[Alias]

Hallo

Ich habe ein frisch installiertes XP-Pro-SP3 System/NTFS

Wenn ich mit einem eingeschränkten User ein Verzeichnis erstelle möchte ich das auch nur dieser User da rein- und draufschauen kann.
Das klappt aber so nicht und scheint auch grundsätzlich so zu sein das jeder eingeschränkte User auf Ordner die von anderen eingeschränkten Usern erstellt worden sind auch zugreifen kann.

Wo ist denn mein Denkfehler?
Wie kann ich gewährleisten das nur der Ersteller/Besitzer eines Ordners dessen Inhalt ansehen und bearbeiten kann?

Danke Alias

Dieser Beitrag wurde von Alias bearbeitet: 13. Februar 2009 - 15:20

[timmy]

Am einfachsten wäre es, wenn der neue Ordner unter
C.\Dokumente und Einstellungen\Username
angelegt wird.
Dann sollte nur der User und der Admin Zugriff auf diesen Ordner haben.

[Lofote]

Schreib doch einfach mal, was du konfiguriert hast, weil funktioniert tut das schon.

[Alias]

Hallo

@timmy
Das ist mit klar, ist aber nicht angedacht. Zumal das bedeuten würde das alles auf C im Profilverzeichnis liegt.

@Lofote
Ich habe nichts konfiguriert.

Ich habe XP-Pro auf C, mit NTFS formatiert, installiert. D wurde nach der Installation mit NTFS formatiert.
Aktuelle Updates sind eingespielt. Was soll ich an einer frischen XP-Pro Installation großartig konfigurieren?

Anschließend habe ich zwei eingeschränkte Testuser erstellt. Test-1 und Test-2
Wenn ich nun auf D mit Test-1 ein Verzeichnis erstelle kann ich mit Test-2 ins Verz. gehen und die Dateien lesen.
Das möchte ich nicht.
Es soll nur der Ersteller/Besitzer des Verzeichnisses Zugang haben.
Also so wie die Profile unter C:......

Teste selber mal und erstelle mit einem eingeschränkten User ein Verzeichnis auf Bsp. D:
Dann schau dir mal die Rechte/Sicherheitsangaben dieses erstellten und des erstellenden Userprofilverzeichnisses an.

Alias

[timmy]

Konnte man bei der Rechtevergabe nicht auch Unterordner einbeziehen?
Dann könntest du ja für jeden Benutzer z.B. auf D einen Ordner anlegen und dort die Zugriffsrechte einstellen.
Legt ein User in seinem Ordner dann einen Unterordner an, sollte dieser dann auch vor dem Zugriff des anderen Users geschützt sein.

[Sturmovik]

Du kannst auch das Userverzeichnis auf D: verschieben, falls dir das reicht
Ansonsten mußt du dem Benutzer "Jeder" das Recht, auf D zu arbeiten, entziehen, dann müßte es eigentlich klappen.

Gib aber sicherheitshalber den "Administratoren" Vollzugriff, falls was schiefgeht

[karli33]

Zitat (Alias: 13.02.2009, 17:29)

...
Was soll ich an einer frischen XP-Pro Installation großartig konfigurieren?

In den "Ordneroptionen" unter "Ansicht" die "Einfache Dateifreigabe..." deaktivieren, dann kannst du die Rechte für jeden Benutzer so einrichten, wie es dir gefällt.

k..33

[poundhn]

Genau so, wie Karli sagt. Nach Deaktivierung der einfachen Dateifreigabe über das Register Sicherheit nur den Administratoren, dem Benutzer selbst (Benutzername!), der Gruppe Ersteller-Besitzer und dem System Vollzugriff erteilen. Allen anderen bekommen keinen Zugriff. Dann können sie noch nicht mal die Verzeichnisinhalte lesen.

[Alias]

Hallo

Ich denke ich habe es inzwischen verstanden und hinbekommen


@karli33 - poundhn
Ihr habt Recht, und das habe ich auch schon gemacht.
Merkwürdigerweise mache ich das schon immer so nach einer Installation ohne großartig drüber nachzudenken.

Aber zum Thema.

Die HDD hat für folgende Gruppen/Benutzer folgende Rechte:
Admins
Benutzer
Ersteller-Besitzer
Jeder
System

Ein mit einem eingeschränten Nutzer erstellter Ordner für folgende Gruppen/Benutzer folgende Rechte:
Admins
Benutzer(Rechnername\Benutzer)
Ersteller-Besitzer
User1(Rechnername\User1)
System

Da "Berechtigungen übergeordneter Objekte auf untergeordnete Objekte vererbbar"
für die HDD standardmäßig bzw. generell aktiv ist, werden die Rechte der HDD
generell auf jeden erstellten Ordner weitervererbt.

Ich habe die Rechte insoweit bearbeitet.

Also Eigenschaften - Sicherheit - Erweitert
Hier Haken aus "Berechtigungen übergeordneter Objekte ..." raus
Im folgenden Fenster auf Kopieren.
Anschließend den Berechtigungseintrag "Benutzer(Rechnername\Benutzer)" entfernt.

Nun hat kein anderer eingeschränkter Nutzer mehr Zugriff auf diesen Ordner.

Warum bin ich da eigentlich drauf gekommen?
Ich wollte eigentlich nur die "Eigenen Dateien" der eingeschränkten Nutzer auf diesem Rechner auf D: verschieben.
Das klappt ja auch mit Wineigenen Bordmitteln soweit gut.

ABER .....

So siehts aus:

Rechte Namens/Profilverzeichnis unter C:\Dokumente und Einstellungen\User1
Admins
System
User1(Rechnername\User1)

Der darin enthaltene Ordner "Eigene Dateien" ebenso.

Benutzt man nun die Wineigene Funktion um die Eigenen Dateien zu verschieben, passiert folgendes:
Es wird im folgenden Dialog ein Ordner erstellt.
Dieser bekommt die Vorgaben des übergeordneten Objekts, in diesem Fall die HDD, vererbt, siehe oben.

Und die eigentlich restriktiven Einstellungen des ursprünglichen Ordners sind dahin.
Somit kann nun jeder eingeschränte User in diesen Ordner reinschauen und Dateien anschauen.

Dies gilt ebenso für unter ADMIN Rechten erstellte Ordner.
Auch hier kann jeder angemeldete User reinschauen.

FAZIT
Letztendlich bleibt, soweit ich das getestet habe nur folgende Möglichkeiten um eingeschränkten Nutzern
den Zutritt zu Ordnern anderer eingeschränkter Nutzer zu verwehren:

Manuelles bearbeiten der Rechte nach erstellen eines Ordners im Wurzelverzeichnis einer Platte.
Tool, ala Totalcommander, welches in der Lage ist die NTFS permissions mit zu kopieren.

An die grundsätzlichen Rechte Einstellungen der HDD habe ich micht rangetraut.
Auch habe ich weiter in den ?Policies oder sonstirgenwo nachgeschaut, da ich für mich eine Lösung gefunden habe.
Was mir bleibt nach den Stunden die ich jetzt mit dem Scheiß ääähhh dieser Thematik verbracht habe ist die Erkenntnis
das das man bei NTFS viel mehr nachdenken sollte als einem lieb ist.
Und der Grundsatz das die Rechte in den Voreinstellungen auf Vererbbarkeit basieren.

Sollte irgendetwas nicht stimmen was ich jetzt hier geschrieben habe, dann bitte Info.
Auch wenn es mir widerstrebt mich des Themas weiter zu widmen, möchte doch nicht das ich unrichtige, falsche Sachen behalte
und diese hier so geschrieben weitergebe.
Das sich nicht jeder mit dem NZTFS Rechte Kramzeugs auskennt kann ich verstehen und noch mehr wenn keiner Lust drauf hat.
Bei mir ist es jetzt 10 Jahre her, noch unter NT, das ich mich mit dem zeugs intensiver auseinander setzen mußte.

Danke an jeden der hier seine Gedanken eingebracht hat bzw. eventuell noch einbringen möchte.


Grüße
Alias

PS:
FAT32 und wöchentliche Datensicherung + Images waren einfacher