10
Rechter für Jeder als Policy?
Hallo,
vielleicht hakt's bei mir langsam aus.^^ Ich habe heute die Rechte auf unserem Windows 2008 RC2-Server kontrolliert und verstehe die Welt nicht mehr.
Wir haben keine Domäne und Benutzer verwenden freigegebene Verzeichnisse auf dem Server als "Jeder". Nun habe ich festgestellt, dass bei den Verzeichnissen bei "Jeder" als Rechte "Lesen und Ausführen" gesetzt sind, aber die können alle Schreiben, Ordner anlegen etc. und sich austoben. Wo zum Teufel hat das derjenige, der den Server mal eingerichtet hat, eingestellt? Oder ist das bei Workstation-Servern normal?
Danke für jede Hilfe!
vielleicht hakt's bei mir langsam aus.^^ Ich habe heute die Rechte auf unserem Windows 2008 RC2-Server kontrolliert und verstehe die Welt nicht mehr.
Wir haben keine Domäne und Benutzer verwenden freigegebene Verzeichnisse auf dem Server als "Jeder". Nun habe ich festgestellt, dass bei den Verzeichnissen bei "Jeder" als Rechte "Lesen und Ausführen" gesetzt sind, aber die können alle Schreiben, Ordner anlegen etc. und sich austoben. Wo zum Teufel hat das derjenige, der den Server mal eingerichtet hat, eingestellt? Oder ist das bei Workstation-Servern normal?
Danke für jede Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 223548
Url: https://administrator.de/contentid/223548
Printed on: April 20, 2024 at 01:04 o'clock
10 Comments
Latest comment
Ich würde die Rechte auch da vergeben wo die "Jeder" Rechte gesetzt sind...
und nein normal ist das nicht...
und nein normal ist das nicht...
Hallo oberlausitzer,
auch wenn bei der ACL "Jeder" auf Lesen und Ausführen steht melden sich die User ja mit einem bestimmten Benutzerkonto auf der Freigabe an welches auf dem Server existiert. D.h. nun wenn eine weitere ACL diesen Usern Schreibrechte gibt können sie in die entsprechenden Ordner schreiben. Wenn du das nicht willst lege am besten entsprechende Benutzergruppen an, also z.B. eine für die die schreiben dürfen und eine andere die nur lesen dürfen. Dann fügst du die User dem entsprechenden Gruppen hinzu und entfernst in den Ordnern die Gruppen die per Default in die Ordner schreiben dürfen.
Ich glaube du solltest dich mal grundlegend mit dem Berechtigungssystem auseinandersetzen.
Grüße Uwe
auch wenn bei der ACL "Jeder" auf Lesen und Ausführen steht melden sich die User ja mit einem bestimmten Benutzerkonto auf der Freigabe an welches auf dem Server existiert. D.h. nun wenn eine weitere ACL diesen Usern Schreibrechte gibt können sie in die entsprechenden Ordner schreiben. Wenn du das nicht willst lege am besten entsprechende Benutzergruppen an, also z.B. eine für die die schreiben dürfen und eine andere die nur lesen dürfen. Dann fügst du die User dem entsprechenden Gruppen hinzu und entfernst in den Ordnern die Gruppen die per Default in die Ordner schreiben dürfen.
Ich glaube du solltest dich mal grundlegend mit dem Berechtigungssystem auseinandersetzen.
Grüße Uwe
Hallo Uwe,
es ist KEIN Domänenserver. Und die Benutzer haben keinen Account auf dem Server, werden als unter "Jeder" eingefasst. Sie haben nur den Zugriff auf die Shares, was ja nix mit den Rechten zu tun hat, soweit ich weiß.
Ich versteh's nicht (und ich hab schon Domänenserver in den Fingern gehabt^^).
Danke für eine Aufklärung.
es ist KEIN Domänenserver. Und die Benutzer haben keinen Account auf dem Server, werden als unter "Jeder" eingefasst. Sie haben nur den Zugriff auf die Shares, was ja nix mit den Rechten zu tun hat, soweit ich weiß.
Ich versteh's nicht (und ich hab schon Domänenserver in den Fingern gehabt^^).
Danke für eine Aufklärung.
Zitat von @Oberlausitzer:
es ist KEIN Domänenserver. Und die Benutzer haben keinen Account auf dem Server, werden als unter "Jeder"
eingefasst. Sie haben nur den Zugriff auf die Shares, was ja nix mit den Rechten zu tun hat, soweit ich weiß.
Das war mir schon klar.es ist KEIN Domänenserver. Und die Benutzer haben keinen Account auf dem Server, werden als unter "Jeder"
eingefasst. Sie haben nur den Zugriff auf die Shares, was ja nix mit den Rechten zu tun hat, soweit ich weiß.
Also wenn ich das richtig verstehe sind bei dir die folgenden Einstellungen in der lokalen Sicherheitsrichtlinie gesetzt.
Denke das der Wicht, der den Server eingerichtet hat, wohl den "Jeder"-Benutzer zu einer normalen Benutzergruppe hinzugefügt hat, welche Schreibrechte auf die Verzeichnisse hat...
Diese Option ist deaktiviert und das kritische Konto Administratoren enthält nur die tatsächlichen Administratoren und nicht "Jeder". Da hätt ich schon nach 'ner Runde geschrien... Ich werde das Gefühl nicht los, dass es ein Blackout ist.^^
Hi Oberlausitzer,
welche Objekte stehen denn - serverseitig gesehen - genau in der NTFS drin ?
Nur lokale Admins & Jeder ? oder noch mehr ? mit welchen Haken wo ?
Was erscheint an gleicher Stelle, wenn Du das von einem Client abfragst ?
Noch eine Frage: gibt es am Server evtl. gleichlautende User mit gleichen Passwörtern ?
Gruss RS
welche Objekte stehen denn - serverseitig gesehen - genau in der NTFS drin ?
Nur lokale Admins & Jeder ? oder noch mehr ? mit welchen Haken wo ?
Was erscheint an gleicher Stelle, wenn Du das von einem Client abfragst ?
Noch eine Frage: gibt es am Server evtl. gleichlautende User mit gleichen Passwörtern ?
Gruss RS
Zitat von @Oberlausitzer:
Diese Option ist deaktiviert und das kritische Konto Administratoren enthält nur die tatsächlichen Administratoren und
Wenn diese Option deaktiviert ist dürften die Nutzer ohne jegliche Anmeldemaske gar nicht auf die Freigaben kommen, wenn bei diesen keinerlei zuätzliches Konto für die Anmeldung am Server hinterlegt ist welches auch auf dem Server existiert !Diese Option ist deaktiviert und das kritische Konto Administratoren enthält nur die tatsächlichen Administratoren und
Moin.
Um weniger rumzuraten: gib doch mal Folgendes preis:
Ausgabe des Befehls (am Server)
net user
und Ausgabe des Befehls
icacls PfadzumOrdner
[wenn Du willst, kannst Du ja die Namen abändern]
Desweiteren: Colinardo erwähnte 2 Optionen, Du hast nur eine verneint, was ist mit der anderen?
Um weniger rumzuraten: gib doch mal Folgendes preis:
Ausgabe des Befehls (am Server)
net user
und Ausgabe des Befehls
icacls PfadzumOrdner
[wenn Du willst, kannst Du ja die Namen abändern]
Desweiteren: Colinardo erwähnte 2 Optionen, Du hast nur eine verneint, was ist mit der anderen?
Ich wusste, dass es ein Blackout war... Die bei den Mitarbeitern eingerichteten Netzlaufwerke wurden alle vom Chef selbst als Administrator angelegt. D.h. die sind dort nicht "Jeder". Uff...
Sry für die dämliche Frage und danke für Hilfe!
Sry für die dämliche Frage und danke für Hilfe!
Dann den Beitrag bitte noch als gelöst markieren. Danke.
Grüße Uwe
Grüße Uwe
