Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Reihenfolge der Berechtigungen unter XP Pro

Mitglied: Netzheimer

Netzheimer (Level 2) - Jetzt verbinden

05.02.2008, aktualisiert 06.02.2008, 10137 Aufrufe, 6 Kommentare

Stand-allone-Installation

Wie ist die Reihenfolge (Hierarchie) bei der Vergabe von Berechtigungen unter XP Pro? Ich möchte folgende Konstellation:

  • Partitioniertes (4) Laufwerk
  • Gruppen: Gruppe1, Gruppe2, ...
  • Mitglieder: Mitglied1; Mitglied2, ...

Jetzt das Problem:
Mitglied 1 und Mitglied 2 sind in der Gruppe 1
Mitglied 2 ist auch in Gruppe 2

Zugriff aufs Laufwerk:
(1) Mitglieder der Gruppe 1 und 2

Zugriff auf Ordner:
Ordner 1 (Mitglieder der Gruppe 1 und 2)
Ordner 2 (Mitglieder der Gruppe 2 NICHT)

Was geht vor? Gruppenberechtigung, Einzelberechtigung, verneinende Berechtigung?
Wie ist die Rangordnung der Berechtigungen?

Danke für eure Hilfe.
Mitglied: n4426
05.02.2008 um 15:14 Uhr
Hi,

das ist eigentlich ganz einfach.

Verweigern hat vorrang vor Erlauben.

Verweigerungsrechte sollten nur in ausnahmefällen verwendet werden (und niemals auf JEDER).

mfg
andi
Bitte warten ..
Mitglied: Netzheimer
05.02.2008 um 16:10 Uhr
Und für das Beispiel Ordner 2?

Die Gruppe 2, in der der User2 ist, darf nicht zugreifen. Für den User soll eine Einzelberechtigung eingetragen werden. Hat diese Berechtigung Vorrang vor der Gruppe oder darf er nicht, weil er in Gruppe 2 ist?
Bitte warten ..
Mitglied: snBandit
05.02.2008 um 16:23 Uhr
Genau ... bei NT-Systemen gibt es die Unterscheidung Zugriffsberechtigungen und NTFS-Berechtigungen.

Generell haben NTFS-Rechte (meistens lokal) Vorrang vor Zugriffsrechten (Netzwerk).

Dann folgende Hierarchie (1= höchstes Recht):

1. expliziete Verweigerung ... d.h. selbst wenn ein User einer Gruppe mit Vollzugriff angehört, kann ihm trotzdem dieses Recht explizit verweigert werden

2. Vollzugriff ... d.h. "Gott"-Rechte auf dem laufenden System

Danach folgen abstufend:

  • Besitz übernehmen
  • Attribute ändern
  • Ausführen
  • Ändern (Lesen und Schreiben sowie speichern und löschen)
  • Lesen und Schreiben
  • Lesen

Es empfiehlt sich meiner Meinung nach, die Zugriffsrechte d.h. die Rechte für einen Zugriff auf Ressourcen so latent wie möglich zu halten (z.B. Jeder = Vollzugriff). Dann aber die Beschränkungen mit NTFS-Rechten (über GPO's) setzen (z.B. Gruppe Marketing = Lesen und Schreiben).

Sowohl Zugriffrechte als auch NTFS-Rechte werden vom System kumulativ verwendet und dabei gilt dann die restriktivste Berechtigung. (z.B. Zugriffsberechtigung = Vollzugriff und NTFS-Berechtigung = Lesen und Schreiben ... dann gilt effektiv das Recht "Lesen und Schreiben" es ist das restriktivere von beiden).

Meine weitere Empfehlung ist die Ausrichtung der Rechte an die hierarchische Struktur im Unternehmen. (Chef = Vollzugriff , Abteilungen = Lesen, Schreiben, Ändern , Praktikanten = Lesen und Ausführen)

Des Weiteren empfehle ich einschlägige Literatur von Micro (Microsoft Knowledge Base) ... da es verschiedenste Kombo's dieser Rechte gibt. So schließt zu Beispiel das Recht "Schreiben" das Recht "Lesen" mit ein...

Gruß
snBandit
Bitte warten ..
Mitglied: n4426
05.02.2008 um 16:26 Uhr
Berechtigungen auf User haben keine vorrang gegebüber Gruppen. Darüberhinaus, sollten Berechtigungen nur in Ausnahmefällen direkt auf User vergeben werden.

In deinem Beispiel, darf einfach nur die Gruppe 2 nicht in der ACL des Ordner 2 sein (ggf. die Vererbung deaktiveren / brechen).
Bitte warten ..
Mitglied: 47674
05.02.2008 um 16:26 Uhr
Da gibt es viele Möglichkeiten.
Wichtig ist dabei der Unterschied zwischen "keinem Zugriff gewähren" (Du stellst garnichts für die Gruppe/den Benutzer unter Sicherheit ein) und "Zugriff verweigern" (Du stellst "Verweigern" für die Gruppe/den Benutzer unter Sicherheit ein).
Ausserdem Gilt die Regel "Verweigern hat Vorrang vor Zulasssen, aber direktes Recht hat Vorrang vor vererbtem Recht"


A.
Du gibst auf das Gesamte Laufwerk niemandem Berechtigungen.
Auf Ordner 1 erhält Gruppe 1 und Gruppe 2 Zugriff.
Auf Ordner 2 erhält Gruppe 1 Zugriff.

B.
Du gibst auf das Gesamte Laufwerk entsprechende Berechtigungen.
Für Ordner 1 deaktivierst du die Vererbung und gewährst Gruppe 1 und Gruppe 2 Zugriff.
Für Ordner 2 deaktivierst du die Vererbung und gewährst Gruppe 1 Zugriff.

C.
Du gibst auf das Gesamte Laufwerk für Gruppe 1 und 2 Zugriff.
Für Ordner 1 aktivierst du die Vererbung (standard).
Für Ordner 2 deaktivierst du die Vererbung und gewährst du den Zugriff für Gruppe 1.

D.
...

E.
...
Bitte warten ..
Mitglied: Netzheimer
06.02.2008 um 07:45 Uhr
Dankeschön euch allen.

Haken drunter weil´s funktioniert.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Windows Server

Durcheinander bei Berechtigung für Netzlaufwerk Freigabe (Keine Berechtigung)

gelöst Frage von SyosseWindows Server3 Kommentare

Hallo Jungs :) Soeben habe ich mein Windows Server 2016 Essential fertig konfiguriert. Darauf laufen folgende Dienste wie: Druckserver, ...

Exchange Server

Raumpostfach-Kalender Berechtigung

Frage von hornissenmannExchange Server1 Kommentar

Hallo Gemeinde, folgendes ist mir noch nicht so klar. Ich habe ein Raumpostfach angelegt (Exchange 2010) und für die ...

Exchange Server

Berechtigung auf Ressourcen

gelöst Frage von xbast1xExchange Server3 Kommentare

Hi, bisher wurden bei uns Räume als Benutzer angelegt, das habe ich nun geändert und diese direkt als Ressource ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 19 StundenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 2 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 2 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte32 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Off Topic
Darf ich ein Forum erstellen das Produkte eines Herstellers betrifft?
Frage von cyberwallOff Topic9 Kommentare

Hallo Community, ich habe da eine "rechtliche" bzw. allgemeine Frage zum erstellen von Foren. Darf ich als "normale Person" ...

DNS
SFTP über DynDNS nicht OK - über ext. IP funktioniert es
Frage von C.MorgensternDNS8 Kommentare

Hallo zusammen! Ich habe Probleme beim SFTP Zugriff auf eine Linux Maschine vom WAN aus über eine DynDNS Adresse. ...

E-Mail
Rechtssichere Archivierung von emails
Frage von gerd33E-Mail8 Kommentare

Hallo zusammen, bin gerade dabei, eine revisions- und rechtsichere email-archivierung aucf meinem Server zu projektieren. Da eigentlich nur ich ...