
Hi,
Ja, die effektive Berechtigung sieht immer so aus, wie ich es erwarte. Aber von jedem belibigen PC aus kann ich über die Freigabe mit jedem Benutzer die Dateien löschen - aber wenn entsprechende Recht nicht gegeben sind zb nicht öffnen oder nicht umbenennen.
Ja, die effektive Berechtigung sieht immer so aus, wie ich es erwarte. Aber von jedem belibigen PC aus kann ich über die Freigabe mit jedem Benutzer die Dateien löschen - aber wenn entsprechende Recht nicht gegeben sind zb nicht öffnen oder nicht umbenennen.
Evtl. hat die Installation des Server einen Schuss weg. Ich würde nun ein Laufwerk auf dem Server erstellen, eine Freigabe drauflegen, den Fehler reproduzieren, ein Image vom Laufwerk ziehen und auf einem anderen PC der Domäne wiederherstellen (und erneut freigeben) und schauen, ob man auf dieser Freigabe löschen kann.
Danke,
werde ich morgen mal testen. Und dann kommen auch erst einmal 2 Wochen Urlaub...
werde ich morgen mal testen. Und dann kommen auch erst einmal 2 Wochen Urlaub...
Hallo,
so habe nun erst einmal auf einem anderen Laufwerk getestet. Da ist es so, dass vom Client aus auch die flaschen Berechtigungen angezeigt werden. Also ich ändere auf dem SBS die Rechte, melde den Client neu an und prüfe die effektiven Berechitgungen des Benutzers auf dem Client. Die auf dem SBS gemachten Änderungen kommen gar nicht an. Was kann ich nun tun?
Danke
so habe nun erst einmal auf einem anderen Laufwerk getestet. Da ist es so, dass vom Client aus auch die flaschen Berechtigungen angezeigt werden. Also ich ändere auf dem SBS die Rechte, melde den Client neu an und prüfe die effektiven Berechitgungen des Benutzers auf dem Client. Die auf dem SBS gemachten Änderungen kommen gar nicht an. Was kann ich nun tun?
Danke
Hallo,
Schreib doch mal die von dir vergebenen NTFS Rechte sowie die eingestellen Freigabe Rechte hier rein. In welchen Gruppen ist denn der Benutzer enthalten? Vielleicht hast du etwas übersehen.
Gruß,
Peter
Schreib doch mal die von dir vergebenen NTFS Rechte sowie die eingestellen Freigabe Rechte hier rein. In welchen Gruppen ist denn der Benutzer enthalten? Vielleicht hast du etwas übersehen.
Gruß,
Peter
Zitat von @JanWie:
Hallo,
so habe nun erst einmal auf einem anderen Laufwerk getestet. Da ist es so, dass vom Client aus auch die flaschen Berechtigungen
angezeigt werden. Also ich ändere auf dem SBS die Rechte, melde den Client neu an und prüfe die effektiven
Berechitgungen des Benutzers auf dem Client. Die auf dem SBS gemachten Änderungen kommen gar nicht an. Was kann ich nun tun?
Danke
Hallo,
so habe nun erst einmal auf einem anderen Laufwerk getestet. Da ist es so, dass vom Client aus auch die flaschen Berechtigungen
angezeigt werden. Also ich ändere auf dem SBS die Rechte, melde den Client neu an und prüfe die effektiven
Berechitgungen des Benutzers auf dem Client. Die auf dem SBS gemachten Änderungen kommen gar nicht an. Was kann ich nun tun?
Danke
Ändere die Einstellungen vom Client aus.
VG
Du musst genau sein. Fast alles, was Du schreibst, könnte ich hinterfragen mit "was machst Du wo genau?".
Hast Du es so gemacht, wie geraten? Sieht nicht so aus. Es ging darum, das Image (bei dem die Berechtigungen unweigerlich erhalten bleiben) einem anderen PC unterzuschieben, um zu sehen, ob der die ALCs anders auswertet. So kann man sehen, ob der Server eine Meise hat.
Dennoch schönen Urlaub Dir
Hast Du es so gemacht, wie geraten? Sieht nicht so aus. Es ging darum, das Image (bei dem die Berechtigungen unweigerlich erhalten bleiben) einem anderen PC unterzuschieben, um zu sehen, ob der die ALCs anders auswertet. So kann man sehen, ob der Server eine Meise hat.
Dennoch schönen Urlaub Dir
Danke, das Image habe ich nicht mehr geschafft - werde mich bemühen, genauer zu sein
Hello again,
also habe images mit entsprechenden Dateien sowohl auf einem cleint als auch auf dem SBS erstellt und jeweils aufs andere System gebracht. Das Gleiche habe ich auch mit einem NTFS formatierten USB Stick gemacht. In jedem Fall kann der Benutzer ohne Löschrechte löschen. Schreiben/Öffnen etc kann er nicht, wenn ihm dies nicht erlaubt wurde. Effektive Berechtigungen werden so angezeigt, wie ich mir das vorstele. - Ich bin erneut/immer noch ratlos.
Kann mir noch jemand mit Ideen weiterhelfen?
Danke
also habe images mit entsprechenden Dateien sowohl auf einem cleint als auch auf dem SBS erstellt und jeweils aufs andere System gebracht. Das Gleiche habe ich auch mit einem NTFS formatierten USB Stick gemacht. In jedem Fall kann der Benutzer ohne Löschrechte löschen. Schreiben/Öffnen etc kann er nicht, wenn ihm dies nicht erlaubt wurde. Effektive Berechtigungen werden so angezeigt, wie ich mir das vorstele. - Ich bin erneut/immer noch ratlos.
Kann mir noch jemand mit Ideen weiterhelfen?
Danke
Hi,
was sagen denn die speziellen Berechtigungen?
VG
was sagen denn die speziellen Berechtigungen?
VG
Hi,
wenn du die speziellen Berechtigungen Ordner durchsuchen/Datei ausführen, Ordner auflisten/Daten lesen, Attribute lesen etc meinst, die ich über die Eigenschaften der Datei ansehen bzw verändern kann, so werden sie korrekt angezeigt und wenn ich sie ändere geht das auch problemlos. Aber wenn dort löschen verboten, kann sie trotzdem gelöscht werden.
wenn du die speziellen Berechtigungen Ordner durchsuchen/Datei ausführen, Ordner auflisten/Daten lesen, Attribute lesen etc meinst, die ich über die Eigenschaften der Datei ansehen bzw verändern kann, so werden sie korrekt angezeigt und wenn ich sie ändere geht das auch problemlos. Aber wenn dort löschen verboten, kann sie trotzdem gelöscht werden.
Ich habe es nun folgendermaßen gelöst. Ich setze auf die Dateien einen Schreibschutz und setze dann die folgendne ACLs entweder auf verweigern oder entziehe sie den Benutzern
FileSystemRights.Delete
FileSystemRights.Write
FileSystemRights.TakeOwnership
FileSystemRights.ChangePermissions
Vielen Dank für Eure Hilfe
FileSystemRights.Delete
FileSystemRights.Write
FileSystemRights.TakeOwnership
FileSystemRights.ChangePermissions
Vielen Dank für Eure Hilfe
