Fehler in Artikel?

Dieses Thema Fehler in Artikel? im Forum "Netzwerk" wurde erstellt von Sodian, 19. Sep. 2007.

Thema: Fehler in Artikel? Hallo, ich habe den Artikel Windows Server 2003 - Konfiguration als Domänencontroller & weitere Möglichkeiten...

  1. Hallo,

    ich habe den Artikel Windows Server 2003 - Konfiguration als Domänencontroller & weitere Möglichkeiten mit Interesse gelesen und dabei etwas entdeckt, das ich hier zur Diskussion stellen möchte.

    Den Text findet ihr hier: http://www.wintotal.de/Artikel/w2003server4/w2003server4.php

    In diesem geht es um die Erstellung von Freigaben für serverseitig gespeicherte Profile. Der Autor empfiehlt, die Freigabeberechtigung für Domänen-Admins und Domänen-Benutzer auf Vollzugriff zu stellen und danach Benutzer über die Verwaltung des Domänencontrollers anzulegen.

    Dazu habe ich folgende Fragen:

    1. Ist es denn überhaupt für den Domänen-Benutzer notwendig, diesem Vollzugriff zu geben? Eigentlich müsste doch Ändern und Lesen ausreichen?

    2. Warum fehlt in diesem Artikel die Erwähnung von NTFS-Rechten? Wenn die Vererbung der NTFS-Rechte für den freizugebenden Ordner nicht deaktiviert wird, dürfte doch jeder User durch die Verzeichnisse der anderen browsen können, oder nicht?

    In diesem Zusammenhang vielleicht auch für andere interessant:

    3. Wie organisiert ihr die Freigabe-Berechtigungen und die NTFS-Rechte der Profil- und Basisverzeichnisse eurer Domänen-Benutzer?

    Grüße,

    Sodian
     
  2. zu 1. Ja, es ist notwendig, da der Admin im Profil zuerst keine Rechte hat.
    Wird ein Profil angelegt erstellt Windows es mit den Vollzugriffsrechten des Users als Besitzer.
    zu 2. Auf diese Benutzer wird doch gar nicht vererbt, das hat auch niemand geschrieben.
    Da gehts nur darum das in den Ordner lesend zugegriffen werden kann, die Unterordner sind wieder gesperrt, auf das eigene Profil ist wieder schreibzugriff. Es ist richtig so wies im Artikel steht, spiel es einfach nach.
     
  3. Erstmal vielen Dank für Deine Antwort.

    Das leuchtet mir nicht ein. Die NTFS-Rechte werden doch im Profilverzeichnis ohnehin auf Vollzugriff gesetzt und das unabhängig davon, ob die Freigabeberechtigungen auf Vollzugriff für die Domänen-Benutzer stehen oder nicht.

    Die Vererbung der NTFS-Rechte ist per Standard auf einem Windows-Server aktiviert. Deaktiviert man sie nicht, dann werden auch die Rechte des obersten Ordners auf die darunter befindlichen verbreitet.

    Scherzkeks, warum habe ich mir wohl die Mühe gemacht, diese Info hier hinein zu schreiben? Ich habe es bereits mehrfach getestet und das Ergebnis ist immer das selbe: die in der Anleitung beschriebene Konfiguration ist unsicher!

    Dabei beziehe ich mich weniger auf den Profilordner, sondern auf den Basisordner. Für den Profilordner setzt Windows die NTFS-Rechte korrekt und das wie gesagt auch unabhängig von den Freigabeberechtigungen. Der Basisordner erbt jedoch die Standard-NTFS-Rechte des obersten Ordners und diese lassen das Lesen aller Ressourcen zu. D.h. dass wenn man sich nach der Anleitung richtet, die Basisordner aller Benutzer von allen Benutzern gelesen werden können.

    Spiel es doch einfach nach. ;)
     
  4. zu 1. Die werden nur für den Benutzer auf Vollzugriff gesetzt, und dem Systemkonto. Der Admin hat ohne Besitzübernahme keine Berechtigung. Ich weiss nicht was du verkonfiguriert hast, aber bei meinen Installationen ist das immer so.

    zu 2. Standardmässig macht das der Server so, Vererbung ist immer aktiviert. Das soll aber im Profil nicht so sein, deshalb mein Hinweis.

    zu 3. Ich rede aber vom Profilordner, nicht vom Basisordner. Der Basisordner muss bzw. soll vorher per Hand konfiguriert werden, damit die Vererbung deaktiviert wird.
     
  5. Jetzt kommen wir so langsam auf einen Nenner... denn dass der Basisordner von Hand konfiguriert werden, d.h. die Vererbung der NTFS-Rechte von deaktiviert werden muss, davon steht in der Anleitung nichts. Viel mehr steht da:

    Und eben das führt dazu, dass alle Benutzer im Netzwerk zumindest Leserechte auf alle Basisordner aller User haben.
     
  6. Auf diese Basisordner haben sie auch Leserechte, aber nicht in die Ordner. Das ist aber auch die NTFS-Struktur von Microsoft. Du kannst das mit einer zusätzlichen Software von Microsoft umgehen, so das der User nur noch sein Basisverzeichnis sieht. Oder alle Ordner mit einem $ Zeichen versehen.
     
  7. Natürlich können die Benutzer alle Basisordner mit allen darin enthaltenen Ressourcen durchsuchen. ein NTFS-Laufwerk weist allen Benutzern diese Rechte zu und vererbt sie automatisch an alle Ordner und Dateien im Laufwerk.

    Du meinst sicher ABE, oder? Das macht aber keinen Sinn, denn alle Benutzer haben ja Rechte für diese Ordner, also sehen sie sie auch. Auch das Verstecken von Freigaben ergibt keinen großen Sinn, denn in einer Exchange-Umgebung kann man ja leicht den Anmeldenamen anderer User erraten und gerade wenn man wie in der Anleitung angegeben %username% als Ordnername verwendet, kann man sich das Verstecken auch gleich sparen.

    Nur um das nochmal klarzustellen: ich suche hier nicht nach einer Lösung, denn ich weiß ja wie man es richtig macht. Ich wollte nur andere Leser der Anleitung darauf hinweisen, dass das Verwenden der Anleitung Gefahren in sich trägt, die im privaten Umfeld ärgerlich, in geschäftlichen Kreisen gefährlich sind.
     
Die Seite wird geladen...

Fehler in Artikel? - Ähnliche Themen

Forum Datum
Fehlermeldung bei ebay, sobald ich Artikel beobachten möchte! Sonstiges rund ums Internet 2. Okt. 2004
Fehlermeldung beim remote Login zu meiner IP-Cam Windows 7 Forum Gestern um 12:31 Uhr
Fehler beim Ändern der Eigenschaften einer Datei Windows 10 Forum 17. Okt. 2016
Fehler beim Abdocken von "USB-Massenspeichergerät" Hardware 18. Sep. 2016
Welches ist das letzte kaufbare Office und Fehler beim Scrollen in Word: Text verdoppelt sich Microsoft Office Suite 14. Juli 2016