Unterordner kann verschoben werden obwohl für Ordner nur das Recht "Ordnerinhalt anzeigen" vergeben ist
Moin,
ich berechtige Ordner nicht erst seit heute, stehe jetzt aber irgendwie auf dem Schlauch.
Umgebung ist W2008 R2 mit AD.
Es geht ausschließlich um NTFS-Rechte, nicht um Freigaben.
Eine Ordnerstruktur soll nicht mehr verändert werden: Ordner "O1" mit den Unterordnern "O11" und "O12".
"O1" hat für die betreffende Gruppe nur das Recht "Ordnerinhalt anzeigen". In "O11" und "O12" hat die Gruppe Vollzugriff.
Korrekterweise kann ein User aus der Gruppe in "O1" nichts neu anlegen oder ändern, aber es gelingt problemlos den Ordner "O11" in "O12" hineinzuziehen.
Wie kann das sein? Verschieben ist doch auch ein Schreib- bzw. Löschzugriff - oder?
Ich habe auch die effektiven Berechtigungen des Users getestet. Auch dort steht nur "Ordnerinhalt anzeigen" bzw. die 4 detaillierteren Bezeichnungen dafür.
Und "Besitzer" ist der User natürlich auch nicht.
Henning
ich berechtige Ordner nicht erst seit heute, stehe jetzt aber irgendwie auf dem Schlauch.
Umgebung ist W2008 R2 mit AD.
Es geht ausschließlich um NTFS-Rechte, nicht um Freigaben.
Eine Ordnerstruktur soll nicht mehr verändert werden: Ordner "O1" mit den Unterordnern "O11" und "O12".
"O1" hat für die betreffende Gruppe nur das Recht "Ordnerinhalt anzeigen". In "O11" und "O12" hat die Gruppe Vollzugriff.
Korrekterweise kann ein User aus der Gruppe in "O1" nichts neu anlegen oder ändern, aber es gelingt problemlos den Ordner "O11" in "O12" hineinzuziehen.
Wie kann das sein? Verschieben ist doch auch ein Schreib- bzw. Löschzugriff - oder?
Ich habe auch die effektiven Berechtigungen des Users getestet. Auch dort steht nur "Ordnerinhalt anzeigen" bzw. die 4 detaillierteren Bezeichnungen dafür.
Und "Besitzer" ist der User natürlich auch nicht.
Henning
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 311861
Url: https://administrator.de/contentid/311861
Ausgedruckt am: 19.12.2024 um 13:12 Uhr
4 Kommentare
Neuester Kommentar
Hi,
if the user/group has full access on the folder O11 and O12 (I mean on the folder object itself) they can move move the folder.
You should give the full access right only to subfolders and files (propagation setting in advanced security dialog of O11 and O12), not the folder itself.
Regards
if the user/group has full access on the folder O11 and O12 (I mean on the folder object itself) they can move move the folder.
You should give the full access right only to subfolders and files (propagation setting in advanced security dialog of O11 and O12), not the folder itself.
Regards
Sure, you can. Add an additional entry, this time only for the folder object Create Files and Create Folders.
You can also work with denials here, but that is bad practice.
You can also work with denials here, but that is bad practice.