Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Recht "ERSTELLER-BESITZER" expandiert später bei Ordnern nur auf "nur dieser Ordner"

Mitglied: mfernau

mfernau (Level 1) - Jetzt verbinden

11.12.2019 um 11:27 Uhr, 170 Aufrufe, 3 Kommentare

Hallo zusammen,

folgende Problemstellung:
Mein Kunde möchte gern einen Bereich haben in welchem sich die User eigene Verzeichnisse anlegen können, die später dann für diesen User vollen Zugriff ermöglichen. Andere User sollen diesen Bereich nicht betreten können. Ein klassischer "privater" Bereich. Alltägliche Geschichte.
Ganz so privat darf dieser Bereich dann aber auch wieder nicht sein, denn der Chef und Personalleiter muss Zugriff auf diese Ordner haben. Ich denke ebenfalls eine mehr oder weniger alltägliche Aufgabenstellung.

Bis hier hin ist das kein Problem. Der Basis-Ordner hat dafür zwei entscheidende NTFS-Berechtigungen:
- ERSTELLER-BESITZER mit Vollzugriff
- Gruppe "Personalleiter" mit Vollzugriff

Das schöne ist: Erstellt sich ein Anwender einen Ordner, bekommt dieser durch das Recht "ERSTELLER-BESITZER" automatisch Zugriff auf das neu erstellte Objekt.

Das 1. Problem: Erstellt sich Peter Lustig einen Ordner, hat der neue Ordner anschließend für Peter Lustig zwar das Recht "Vollzugriff", aber bei "Anwenden auf" steht für diesen Ordner anschließend "nur diesen Ordner". Da innerhalb dieses Ordners zwar auch wieder "ERSTELLER-BESITZER" mit aufgenommen ist, vererbt sich das ganze immer schön nach unten so lange nur Peter Lustig Objekte erstellt.
Das 2. Problem: Kommt nun der Personalleiter kann er wie gewünscht auf diesen Ordner zugreifen (sein Recht wurde ja ebenfalls nach unten vererbt). Legt er aber nun eine Datei darin ab, erhält diese Datei nur den Zugriff für den Personalleiter, aber eben nicht mehr für Peter Lustig.

Würde das Recht "ERSTELLER-BESITZER" nun so expandieren, dass ein neu angelegter Ordner anschließend für diesen User bei "Anwenden auf" zu einem "Diesen Ordner, Unterordner und Dateien" expandieren, wäre dieses Problem damit erledigt. Das tut es aber leider nicht. Und genau hier ist mein Knackpunkt.

Ich denke die Problemstellung ist mehr oder weniger alltäglich. Wo ist hier mein Denkfehler? Dafür muss es doch eine einfache Lösung geben. Vermutlich denke ich zu kompliziert?

Danke und Grüße
Martin
Mitglied: SeaStorm
LÖSUNG 11.12.2019 um 14:48 Uhr
Hi

technisch ist das IMHO so nicht lösbar.
Aber ihr macht da auch was das so nicht gedacht ist.
Es ist entweder ein privater Bereich oder nicht. Im Privaten Bereich hat auch ein Chef erst mal nix zu suchen.
Wenn der da Zugriff braucht, lässt sich das zusammen mit der IT(und BR) realisieren.
Und selbst wenn er da permanent Zugriff hat, dann sicher nicht schreibend.

Wenn es sich um den "persönlichen" Ordner handelt, dann hat da eine administrative Gruppe Zugriff und der Mitarbeiter.
Wenn es sich um "eingeschränkte" Ordner handelt, also z.B ein Projektordner mit einer definierten Gruppe an Zugriffsberechtigten, dann bekommt der Ordner eine eigene Sicherheitsgruppe, die diese enthält.

Also entweder ist es ein persönlicher Ordner, dann ist die Creator Owner Gruppe die richtige, oder es ist kein persönlicher, dann wird der Zugriff entsprechend eingerichtet und vorgegeben.
Ein entsprechendes Tool das hier Selfservice für die User ermöglicht, wäre uA 8Man.
Bitte warten ..
Mitglied: mfernau
11.12.2019 um 15:28 Uhr
Danke für die Info.

Über die Vorgaben (die ich so von meinen Kunden bekomme) lässt sich sicherlich immer streiten. Ganz strikt gesehen hast Du natürlich recht. Entweder ist es privat oder eben nicht und insofern wäre der Zugriff durch eine andere Gruppe (bei privat) nicht nötig und bei "Projekten" entsprechend durch Gruppen zu definieren.
Ganz so einfach ist der Strich in der Regel (im wahren Leben) aber nicht zu ziehen und die Grenzen sind oftmals sehr schwimmend. Die Vorgabe ist hier eben das von mir geschilderte Szenario.

In diesem Sinne muss man bei solchen Ordnern also einmalig nochmal Hand anlegen und für den Basisordner des Users die Berechtigungen einmalig so anpassen dass das Szenario abgebildet werden kann. Ist von der Sache her kein riesen Ding, wäre aber schöner gewesen wenn es "automatisch" ginge.
Bitte warten ..
Mitglied: SeaStorm
11.12.2019 um 15:34 Uhr
wenn es um die bekannten "User folder" geht, lässt sich das ja per GPPs bzw per Script ja leicht machen.
Wenn allerdings tatsächlich einfach irgendwo ein Share X existiert und sich da jeder selbst Ordner erstellen darf und soll, dann wirds schwieriger. Da würde ich vielleicht ein kleines Script schreiben das per Intranet bedient werden kann. So nach dem Motto "Ordner SelfService" > Name des Ordners angeben > Script erstellt Ordner für den User.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Recht Administrator
gelöst Frage von rudeboyWindows Server8 Kommentare

Hi! Kann mir jemand sagen wie ich das deuten soll? NTFS-Berechtigung Vollzugriff für den Admin aber trotzdem rot ausgekreuzt? ...

Windows Server

Recht - Ordner Löschen verweigern - wird ignoriert

Frage von Der-PhilWindows Server7 Kommentare

Hallo! Ich möchte gerade folgendes umsetzen: Ordner c:\TEST\Subfolder auf einem Windows 2016 Server soll nicht gelöscht werden können. > ...

Exchange Server

"Senden als" recht verteilen Exchange Online

gelöst Frage von Ex0r2k16Exchange Server2 Kommentare

Hallo zusammen, ich muss ein Senden Als Recht so einfach wie möglich auf diverse Postfächer verteilen. Gibt es hier ...

Windows 10

FYI: Fristen beim Windows 10 Downgrade-Recht

Information von kgbornWindows 101 Kommentar

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

Neue Wissensbeiträge
Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 1 TagSicherheit

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 1 TagInternet3 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Speedtest.cmd Via Aufgabenplanung stündlich oder ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 2 TagenAdministrator.de Feedback8 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. Die Codeblöcke können nun direkt per Copy&Paste kopiert werden. ...

Humor (lol)
Internet - auch 2020 noch Neuland ?
Erfahrungsbericht von Henere vor 2 TagenHumor (lol)6 Kommentare

Heute eine Mail der Schule meiner Tochter bekommen. Blabla Umweltschutz bla bla siehe Anhang. Dumm nur: Da hab ich ...

Heiß diskutierte Inhalte
Webbrowser
Kann Firefox von Google Suche nicht befreien
Frage von RG2525Webbrowser14 Kommentare

Hallo, Das passiert jetzt in letzter Zeit auf mehreren Computern von mir, dass die Google Suche sich nicht ausschalten ...

Sicherheits-Tools
Passwort Manager mit AD anbindung und dt. Oberfläche
gelöst Frage von sani007Sicherheits-Tools9 Kommentare

Hallo Ich suche kostengünstigen Passwort Manager mit AD-Anbindung mit weboberfläche. Am besten mit VM-Image zur schnellen Installation. Wenn es ...

Peripheriegeräte
Datenstrom Drucker
Frage von FragefuchsPeripheriegeräte9 Kommentare

Moin, kann mir jemand sagen, wie Computer Daten an einen Drucker weitergeben? Gibt es dafür ein Protokoll oder Format? ...

Windows Userverwaltung
Laptop WAKE ON LAN problem
Frage von WhatEver007Windows Userverwaltung8 Kommentare

Hallo, wie oben beschrieben geht es um wake on lan. Wenn ich auf meinen Netzwerkadapter gehe sehe ich keine ...