Sicherheitseinstellungen sperren

Hi Leutz,

mir geht es fürchterlich auf die Nerven, :| dass einige Netzwerkbenutzer ( in unserem Firmen-LAN ) an den Sicherheitseinstellungen für Ordner- und Dateizugriffe herumschrauben. Dies betrifft Dateien auf dem Share des Dateiservers ( Win2000 ).

Beispiel: Benutzer X erstellt auf seinem Rechner eine Neu.doc und speichert sie unter \\Server\Alle\Infos ab. ( Standard-
mässig werden die Berechtigungen geerbt, dass alle Benutzer Ändern-Rechte haben. ) Benutzer X will das nicht, setzt für sich den Vollzugriff und entfernt andere Benutzergruppen nach seinem Gusto oder setzt für diese die Berechtigung Verweigern. :knuppel2:

Da wir aktuell eine NT4-Domäne fahren ( aber im Sommer noch auf 2003 AD migrieren ), bin ich auch nicht geübt in Sachen Gruppenrichtlinien. Wer hilft mir?

Kann es vielleicht sein, dass deine Netzwerkbenutzer->Berechtigungen ändern' dürfen

Dem Ordner->Alle' würde ich folgendes in die ACL eintragen:

Administratoren: Vollzugriff
Domänenbenutzer: Ordnerinhalt auflisten, Lesen, Ausführen, Dateien erstellen,
Ersteller-Besitzer: Ändern, Löschen, Unterordner löschen

So kann jeder in deinem Netzwerk alles lesen und neue Dateien erstellen.
Erstellte Dateien kann aber nur ein Administrator und der ERSTELLER-BESITZER ändern bzw. überschreiben.
Die Sicherheitseinstellungen kann nur der Admin ändern

Hi !aN,

erstmal vielen Dank für die schnelle Antwort. Ja, du hast wohl Recht, denn in den erweiterten Sicherheitseinstellungen für das Verzeichnis Alle sind die Checkboxen für Change Permissions und Take Ownership ( für die entsprechende Zugriffsgruppe ) weder auf Erlauben noch auf Verweigern gesetzt.

Wenn ich dich richtig verstanden habe, muss ich die beiden gewünschten Berechtigungen dann auf dem Ordner Alle mit Vererbung eintragen, ok?

P.S.: Der Inhalt einer Datei soll weiterhin von allen Gruppenmitgliedern geändert werden dürfen

Darf ich mal dazwischenfragen, warum ihr euch mit dem Ordner Alle beschäftigt? Das macht IMHO die Sache komplizierter, als notwendig.

Wenn ich das richtig verstanden habe, dann werden die Dateien im Verzeichnis Infos abgelegt. Es reicht doch aus, wenn dort die Freigabe- und Sicherheitsberechtigungen vergeben werden - ohne das von oben noch was reinschlägt.

Da beim nachträglichens Aufräumen von Berechtigungen meistens ein zwei Nervenstränge reißen, wäre mein Vorschlag folgender:

Du holst dir etwas Hilfe. Auf dieser Seite hier: http://www.microsoft.com/technet/sysinternals/default.mspx gibt es unter der Rubrik File and Disk Utilities das Tool AccessEnum. Damit kannst du dir einen Überblick verschaffen wer was in und auf diesem Ordner darf.

ERSTELLER-BESITZER (E-B) hat per Voreinstellung Vollzugriff auf seine Arbeit. Wenn ich so ein Standardrecht einschränken will, dann sollte ich das schon bei der Neuanlage einer Freigabe machen. Das spart wirklich Zeit und Nerven.

Du kannst die Standardberechtigung für (E-B)
- über das Dialogfeld Erweiterte Sicherheitseinstellungen für... ändern
- diesen Dialog erreichst du über Rechtsklick auf den freigegebenen Ordner/Eigenschaften/Sicherheit
- Wenn du jetzt (E-B) markierst und auf Erweitert klickst, bist du im oben genannten Sicherheitsfenster.

- Hier markierst du den Berechtigungseintrag ERSTELLER-BESITZER
- Um die speziellen Berechtigungen von (E-B) bearbeiten zu können, musst du die Vererbung unterbrechen
      D. h., der Haken bei Berechtigungen übergeordneter Objekte, sofern vererbbar über alle... muss weg.
- daraufhin gibt es eine Abfrage, die du mit Kopieren beantwortest.

Jetzt kannst du die Standardberechtigungen für (E-B) neu vergeben (über einen Klick auf Bearbeiten.... Um deine Vorgabe zu erfüllen, würde es auf einem Windows 2003 Server reichen, den Haken bei Berechtigung ändern zu entfernen. Wenn ich keine groben Patzer gemacht habe, kann (E-B) jetzt nicht mehr in den Berechtigungen rumfuhrwerken. Es sei denn, (E-B) kann sich auch direkt am Server anmelden.

*MANNOMANN* der Vortrag hört sich nach Oberlehrer an

Bevor ich's vergesse; alle Angaben beziehen sich auf Windows Server 2003 R2 SP2. Sinngemäß sollte das aber auch für Windows 2000 gelten.

Hallo Der_Heinerich,

in unserem LAN ist ALLE die Freigabe und INFO ein Verzeichnis, den ein beliebiger Benutzer anlegen kann. Legt ein beliebiger Benutzer einen neues Verzeichnis INFO_NEU an, stehe ich wieder vor der gleichen Situation.

In den Sicherheitseinstellungen der Freigabe sind folgende Einträge:
local Admins, Domain-Admins und System = Full Control
Everyone und Authenticated Users = List Folder Content

In den Sicherheitseinstellungen des Verzeichnisses sind folgende Einträge:
local Admins und Domain-Admins = Full Control
die globale Benutzergruppe mit Modify-Access
die globale Benutzergruppe mit Read-Access

Einen EB bzw. CO finde ich leider nirgends.

Gruß,
Bine

Warum nicht von vorne anfangen? Mal sehen, ob wir das hingebastelt bekommen...
Ich habe hier einen Windows Server 2003. Der unterscheidet sich bezüglich der Dateifreigaben kaum von seinem Vorgänger. Die neue Version ist etwas sicherer. Nichts, was sich nicht unter Windows 2000 nachstellen lässt.

Kennst du das hier...?

Ist bei mir eh den ganzen Tag offen. Darüber erstelle ich die Freigaben. Sollte es auch unter W2k im Startmenü geben.



Nicht nur für Mädchen Der Assistent taugt wirklich was.




Ordner suchen...

Den Ordner Alle habe ich vorher angelegt. Unterhalb dieses Ordners darf dann gemacht werden. Alle selbst ist aber gegen User-Murks geschützt. Ach ja: Solltest du diesen Ordner wirklich Alle nennen... überlegs dir nochmal



...und beschreiben

Mein griffiger Name für die Freigabe lautet Infos... Mir fiel nix besseres ein



Die Berechtigungen




Der Standard unter Windows Server 2003...




...und meine Änderung

Ich bin noch immer bei der Freigabeberechtigung. Auf diese Freigabe sollen nur Mitarbeiter einer bestimmten Abteilung Zugriff haben (also in meinem Beispiel) Die Berechtigung Ändern gebe ich aber nicht auf ein Konto, sondern auf eine domänenlokale Gruppe, die dann all die Glücklichen als Mitglied hat. Die Berechtigungen bastle ich mir nach einer Empfehlung von Microsoft zusammen. Diese - hmmmm - Strategie heißt AGUDLP Nach dem Zungenbrecher kann man auch googeln. Wenn du jetzt auf den Reiter Sicherheit klickst...



...dann folgt dieses Fenster

Grundsätzlich bin ich ein fauler Sack. Ich übernehme, was mir das Betriebssystem vorgibt. In dem Fall die Administratoren, die Benutzer, die ERSTELLER-BESITZER (sic!) und SYSTEM. An deren Berechtigungen ändere ich überhaupt nichts. Ich füge lediglich meine Leute hinzu. Also die Gruppe DL_Buchhaltung und klicke Ändern-Zulassen an.

Und weißt du was? Ändern ist für die Bande viel zu viel Darum klicke ich noch auf Erweitert, was mich zu diesen Dialogfeld bringt...



...den Erweiterten Sicherheitseinstellungen für Alle [size=8pt]Jetzt weißt du auch, warum der Ordnername   s-c-h-e-i-ß-e   ist [/size]

Ich markiere DL_Buchhaltung und klicke auf Bearbeiten.... Im nächsten Fenster werde ich die Berechtigung Ändern-Zulassen abmildern...




In meinem Beispiel habe ich keinen Haken gesetzt bei: Vollzugriff/Unterordner und Dateien löschen/Löschen/Berechtigungen ändern/Besitzrechte übernehmen.

Ok! Fertig. Alles schließen, alles zumachen, was nicht gebraucht wird und mal an einer ganz normalen Workstation einen Berechtigten anmelden und auf die Freigabe zugreifen lassen.

In meiner VM kann jetzt jeder Berechtigte so ziemlich alles machen. Außer: Berechtigungen verbiegen und unberechtigter Weise Dateien löschen.