3
Verweigerung in ACL ohne Wrkung
Hallo miteinander,
ich habe ne Verständnisfrage zur Verweigerung in ACL's.
Ich wollte meinen Usern auf den Fileservern verbieten die Berechtigungen zu ändern oder den Besitz von Dateien zu übernehmen.
Da die User je nach Abteilung auf einen oder mehrere Fileserver zugriefen können habe ich mir kurzerhand eine Gruppe erstellt die alle User beinhaltet.
Dann habe ich auf dem Rootvereichnis der Platten diese Gruppen hinzugefügt und ihnen die beiden oben genannten Rechte verweigert.
Das vererbe ich dann nach unten weiter.
Damit, dachte ich mir, kann ich dass den Usern verbieten auch wenn sie Vollzugriff auf ihr eigenes Verzeichnis haben. Das macht mir die Einstellung der Zugriffsrechte einfacher.
Das tolle ist nun, die Vererbung funktioniert und die User können es so wirklich nicht machen.
Das blöde ist, der User kann die Vererbung einfach deaktivieren und diese Gruppe damit rausschmeißen und hat somit wieder die Berechtigung alles zu "verstellen".
Ist das denn wirklich so einfach auszuheben oder hab ich da irgendwo nen Denkfehler.
Weil wenn das so ist dann ist ja das komplette NTFS-System für den Arsch.
Ich hoffe das mir da einer nen Tip zu geben kann oder vielleicht ne andere Methode hat wie ich das absichern kann.
Gruß
Beowulf
ich habe ne Verständnisfrage zur Verweigerung in ACL's.
Ich wollte meinen Usern auf den Fileservern verbieten die Berechtigungen zu ändern oder den Besitz von Dateien zu übernehmen.
Da die User je nach Abteilung auf einen oder mehrere Fileserver zugriefen können habe ich mir kurzerhand eine Gruppe erstellt die alle User beinhaltet.
Dann habe ich auf dem Rootvereichnis der Platten diese Gruppen hinzugefügt und ihnen die beiden oben genannten Rechte verweigert.
Das vererbe ich dann nach unten weiter.
Damit, dachte ich mir, kann ich dass den Usern verbieten auch wenn sie Vollzugriff auf ihr eigenes Verzeichnis haben. Das macht mir die Einstellung der Zugriffsrechte einfacher.
Das tolle ist nun, die Vererbung funktioniert und die User können es so wirklich nicht machen.
Das blöde ist, der User kann die Vererbung einfach deaktivieren und diese Gruppe damit rausschmeißen und hat somit wieder die Berechtigung alles zu "verstellen".
Ist das denn wirklich so einfach auszuheben oder hab ich da irgendwo nen Denkfehler.
Weil wenn das so ist dann ist ja das komplette NTFS-System für den Arsch.
Ich hoffe das mir da einer nen Tip zu geben kann oder vielleicht ne andere Methode hat wie ich das absichern kann.
Gruß
Beowulf
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 106085
Url: https://administrator.de/contentid/106085
Ausgedruckt am: 20.11.2024 um 00:11 Uhr
3 Kommentare
Neuester Kommentar
Hi Beowulf,
irgendwo hast Du einen Fehler, mit Sicherheit. Nützlich wäre noch zu wissen, wie die User zugreifen. z.b. Share in der dritten Ebene oder ganz oben. Warum hast Du eine extra Grupp erstellt? Du könntest doch die Berechtigung auf die Domänen-User legen. Überhaupt, was haben denn Deine Domänen-User für Rechte? In welchen Gruppren stecken denn die User, die das aushebeln können?
Fragen über Fragen
gruss orsini
irgendwo hast Du einen Fehler, mit Sicherheit. Nützlich wäre noch zu wissen, wie die User zugreifen. z.b. Share in der dritten Ebene oder ganz oben. Warum hast Du eine extra Grupp erstellt? Du könntest doch die Berechtigung auf die Domänen-User legen. Überhaupt, was haben denn Deine Domänen-User für Rechte? In welchen Gruppren stecken denn die User, die das aushebeln können?
Fragen über Fragen
gruss orsini
Ich kenne Problem und Auflösung, denn ich bin auch einmal darüber gefallen. Der Knackpunkt ist, dass man als Besitzer eines Ordners immer auch die Rechte ändern kann, selbst, wenn es einem verweigert wird - hier geht verweigern nicht vor. Dies gilt (und ich denke, den Fall hast auch Du vor Dir) SOFERN die Freigaberechte für Dich/Deine Gruppe Vollzugriff zulassen.
Lösung: Freigaberechte auf jeder: ändern und nur Admins: Vollzugriff setzen - dann endlich kannst Du mit den NTFS-Rechten dieses Verhalten wie gewünscht zunichte machen.
Lösung: Freigaberechte auf jeder: ändern und nur Admins: Vollzugriff setzen - dann endlich kannst Du mit den NTFS-Rechten dieses Verhalten wie gewünscht zunichte machen.
Servus,
danke für die Tipps. Genau das war mein Denkfehler. Ich dachte wenn man bei ner Freigabe nur Ändern setzt, das man dann nicht löschen darf.
Danke nochmals.
Gruß
Beowulf
danke für die Tipps. Genau das war mein Denkfehler. Ich dachte wenn man bei ner Freigabe nur Ändern setzt, das man dann nicht löschen darf.
Danke nochmals.
Gruß
Beowulf
