Fehler in Artikel?

Sodian · 19.09.2007

Hallo,

ich habe den Artikel Windows Server 2003 - Konfiguration als Domänencontroller & weitere Möglichkeiten mit Interesse gelesen und dabei etwas entdeckt, das ich hier zur Diskussion stellen möchte.

Den Text findet ihr hier: http://www.wintotal.de/Artikel/w2003server4/w2003server4.php

In diesem geht es um die Erstellung von Freigaben für serverseitig gespeicherte Profile. Der Autor empfiehlt, die Freigabeberechtigung für Domänen-Admins und Domänen-Benutzer auf Vollzugriff zu stellen und danach Benutzer über die Verwaltung des Domänencontrollers anzulegen.

Dazu habe ich folgende Fragen:

1. Ist es denn überhaupt für den Domänen-Benutzer notwendig, diesem Vollzugriff zu geben? Eigentlich müsste doch Ändern und Lesen ausreichen?

2. Warum fehlt in diesem Artikel die Erwähnung von NTFS-Rechten? Wenn die Vererbung der NTFS-Rechte für den freizugebenden Ordner nicht deaktiviert wird, dürfte doch jeder User durch die Verzeichnisse der anderen browsen können, oder nicht?

In diesem Zusammenhang vielleicht auch für andere interessant:

3. Wie organisiert ihr die Freigabe-Berechtigungen und die NTFS-Rechte der Profil- und Basisverzeichnisse eurer Domänen-Benutzer?

Grüße,

Sodian

Marco · 01.10.2007

Sodian schrieb:
1. Ist es denn überhaupt für den Domänen-Benutzer notwendig, diesem Vollzugriff zu geben? Eigentlich müsste doch Ändern und Lesen ausreichen?

2. Warum fehlt in diesem Artikel die Erwähnung von NTFS-Rechten? Wenn die Vererbung der NTFS-Rechte für den freizugebenden Ordner nicht deaktiviert wird, dürfte doch jeder User durch die Verzeichnisse der anderen browsen können, oder nicht?

zu 1. Ja, es ist notwendig, da der Admin im Profil zuerst keine Rechte hat.
Wird ein Profil angelegt erstellt Windows es mit den Vollzugriffsrechten des Users als Besitzer.
zu 2. Auf diese Benutzer wird doch gar nicht vererbt, das hat auch niemand geschrieben.
Da gehts nur darum das in den Ordner lesend zugegriffen werden kann, die Unterordner sind wieder gesperrt, auf das eigene Profil ist wieder schreibzugriff. Es ist richtig so wies im Artikel steht, spiel es einfach nach.

Sodian · 02.10.2007

Erstmal vielen Dank für Deine Antwort.

Marco schrieb:
zu 1. Ja, es ist notwendig, da der Admin im Profil zuerst keine Rechte hat.
Wird ein Profil angelegt erstellt Windows es mit den Vollzugriffsrechten des Users als Besitzer.

Das leuchtet mir nicht ein. Die NTFS-Rechte werden doch im Profilverzeichnis ohnehin auf Vollzugriff gesetzt und das unabhängig davon, ob die Freigabeberechtigungen auf Vollzugriff für die Domänen-Benutzer stehen oder nicht.

Marco schrieb:
zu 2. Auf diese Benutzer wird doch gar nicht vererbt, das hat auch niemand geschrieben.

Die Vererbung der NTFS-Rechte ist per Standard auf einem Windows-Server aktiviert. Deaktiviert man sie nicht, dann werden auch die Rechte des obersten Ordners auf die darunter befindlichen verbreitet.

Marco schrieb:
Da gehts nur darum das in den Ordner lesend zugegriffen werden kann, die Unterordner sind wieder gesperrt, auf das eigene Profil ist wieder schreibzugriff. Es ist richtig so wies im Artikel steht, spiel es einfach nach.

Scherzkeks, warum habe ich mir wohl die Mühe gemacht, diese Info hier hinein zu schreiben? Ich habe es bereits mehrfach getestet und das Ergebnis ist immer das selbe: die in der Anleitung beschriebene Konfiguration ist unsicher!

Dabei beziehe ich mich weniger auf den Profilordner, sondern auf den Basisordner. Für den Profilordner setzt Windows die NTFS-Rechte korrekt und das wie gesagt auch unabhängig von den Freigabeberechtigungen. Der Basisordner erbt jedoch die Standard-NTFS-Rechte des obersten Ordners und diese lassen das Lesen aller Ressourcen zu. D.h. dass wenn man sich nach der Anleitung richtet, die Basisordner aller Benutzer von allen Benutzern gelesen werden können.

Spiel es doch einfach nach.

Marco · 03.10.2007

zu 1. Die werden nur für den Benutzer auf Vollzugriff gesetzt, und dem Systemkonto. Der Admin hat ohne Besitzübernahme keine Berechtigung. Ich weiss nicht was du verkonfiguriert hast, aber bei meinen Installationen ist das immer so.

zu 2. Standardmässig macht das der Server so, Vererbung ist immer aktiviert. Das soll aber im Profil nicht so sein, deshalb mein Hinweis.

zu 3. Ich rede aber vom Profilordner, nicht vom Basisordner. Der Basisordner muss bzw. soll vorher per Hand konfiguriert werden, damit die Vererbung deaktiviert wird.

Sodian · 03.10.2007

Jetzt kommen wir so langsam auf einen Nenner... denn dass der Basisordner von Hand konfiguriert werden, d.h. die Vererbung der NTFS-Rechte von deaktiviert werden muss, davon steht in der Anleitung nichts. Viel mehr steht da:

Das wiederholt ihr nun mit dem Verzeichnis User und setzt die Berechtigungen genau wie auch für das Profilverzeichnis.

Und eben das führt dazu, dass alle Benutzer im Netzwerk zumindest Leserechte auf alle Basisordner aller User haben.

Marco · 08.10.2007

Auf diese Basisordner haben sie auch Leserechte, aber nicht in die Ordner. Das ist aber auch die NTFS-Struktur von Microsoft. Du kannst das mit einer zusätzlichen Software von Microsoft umgehen, so das der User nur noch sein Basisverzeichnis sieht. Oder alle Ordner mit einem $ Zeichen versehen.

Sodian · 09.10.2007

Marco schrieb:
Auf diese Basisordner haben sie auch Leserechte, aber nicht in die Ordner. Das ist aber auch die NTFS-Struktur von Microsoft.

Natürlich können die Benutzer alle Basisordner mit allen darin enthaltenen Ressourcen durchsuchen. ein NTFS-Laufwerk weist allen Benutzern diese Rechte zu und vererbt sie automatisch an alle Ordner und Dateien im Laufwerk.

Marco schrieb:
Du kannst das mit einer zusätzlichen Software von Microsoft umgehen, so das der User nur noch sein Basisverzeichnis sieht. Oder alle Ordner mit einem $ Zeichen versehen.

Du meinst sicher ABE, oder? Das macht aber keinen Sinn, denn alle Benutzer haben ja Rechte für diese Ordner, also sehen sie sie auch. Auch das Verstecken von Freigaben ergibt keinen großen Sinn, denn in einer Exchange-Umgebung kann man ja leicht den Anmeldenamen anderer User erraten und gerade wenn man wie in der Anleitung angegeben %username% als Ordnername verwendet, kann man sich das Verstecken auch gleich sparen.

Nur um das nochmal klarzustellen: ich suche hier nicht nach einer Lösung, denn ich weiß ja wie man es richtig macht. Ich wollte nur andere Leser der Anleitung darauf hinweisen, dass das Verwenden der Anleitung Gefahren in sich trägt, die im privaten Umfeld ärgerlich, in geschäftlichen Kreisen gefährlich sind.

Fehler in Artikel?

Sodian

Marco

Sodian

Marco

Sodian

Marco

Sodian

Fehler in Artikel?

ANGEBOTE & SPONSOREN

Neueste Beiträge

Neueste Themen

Statistik des Forums