Hallo Leute,
irgendwie sehe ich den Wald vor lauter Bäume nicht....
Folgendes Problem
Ich habe einen neuen Server 2016 aufgesetzt und in unsere Domäne gebracht.
Die Benutzerkonten der IT Mitarbeiter sind Mitglieder der Domänen Admins.
Der Server hat eine HDD. Wurde so vom ERP Team gewünscht.
Also habe ich unter meinem Benutzerkonto eine Ordnungsstruktur angelegt. 3-4 Ebenen
Dann noch einen Ordner in dem Scripte liegen die irgendwelche ERP Dinge erledigen...
Wenn ich jetzt ein Script zum bearbeite öffne und speichere dann ist es kein Problem. Wenn mein Kollege ein Script öffnet und wieder speicher möchte, bekommt er beim speicher "zugriff verweigert"
Er ist in der Gruppe der Domänen Admins und wenn ich auf die Datei gehe und die Effektiven Berechtigungen checke, hat er Vollzugriff.
Ich habe ihm auch schon den Besitz der Dateien übertragen... Trotztem hilft es nicht.
Die Dateien wurden von einem anderen Server auf den neuen Server kopiert. Ich weiß nicht an welcher Stelle dort das verweigern Recht greift.
Wenn jemand eine Idee hat was ich noch checken kann wäre ich sehr dankbar
Seite 1 von 1
NTFS Berechtigung
Anzeige
#2
geschrieben 16. Januar 2020 - 19:44
Also die dom Admins sollten eigentlich auf alle Ordner eines servers in der Domäne Zugriff haben, insofern diese Berechtigungen nicht explizit irgendwo in den NTFS Berechtigungen entzogen wurden.
Du hast in deinem Post gar nicht erwähnt welche Berechtigungen du auf deine Ordner Hierarchie angewendet hast, oder sollen nur die dom Admins damit arbeiten? Gibt ed keine Anwender, die nur innerhalb ihrer Abteilung rechte, und vor allem keine dom admin rechte, haben?
Generell gilt für NTFS rechte, diese eher nur zu gewähren anstatt diese explizit zu verweigern, denn das macht auch nur durcheinander.
Ich betreue eine ganze Windows Landschaft mit zig Servern und ordner Freigaben und habe kein einziges mal eine verweigern Berechtigung gesetzt.
Du hast in deinem Post gar nicht erwähnt welche Berechtigungen du auf deine Ordner Hierarchie angewendet hast, oder sollen nur die dom Admins damit arbeiten? Gibt ed keine Anwender, die nur innerhalb ihrer Abteilung rechte, und vor allem keine dom admin rechte, haben?
Generell gilt für NTFS rechte, diese eher nur zu gewähren anstatt diese explizit zu verweigern, denn das macht auch nur durcheinander.
Ich betreue eine ganze Windows Landschaft mit zig Servern und ordner Freigaben und habe kein einziges mal eine verweigern Berechtigung gesetzt.
... aber bitte vorher ein Backup machen! ;-)
#3
geschrieben 16. Januar 2020 - 20:09
Müsste man mal mittest icacls.exe in der Konsole sich die Berechtigungen anzeigen lassen.
Ein Nutzer in der Gruppe der Administratoren hat z.B. auch keinen Zugriff auf einen Ordner oder Datei, wenn dem Nutzer selber die Rechte entzogenen wurden. Verweigern kommt immer vor Erlauben. Wenn eine Berechtigung für den Benutzer den Zugriff explizit verweigert, dann steht das über der Erlaubnis der Gruppe der Administratoren.
Administrator bzw. die Benutzer in der Gruppe Administratoren sind auch nur normale Benutzer, denen man die Zugriffsrechte über die ACL einschränken oder ganz entziehen kann.
Ein Nutzer in der Gruppe der Administratoren hat z.B. auch keinen Zugriff auf einen Ordner oder Datei, wenn dem Nutzer selber die Rechte entzogenen wurden. Verweigern kommt immer vor Erlauben. Wenn eine Berechtigung für den Benutzer den Zugriff explizit verweigert, dann steht das über der Erlaubnis der Gruppe der Administratoren.
Administrator bzw. die Benutzer in der Gruppe Administratoren sind auch nur normale Benutzer, denen man die Zugriffsrechte über die ACL einschränken oder ganz entziehen kann.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#4
geschrieben 17. Januar 2020 - 09:02
Hallo und danke für eure Antworten,
Es geht im Prinzip nur um einen Ordner.
Der Ordner FTP_Scripts liegt auf C:
Besitzer ist "Tom"
Eigenschaften Sicherheit:
Ersteller Besitzer: Spezielle Berechtigung
System: Voll
Tom: Spezielle Berechtigung
DomAdmins: Voll
Lokal Admins: Voll
Lokale Benutzer: Lesen/Ausführen Inhalt anzeigen, Lesen, Spezielle Berechtigung
Sicherheit Erweitert:
System: Voll
Lokal Admins: Voll
Lokale Benutzer: Lesen, Ausführen
Lokale Benutzer: Speziell
Tom: Voll
Ersteller-Besitzer: Voll
DomAdmins: Voll
Auswertung effektiver Zugriff Tom:
Vollzugriff ohne Einschränkungen
Vererbung ist aktiv.
Berechtigung Dateien:
System: Voll
Markus: Voll
DomAdmins: Voll
Lokale Admins: Voll
Benutzer Lokal: Lesen, Ausführen, Lesen
Komischerweise tauche ich (Markus) in den Berechtigungen auf und nicht mehr Tom
Auswertung effektiver Zugriff Tom:
Vollzugriff ohne Einschränkungen
Irgendetwas läuft da schief....
Es geht im Prinzip nur um einen Ordner.
Der Ordner FTP_Scripts liegt auf C:
Besitzer ist "Tom"
Eigenschaften Sicherheit:
Ersteller Besitzer: Spezielle Berechtigung
System: Voll
Tom: Spezielle Berechtigung
DomAdmins: Voll
Lokal Admins: Voll
Lokale Benutzer: Lesen/Ausführen Inhalt anzeigen, Lesen, Spezielle Berechtigung
Sicherheit Erweitert:
System: Voll
Lokal Admins: Voll
Lokale Benutzer: Lesen, Ausführen
Lokale Benutzer: Speziell
Tom: Voll
Ersteller-Besitzer: Voll
DomAdmins: Voll
Auswertung effektiver Zugriff Tom:
Vollzugriff ohne Einschränkungen
Vererbung ist aktiv.
Berechtigung Dateien:
System: Voll
Markus: Voll
DomAdmins: Voll
Lokale Admins: Voll
Benutzer Lokal: Lesen, Ausführen, Lesen
Komischerweise tauche ich (Markus) in den Berechtigungen auf und nicht mehr Tom
Auswertung effektiver Zugriff Tom:
Vollzugriff ohne Einschränkungen
Irgendetwas läuft da schief....
#5
geschrieben 22. Januar 2020 - 11:18
Das passiert schnell wenn er noch irgendwo als "Benutzer" oder als Mitglied einer anderen Gruppe eingetragen ist.
Ebenso wichtig: "Verweigern" hat Vorrang. Ein Kreuz dort kann dir alles verhauen (auch wenn andere Benutzer(-Gruppen) was anderes festlegen.
Daher bin ich ehr ein Freund davon, auf Benutzerebene nichts zu ändern, Benutzer in Gruppen zu stecken und Finger weg von "Verweigern"... ist nichts angekreuzt, so wird es auch nicht "erlaubt", kann aber durch andere Gruppen-Zugehörigkeiten noch geändert werden.
Ebenso wichtig: "Verweigern" hat Vorrang. Ein Kreuz dort kann dir alles verhauen (auch wenn andere Benutzer(-Gruppen) was anderes festlegen.
Daher bin ich ehr ein Freund davon, auf Benutzerebene nichts zu ändern, Benutzer in Gruppen zu stecken und Finger weg von "Verweigern"... ist nichts angekreuzt, so wird es auch nicht "erlaubt", kann aber durch andere Gruppen-Zugehörigkeiten noch geändert werden.
- ← Windows Server 2016 erlaubt nur Verbindungen von zuvor (via RDP) authe
- Windows Server 2016 & Server 2019
- Auf mindestens einem Datenträger steht nicht genügend speicherplatz zu →
Thema verteilen:
Seite 1 von 1