none
Order-und Fileberechtigungen auf Server 2008/2012 RRS feed

  • Frage

  • Liebe Administratoren,

    ich habe folgendes Phänomen bei einer bestimmten Konstellation.

    Wenn ich auf einem Ordner "Test" einer Gruppe von Nutzern das Recht "Ordnerinhalt auflisten" gebe und einer Datei "Test.txt" in diesem Ordner einem Benutzer aus diese Gruppe Explizit das Recht "ändern" zuweise, dann darf dieser Benutzer diese Datei öffnen, lesen, ausführen, aber nicht ändern. Wenn ich etwas in diese Datei schreibe und auf speichern drücke, dann bekomme ich die Fehlermeldung "Zugriff verweigert, wenden Sie sich an Ihren Administrator".

    Laut Microsoft haben doch Explizite Dateirechte immer höhere Priorität.

    Habe ich da etwas an den NTFS Berechtigungen falsch verstanden oder ist da etwas am System kaputt ?

    Grüsse

     

     

     


    Freitag, 19. Juli 2013 06:23

Antworten

  • Hallo,

    ich hätte den Benutzer abmelden müssen wenn ich ihn nach Rechteänderung in eine neue Sicherheitsgruppe geschoben hätte.

    Ich habe dies aber trotzdem noch einmal getestet.

    Funktioniert leider immer noch nicht.

    Grüsse

    Bezüglich der zweiten Antwort:

    auf Ordnerebene sollte keine Berechtigung, außer "Ordner auflisten" vorhanden sein, das stimmt. Dieses Recht wirkt auch nur auf diesen Ordner, nicht auf Unterordner und Dateien.

    Dies ist allerdings auch nicht notwendig, solange ich auf Dateiebene einem User explizit höhere Rechte gebe.

    Die Anwendung um die es geht ist hier Excel, in diesem Ordner werden Excel Tabellen abgelegt, welche geändert werden sollen durch bestimmte Mitarbeiter.

    Es sollen auch keine neuen Dateien innerhalb des Verzeichnisses angelegt werden, deswegen keine Rechte innerhalb der Ordner.

    Weiterhin habe ich festgestellt, das wenn die Gruppe, in der sich der Benutzer befindet, nur auf den Ordner "ändern" bekommt und der User explizit das Recht Ändern auf einer Datei innerhalb des Ordners hat, kann er die Datei auch nicht ändern. Erst wenn die Gruppe das Ändern Recht auch auf der Datei enthält funktioniert alles. An-/Abmelden half auch nichts.

    Das Synchronize Recht sollte auch kein Problem darstellen, da dies meiner Meinung nach nicht angewendet wird.

    Grüsse

    Update

    Nach etwas probieren habe ich nun herausgefunden das dieses Problem anscheinend nur mit Office Dokumenten wie Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen,... 

    Habe jetzt herausgefunden, dass Office Dokumente anscheinend wirklich schreibrechte im Ordner benötigen. Zumindest funktioniert es in der Testumgebung auf der Freigabe.

    Auf der Produktiven Freigabe brachte mir dies auch kein Erfolg.

    Wahrscheinlich ist die Freigabe defekt. Ich werde dies in den nächsten Tagen mal austesten.

    Update2

    Problem gefunden. Ich hatte der Systemgruppe ERSTELLER-BESITZER nicht die erforderliche Berechtigung "ändern" hinzugefügt. Jetzt funktioniert alles wie gedacht.

    Danke für eure Hilfe.


    Montag, 22. Juli 2013 10:20

Alle Antworten

  • Hallo,

    hast Du den Benutzer ab und wieder angemeldet damit die neuen Berechtigungen übernommen werden?


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Montag, 22. Juli 2013 08:40
  • Vermutlich fehlt auf Ordnerebene noch weitere Berechtigungen wie:

    "Create files / write data" - Write Data allows or denies making changes to the file and overwriting existing content.
    "Delete subfolders and files" - Allows or denies deleting subfolders and files, even if the Delete permission has not been granted on the subfolder or file.

    da die zugehörige Anwendung ggf. o.ä. eine neue Datei erstellt und die andere vorher löscht.

    Oder wurde ggf. das Recht "Synchronize" (explizit oder implizit) nicht gewährt?

    Synchronize - Allows or denies different threads to wait on the handle for the file or folder and synchronize with another thread that may signal it. This permission applies only to multithreaded, multiprocess programs.

    S.a.: http://technet.microsoft.com/en-us/library/cc787794.aspx

    Probier's aus und melde Dich dann mit dem Ergebnis :)

     

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Montag, 22. Juli 2013 10:04
  • Hallo,

    ich hätte den Benutzer abmelden müssen wenn ich ihn nach Rechteänderung in eine neue Sicherheitsgruppe geschoben hätte.

    Ich habe dies aber trotzdem noch einmal getestet.

    Funktioniert leider immer noch nicht.

    Grüsse

    Bezüglich der zweiten Antwort:

    auf Ordnerebene sollte keine Berechtigung, außer "Ordner auflisten" vorhanden sein, das stimmt. Dieses Recht wirkt auch nur auf diesen Ordner, nicht auf Unterordner und Dateien.

    Dies ist allerdings auch nicht notwendig, solange ich auf Dateiebene einem User explizit höhere Rechte gebe.

    Die Anwendung um die es geht ist hier Excel, in diesem Ordner werden Excel Tabellen abgelegt, welche geändert werden sollen durch bestimmte Mitarbeiter.

    Es sollen auch keine neuen Dateien innerhalb des Verzeichnisses angelegt werden, deswegen keine Rechte innerhalb der Ordner.

    Weiterhin habe ich festgestellt, das wenn die Gruppe, in der sich der Benutzer befindet, nur auf den Ordner "ändern" bekommt und der User explizit das Recht Ändern auf einer Datei innerhalb des Ordners hat, kann er die Datei auch nicht ändern. Erst wenn die Gruppe das Ändern Recht auch auf der Datei enthält funktioniert alles. An-/Abmelden half auch nichts.

    Das Synchronize Recht sollte auch kein Problem darstellen, da dies meiner Meinung nach nicht angewendet wird.

    Grüsse

    Update

    Nach etwas probieren habe ich nun herausgefunden das dieses Problem anscheinend nur mit Office Dokumenten wie Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen,... 

    Habe jetzt herausgefunden, dass Office Dokumente anscheinend wirklich schreibrechte im Ordner benötigen. Zumindest funktioniert es in der Testumgebung auf der Freigabe.

    Auf der Produktiven Freigabe brachte mir dies auch kein Erfolg.

    Wahrscheinlich ist die Freigabe defekt. Ich werde dies in den nächsten Tagen mal austesten.

    Update2

    Problem gefunden. Ich hatte der Systemgruppe ERSTELLER-BESITZER nicht die erforderliche Berechtigung "ändern" hinzugefügt. Jetzt funktioniert alles wie gedacht.

    Danke für eure Hilfe.


    Montag, 22. Juli 2013 10:20