9
Rechtevergeben: Unberechtigter User wird automatisch Besitzer?
Hallo
Ich habe auf einem "Server"- PC in unserer Domäne eine Freigabe "test" erstellt.
mit folgenden rechten:
-Jeder : überall Häkchen bis auf Vollzugriff.
-Lokale Administratorgruppe: Vollzugriff
sonst ist nichts definiert.
Ich habe eine Batch-Datei erstellt, welche einem user einen persöndlichen Ordner anelgen sollte auf den nur er und die lokalen Admins zugreiffen können.
folgendes ist der Code der Batch-Datei
@echo off
if exist \\chbnpasw106\test\%username% goto next
mkdir \\chbnpasw106\test\%UserName%
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /G Administratoren:F /Y
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /E /G %username%:F
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /E /R Administrator
Echo Persoenlicher Ordner wurde erstellt.
:next
if exist R: goto nexte
net use R: \\chbnpasw106\test\uspsfllb02
Echo Netzlaufwerk R wurde verbunden (Persoenlicher Ordner)
:nexte
pause
Es werden auf den ordnern automatisch mit hilfe der xcacls die rechte gesetzt.
zwar sind wiederum die lokalen admins mit vollzugriff und der entsprechende user mit vollzugriff definiert.
nun irgendwie habe ich das gefühl ich mache das total falsch...
wie muss ich da was beachten, bei der rechtevergabe?
was muss ich beim ordner test beachten und was bei den unterordnern die ich erstelle?
Ich habe auf einem "Server"- PC in unserer Domäne eine Freigabe "test" erstellt.
mit folgenden rechten:
-Jeder : überall Häkchen bis auf Vollzugriff.
-Lokale Administratorgruppe: Vollzugriff
sonst ist nichts definiert.
Ich habe eine Batch-Datei erstellt, welche einem user einen persöndlichen Ordner anelgen sollte auf den nur er und die lokalen Admins zugreiffen können.
folgendes ist der Code der Batch-Datei
@echo off
if exist \\chbnpasw106\test\%username% goto next
mkdir \\chbnpasw106\test\%UserName%
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /G Administratoren:F /Y
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /E /G %username%:F
\\chbnpasw106\test\xcacls.exe \\chbnpasw106\test\%username% /E /R Administrator
Echo Persoenlicher Ordner wurde erstellt.
:next
if exist R: goto nexte
net use R: \\chbnpasw106\test\uspsfllb02
Echo Netzlaufwerk R wurde verbunden (Persoenlicher Ordner)
:nexte
pause
Es werden auf den ordnern automatisch mit hilfe der xcacls die rechte gesetzt.
zwar sind wiederum die lokalen admins mit vollzugriff und der entsprechende user mit vollzugriff definiert.
nun irgendwie habe ich das gefühl ich mache das total falsch...
wie muss ich da was beachten, bei der rechtevergabe?
was muss ich beim ordner test beachten und was bei den unterordnern die ich erstelle?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 32570
Url: https://administrator.de/contentid/32570
Ausgedruckt am: 26.11.2024 um 16:11 Uhr
9 Kommentare
Neuester Kommentar
Du solltest auf dem übergeordneten Ordner der Gruppe "Jeder" nur "Lesen" und "liste Verzeichnisse" Berechtigungen geben und die Gruppe "Jeder" dann aus den Berechtigungen des neu erstellten Ordners "%USERNAME%" herausnehmen,
Gruß
Atti.
Gruß
Atti.
Ich meine du kannst nicht über eine Netzfreigabe wie oben Rechte administrieren.
Das geht nur lokal an dem Server oder über einen Terminalservice auf der Kiste.
Des weiteren schümpft sich der Befehl cacls nicht xcacls
ausser der Befehl kommt
aus dem Resourcekit was ich auf anhieb nicht weis.
Liegt die xcacls.exe in dem Ordner \\chbnpasw106\test\ ? wenn nein geht es nicht.
\\chbnpasw106\test\%username% /G Administratoren:F /y
/y -> kenne ich nicht
\\chbnpasw106\test\%username% /E /R administrator
nicht nötig da ja schon alle Rechte überschrieben / gelöscht wurden.
net use R: \\chbnpasw106\test\uspsfllb02
-> sollen alle User dieses Verzeichnis "uspsfllb02" als persönlichen Ordner gemappt bekommen ?
Ich würde dir empfehlen ganz anders vor zu gehen.
Als erstes würde ich die Ordner bei der Usereinrichtung gleich mit erstellen lassen.
Da gibt es dann keine Rechte ? Probleme und alles ist fertig . Falls das versäumt wurde, würde ich auf dem Server ein Verzeichnis erstellen ( Home ), und dort alle Verzeichnisse der User erstellen. ( Das geht vielleicht auch per Batch Datei ) Nun solltest du die NTFS Rechte für den Admingruppe durchvererben. Im Anschluß würde ich dann auch mit cacls.exe die Berechtigungen der User setzen.
Tipp in Stichpunkten dazu
Dir /b > user.txt, user.txt in Excel importieren
Spalte a nach b verschieben und nach d kopieren.
In a eintragen cacls.exe ?
In b sollten User sein,
In c ? /E /G
In d sollten wieder User sein,
In e :F
Spalte a,c,e nach unten ausfüllen und in txt exportieren. Umbenennen in rechte.bat und in dem Ordner Home ausführen. Rechte stichpunktartig überprüfen.
Zum Schluß sollte man aber in einem Anmeldescripte die Laufwerke mappen. Das Scripte wird im AD in der Userverwaltung eingetragen und ist eigentlich eine Batchdatei mit der Endung cmd. In der solltest du folgende Zeilen einarbeiten.
@echo ON
NET USE * /D /Y
NET USE H: \\servername\Home\%Username%
Beachte aber das NT4 Clients keine Maps auf Ordner in Freigaben machen können, das geht erst ab 2000, sonst mußt da die Ordner selber freigeben. Sonst sehen alle User alle Verzeichnisse können aber nur bei sich rein.
Fertig
Mfg Metzger
Das geht nur lokal an dem Server oder über einen Terminalservice auf der Kiste.
Des weiteren schümpft sich der Befehl cacls nicht xcacls
ausser der Befehl kommtaus dem Resourcekit was ich auf anhieb nicht weis.
Liegt die xcacls.exe in dem Ordner \\chbnpasw106\test\ ? wenn nein geht es nicht.
\\chbnpasw106\test\%username% /G Administratoren:F /y
/y -> kenne ich nicht
\\chbnpasw106\test\%username% /E /R administrator
nicht nötig da ja schon alle Rechte überschrieben / gelöscht wurden.
net use R: \\chbnpasw106\test\uspsfllb02
-> sollen alle User dieses Verzeichnis "uspsfllb02" als persönlichen Ordner gemappt bekommen ?
Ich würde dir empfehlen ganz anders vor zu gehen.
Als erstes würde ich die Ordner bei der Usereinrichtung gleich mit erstellen lassen.
Da gibt es dann keine Rechte ? Probleme und alles ist fertig
. Falls das versäumt wurde, würde ich auf dem Server ein Verzeichnis erstellen ( Home ), und dort alle Verzeichnisse der User erstellen. ( Das geht vielleicht auch per Batch Datei ) Nun solltest du die NTFS Rechte für den Admingruppe durchvererben. Im Anschluß würde ich dann auch mit cacls.exe die Berechtigungen der User setzen.Tipp in Stichpunkten dazu
Dir /b > user.txt, user.txt in Excel importieren
Spalte a nach b verschieben und nach d kopieren.
In a eintragen cacls.exe ?
In b sollten User sein,
In c ? /E /G
In d sollten wieder User sein,
In e :F
Spalte a,c,e nach unten ausfüllen und in txt exportieren. Umbenennen in rechte.bat und in dem Ordner Home ausführen. Rechte stichpunktartig überprüfen.
Zum Schluß sollte man aber in einem Anmeldescripte die Laufwerke mappen. Das Scripte wird im AD in der Userverwaltung eingetragen und ist eigentlich eine Batchdatei mit der Endung cmd. In der solltest du folgende Zeilen einarbeiten.
@echo ON
NET USE * /D /Y
NET USE H: \\servername\Home\%Username%
Beachte aber das NT4 Clients keine Maps auf Ordner in Freigaben machen können, das geht erst ab 2000, sonst mußt da die Ordner selber freigeben. Sonst sehen alle User alle Verzeichnisse können aber nur bei sich rein.
Fertig
Mfg Metzger
administratoren wäre die gruppe gewesen die ich hinzugefügt habe.
danke vielmals für den tip mit excel. werde es jetzt so machen.
melde mich nochmals , wenn ich es geschafft, oder eben nicht geschafft habe.
danke vielmals für den tip mit excel. werde es jetzt so machen.
melde mich nochmals , wenn ich es geschafft, oder eben nicht geschafft habe.
okay, das erstellen der batch datei ging bereits mal gut.
sie lief durch. erstellte die ordner. und setzte die berechtigungen für die gruppe administratoren und für den jeweiligen user.
dennoch kann ich mit einem total anderen user von einem anderen pc auf diese ordner zugreiffen...
immer noch das gleiche problem.
der user der eigentlich nicht zugreiffen dürfte, wird automatisch als besitzer eingetragen...
warum das?
was könnten die Gründe sein?
sie lief durch. erstellte die ordner. und setzte die berechtigungen für die gruppe administratoren und für den jeweiligen user.
dennoch kann ich mit einem total anderen user von einem anderen pc auf diese ordner zugreiffen...
immer noch das gleiche problem.
der user der eigentlich nicht zugreiffen dürfte, wird automatisch als besitzer eingetragen...
warum das?
was könnten die Gründe sein?
hm gehe mal in dein Verzeichnis hinein und lasse dir mal mit cacls die Berechtigungsstruckturen angezeigen.
In meinem Beispiel mit den Unterverzeichnissen 1,2
E:\123>
E:\123\1>
E:\123\2>
E:\123>cacls 1
E:\123\1 VORDEFINIERT\Administratoren
OI)(CI)F
JederOI)(CI)F
NT-AUTORITÄT\SYSTEMOI)(CI)F
hier hat jeder Vollzugriff ( Administratoren, Jeder, System )
Ich nehme an das es bei dir fast genau so aussieht. Desweiteren nehme ich an, das du vergessen hast, alle User/Gruppen aus der NTFS Struckturen zu nehmen. Ich gebe es ja zu, im oberen Teil erwähnt zu haben, aber es nicht expliziet es in die Batchdatei mit eingepflegt zu haben .
Mit E:\123>cacls * /G administratoren:F kannst du das nachholen.
Setze das mal anhand eines Verzeichnises schritweise um.
E:\123>cacls 1 /G administratoren:F
Sind Sie sicher (J/N)?j
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
E:\123>cacls 1 /E /G 1:R
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
VN6430\1OI)(CI)R
E:\123>cacls 1 /E /G 2:F
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\AdministratorenOI)(CI)F
VN6430\1OI)(CI)R
VN6430\2OI)(CI)F
Dabei können eigentlich keine User Berechtigungen bekommen die du nicht expliziet gegeben hast.
P.S
mit /T werden auch die Unterverzeichnisse mit berücksichtigt.
Mfg Metzger
In meinem Beispiel mit den Unterverzeichnissen 1,2
E:\123>
E:\123\1>
E:\123\2>
E:\123>cacls 1
E:\123\1 VORDEFINIERT\Administratoren
OI)(CI)FJeder
OI)(CI)FNT-AUTORITÄT\SYSTEM
OI)(CI)Fhier hat jeder Vollzugriff ( Administratoren, Jeder, System )
Ich nehme an das es bei dir fast genau so aussieht. Desweiteren nehme ich an, das du vergessen hast, alle User/Gruppen aus der NTFS Struckturen zu nehmen. Ich gebe es ja zu, im oberen Teil erwähnt zu haben, aber es nicht expliziet es in die Batchdatei mit eingepflegt zu haben
.Mit E:\123>cacls * /G administratoren:F kannst du das nachholen.
Setze das mal anhand eines Verzeichnises schritweise um.
E:\123>cacls 1 /G administratoren:F
Sind Sie sicher (J/N)?j
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\Administratoren
OI)(CI)FE:\123>cacls 1 /E /G 1:R
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\Administratoren
OI)(CI)FVN6430\1
OI)(CI)RE:\123>cacls 1 /E /G 2:F
Bearbeitetes Verzeichnis: E:\123\1
E:\123>cacls 1
E:\123\1 VORDEFINIERT\Administratoren
OI)(CI)FVN6430\1
OI)(CI)RVN6430\2
OI)(CI)FDabei können eigentlich keine User Berechtigungen bekommen die du nicht expliziet gegeben hast.
P.S
mit /T werden auch die Unterverzeichnisse mit berücksichtigt.
Mfg Metzger
also bei mir sieht das so aus
D:\test\U500069 VORDEFINIERT\AdministratorenOI)(IO)F
VORDEFINIERT\AdministratorenCI)F
SPS\u500069OI)(IO)F
SPS\u500069CI)F
sollte doch so klappen oder?
ich kann aber immernoch zugreiffen mit einem anderen user...
er wird dann zwar nciht in der berechtigung aufgeführt, aber e wird wie gesagt, automatisch besitzer des ordners, obwohl der benutzer mit dem ich zugreiffe absolut nichts mit dem ordner zu tun hat......
D:\test\U500069 VORDEFINIERT\Administratoren
OI)(IO)FVORDEFINIERT\Administratoren
CI)FSPS\u500069
OI)(IO)FSPS\u500069
CI)Fsollte doch so klappen oder?
ich kann aber immernoch zugreiffen mit einem anderen user...
er wird dann zwar nciht in der berechtigung aufgeführt, aber e wird wie gesagt, automatisch besitzer des ordners, obwohl der benutzer mit dem ich zugreiffe absolut nichts mit dem ordner zu tun hat......
hm das ist interressant. Auf dem Ordner
hast du die Gruppe der Administratoren 2mal definiert. Ich denke da wurde die
Rechte der NTFSEBENE vererbt und gleichzeitig auch kopiert.
CI Diesen Ordner und Unterordner
(OI)(IO) Nur Dateien
Das gleiche gilt auch für die User / Gruppe u500069 vom Rechner / Domaine SPS
Besitzer eines Ordners / einer Datei ist der der sie erstellt hat. Oder der der
Ihren Besitz übernehmen kann.
Schaue mal nach wie es mit den Berechtigungen innerhalb der Ordner an.
Du kannst dazu cacls nehmen oder auch folgende Methode.
Re. Maus auf Ordner, Eigenschalften, Sicherheit, Erweitert.
Dort stehen alle kopierten Rechte, vererbte Rechte, ... Schaue mal da ob
hier ""fehlerhafte"" Einträge vorhanden sind, über die die User Rechte
bekommen. Alternative kannst du natürlich auch folgendes machen
Re. Maus auf Haupt-Ordner( Test ) , Eigenschalften, Sicherheit, Erweitert.
Haken Raus bei Berechtigungne übergeordneter ... , Kopieren, alle
Berechtigungseinträge entfernen außer Administratoren. Die bearbeiten
so das die Vollzugriff haben. Jeder sollte die Berechtigung Ordner auflisten
haben, Berechtigungen für... Hacken setzen, übernehmen, ok. GGF. sollten
auch der Besitz übernommen werden. Jetzt sollte keiner mehr Zugriff darauf
haben ausser die Admins. Nun sollte im weiteren Verlauf die
Berechtigungssetz.bat noch mal ausgeführt werden.
P.S. auf welchen Order wurde den die Freigabe gesetzt ? Die müssen meines
wissens nach alle von Hand erstellt werden.
MFG Metzger
D:\test\U500069
hast du die Gruppe der Administratoren 2mal definiert. Ich denke da wurde die
Rechte der NTFSEBENE vererbt und gleichzeitig auch kopiert.
VORDEFINIERT\AdministratorenOI)(IO)F
VORDEFINIERT\AdministratorenCI)F
OI)(IO)FVORDEFINIERT\Administratoren
CI)FCI Diesen Ordner und Unterordner
(OI)(IO) Nur Dateien
Das gleiche gilt auch für die User / Gruppe u500069 vom Rechner / Domaine SPS
SPS\u500069OI)(IO)F
SPS\u500069CI)F
OI)(IO)FSPS\u500069
CI)Fsollte doch so klappen oder?
eigentlich jaich kann aber immernoch zugreiffen mit einem anderen user...
hat der vielleicht adminrechte ?er wird dann zwar nciht in der berechtigung
aufgeführt, aber e wird wie gesagt,
automatisch besitzer des ordners, obwohl der
benutzer mit dem ich zugreife absolut nichts
mit dem ordner zu tun hat......
aufgeführt, aber e wird wie gesagt,
automatisch besitzer des ordners, obwohl der
benutzer mit dem ich zugreife absolut nichts
mit dem ordner zu tun hat......
Besitzer eines Ordners / einer Datei ist der der sie erstellt hat. Oder der der
Ihren Besitz übernehmen kann.
Schaue mal nach wie es mit den Berechtigungen innerhalb der Ordner an.
Du kannst dazu cacls nehmen oder auch folgende Methode.
Re. Maus auf Ordner, Eigenschalften, Sicherheit, Erweitert.
Dort stehen alle kopierten Rechte, vererbte Rechte, ... Schaue mal da ob
hier ""fehlerhafte"" Einträge vorhanden sind, über die die User Rechte
bekommen. Alternative kannst du natürlich auch folgendes machen
Re. Maus auf Haupt-Ordner( Test ) , Eigenschalften, Sicherheit, Erweitert.
Haken Raus bei Berechtigungne übergeordneter ... , Kopieren, alle
Berechtigungseinträge entfernen außer Administratoren. Die bearbeiten
so das die Vollzugriff haben. Jeder sollte die Berechtigung Ordner auflisten
haben, Berechtigungen für... Hacken setzen, übernehmen, ok. GGF. sollten
auch der Besitz übernommen werden. Jetzt sollte keiner mehr Zugriff darauf
haben ausser die Admins. Nun sollte im weiteren Verlauf die
Berechtigungssetz.bat noch mal ausgeführt werden.
P.S. auf welchen Order wurde den die Freigabe gesetzt ? Die müssen meines
wissens nach alle von Hand erstellt werden.
MFG Metzger
aaaalso,
ich habe jetzt nochmals alles durchgecheckt udn habe gemerkt das ich nicht mit der gruppe administratoren arbeiten darf. also habe ich einfach nur den admin genommen.
das mit dem zugriff klappt jetzt wunderbar. ich kann nur auf meinen persönlichen ordner zugreifen. wenn ich auf einen fremden ordner gehe, dor bei sicherheit - erweiter -effektive rechte prüfe gibt es kein häkchen, allerdings kann ich dennoch einfach dan den berechtigungen des ordners herumspielen....
wie kann ich das jetzt noch verhindern?
ich habe jetzt nochmals alles durchgecheckt udn habe gemerkt das ich nicht mit der gruppe administratoren arbeiten darf. also habe ich einfach nur den admin genommen.
das mit dem zugriff klappt jetzt wunderbar. ich kann nur auf meinen persönlichen ordner zugreifen. wenn ich auf einen fremden ordner gehe, dor bei sicherheit - erweiter -effektive rechte prüfe gibt es kein häkchen, allerdings kann ich dennoch einfach dan den berechtigungen des ordners herumspielen....
wie kann ich das jetzt noch verhindern?
übernimmt er die dann auch ? Denke nicht sonst hast du aber ein seltsames Serverding vorort !
Notfalls kannst du da auch bei sicherheit - erweiter - bearbeiten die "Berechtigungen ... " entfernen und ggf auch die "Attribute ..." entfernen.
Das mit der Gruppe der Administratoren kann ich nicht nachfolziehen. Bei mir klappte das immer einwandfrei ... naja.
MFG Metzger
Notfalls kannst du da auch bei sicherheit - erweiter - bearbeiten die "Berechtigungen ... " entfernen und ggf auch die "Attribute ..." entfernen.
Das mit der Gruppe der Administratoren kann ich nicht nachfolziehen. Bei mir klappte das immer einwandfrei ... naja.
MFG Metzger
