8
Schreibrecht auf Netzwerkpfad obwohl keine Berechtigung erteilt
Hallo zusammen,
ich komme mit meiner Problematik nicht weiter.
Auf unserem Dataserver (Win SRV 2012R2) existiert ein Verzeichnis X. Auf dieses Verzeichnis haben 4 Berechtigungsgruppen Lese bzw. Schreibzugriff. Generell hat die Gruppe "ALLE_MA" nur Lesezugriff.
Es ist aufgefallen, dass auch Personen die in keiner Gruppe für Schreibberechtigung eingetragen sind, dort Dateien löschen und anlegen können.
- Ich habe die Berechtigungsgruppen überprüft - i.o
- Mitglieder der Berechtitungsgruppen überprüft - i.o
- Erweiterte Freigabe nicht vorhanden
Die Vererbung ist aktiviert, aber auch auf den übergeordneten Ordner sind die gleichen Berechtigungsgruppen.
Ideen?
Gruß
ich komme mit meiner Problematik nicht weiter.
Auf unserem Dataserver (Win SRV 2012R2) existiert ein Verzeichnis X. Auf dieses Verzeichnis haben 4 Berechtigungsgruppen Lese bzw. Schreibzugriff. Generell hat die Gruppe "ALLE_MA" nur Lesezugriff.
Es ist aufgefallen, dass auch Personen die in keiner Gruppe für Schreibberechtigung eingetragen sind, dort Dateien löschen und anlegen können.
- Ich habe die Berechtigungsgruppen überprüft - i.o
- Mitglieder der Berechtitungsgruppen überprüft - i.o
- Erweiterte Freigabe nicht vorhanden
Die Vererbung ist aktiviert, aber auch auf den übergeordneten Ordner sind die gleichen Berechtigungsgruppen.
Ideen?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 308003
Url: https://administrator.de/contentid/308003
Printed on: April 19, 2024 at 06:04 o'clock
8 Comments
Latest comment
Hi,
poste hier doch mal eine Ausgabe von CACLS für diesen Ordner.
E.
poste hier doch mal eine Ausgabe von CACLS für diesen Ordner.
E.
Hallo emeriks,
dort sind genau die 4, welche ich auch im Explorer sehe.
dort sind genau die 4, welche ich auch im Explorer sehe.
Sehr schön .... Dann poste es doch hier. Kanst ja die Namen anonymisieren.
Hier der Auszug. Ich bin jetzt noch eine Ebene tiefer gegangen, hier ist mir aufgefallen, dass "RP" keine Berechtigungen haben dürfte.
VERZEICHNIS XXX
OI)(CI)(ID)C
ITOI)(CI)(ID)F
MitarbeiterCI)(ID)R
READallOI)(CI)(ID)R
VORDEFINIERT\AdministratorenOI)(CI)(ID)F
NT-AUTORITŽT\SYSTEMOI)(CI)(ID)F
rpID)F
VERZEICHNIS XXX
OI)(CI)(ID)CIT
OI)(CI)(ID)FMitarbeiter
CI)(ID)RREADall
OI)(CI)(ID)RVORDEFINIERT\Administratoren
OI)(CI)(ID)FNT-AUTORITŽT\SYSTEM
OI)(CI)(ID)Frp
ID)F
OK, danke.
Ein einfacher Weg, sich die Gruppen anzeigen zu lassen, in welchem ein Benutzer Mitglied ist, ist
Wenn Du ausschließen kannst, dass es keine Verschachtelung über die "VORDEFINIERT\Administratoren" gibt, dann kannst Du das auch mit der Anmeldung lokal am PC testen.
Eine andere Möglichkeit, die effektive Gruppenmitgliedschaft anzuzeigen wäre WHOAMI.exe.
- Was bekommst Du unter "effektive Berechtigungen" für einen der betreffenden Benutzer, welche dort nur irrtümlich Rechte haben, angezeigt? Nur-Lesen, Ändern, Vollzugriff?
- Bist Du sicher, dass ein solcher betreffender Benutzer nicht über irgendeine Gruppenverschachtelung das Schreibrecht erbt?
Ein einfacher Weg, sich die Gruppen anzeigen zu lassen, in welchem ein Benutzer Mitglied ist, ist
- diesen lokal am Fileserver anmelden
- "gpresult /r" ausführen
Wenn Du ausschließen kannst, dass es keine Verschachtelung über die "VORDEFINIERT\Administratoren" gibt, dann kannst Du das auch mit der Anmeldung lokal am PC testen.
Eine andere Möglichkeit, die effektive Gruppenmitgliedschaft anzuzeigen wäre WHOAMI.exe.
Zu 1.
Vollzugriff wird angezeigt
2. Ja, ich habe alles doppelt gecheckt, es gibt keine GPO und keine Vererbung in der ich einen Fehler gefunden habe.
Gpresult ist eine gute Idee, das werde ich mal testen.
Gruß
Vollzugriff wird angezeigt
2. Ja, ich habe alles doppelt gecheckt, es gibt keine GPO und keine Vererbung in der ich einen Fehler gefunden habe.
Gpresult ist eine gute Idee, das werde ich mal testen.
Gruß
2. Ja, ich habe alles doppelt gecheckt, es gibt keine GPO und keine Vererbung in der ich einen Fehler gefunden habe.
Du hast die Frage falsch verstanden. Es geht nicht um GPO und/oder Vererbung. Sondern um ungeplante/unberücksichtigte indirekte Gruppenmitgliedschaften durch Verschachtelung.
Ich habe den Fehler gefunden.
Auf dem Hauptordner waren zwei Gruppen
Server\Benutzer LESEN
Server\Benutzer SPEZIELL <- Diese Gruppe habe ich entfernt, und nochmal alle Ordner mit den Berechtigungen vererbt. Nun haut wieder alles hin!
Danke dir emeriks.
Auf dem Hauptordner waren zwei Gruppen
Server\Benutzer LESEN
Server\Benutzer SPEZIELL <- Diese Gruppe habe ich entfernt, und nochmal alle Ordner mit den Berechtigungen vererbt. Nun haut wieder alles hin!
Danke dir emeriks.
