none
Reihenfolge der Rechte RRS feed

  • Frage

  • Guten Morgen,

    in welcher Reihenfolge werden den Zugriffsrechte überprüft? Beispiel:

    User U ist Mitglied in Gruppen A und B

    Gruppe A hat Schreibrecht in Verzeichnis "Shop"
    Gruppe B hat keine Rechte in Verzeichnis "Shop"

    oder

    Gruppe A hat Schreibrecht in Verzeichnis "Shop"
    Gruppe B hat Verbot des Zugriffs in Verzeichnis "Shop"

    oder

    Gruppe A hat Schreibrecht in Verzeichnis "Shop"
    Gruppe B hat Verbot des Zugriffs in Verzeichnis "Shop"
    User U hat Schreibrecht in Verzeichnis "Shop"

    oder

    Gruppe A hat Schreibrecht in Verzeichnis "Shop"
    Gruppe B hat Verbot des Zugriffs in Verzeichnis "Shop"
    User U hat nur Leserecht in Verzeichnis "Shop"

    gibt es da irgendwo eine Doku zu?

    Volker


    Und Abends ein Glas Wein von AMAVINO

    Donnerstag, 29. November 2012 08:05

Antworten

Alle Antworten

  • Hallo Matthias,

    so ähnlich hatte ich das erwartet.

    Allerdings der Teil "If NTFS permissions conflict -- for example, if group and user permissions are contradictory -- the most liberal permissions take precedence." ist etwas verwirrend. In meinem Beispiel wäre da ja wohl

    Gruppe A hat Schreibrecht in Verzeichnis "Shop"
    Gruppe B hat Verbot des Zugriffs in Verzeichnis "Shop"
    User U hat nur Leserecht in Verzeichnis "Shop"

    Wenn ich den Text richtig interpretiere, dann ist das so etwas wie Schrödingers Katze. Nix genaues weiss man nicht.

    Volker


    Und Abends ein Glas Wein von AMAVINO

    Donnerstag, 29. November 2012 09:01
  • Ach so soll ich das verstehen. Im Rahmen der Sicherheit ist das aber nicht gut.

    Selbst wenn ich einem Benutzer Schreibrechte entziehe, kann er trotzdem aufgrund Gruppenzugehörigkeit Schreibrechte erhalten? Da bräuchte man ja dringend ein Tool um zu sehen, ob der User trotz entzogener Rechte trotzdem nachwievor Rechte über ein Gruppe in einem Verzeichnis hat. Da kann doch kein Admin einen sicheren Überblick behalten.

    Volker

    Und Abends ein Glas Wein von AMAVINO

    Donnerstag, 29. November 2012 09:25
  •  
    >
    > Selbst wenn ich einem Benutzer Schreibrechte entziehe, kann er
    > trotzdem aufgrund Gruppenzugehörigkeit Schreibrechte erhalten? Da
    > bräuchte man ja dringend ein Tool um zu sehen, ob der User trotz
    > entzogener Rechte trotzdem nachwievor Rechte über ein Gruppe in einem
    > Verzeichnis hat. Da kann doch kein Admin einen sicheren Überblick
    > behalten.
     
    Deshalb hat MS ja mit 2012 auch die Claims eingeführt ;-)
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 29. November 2012 11:53


    • Verweigern-Berechtigungen haben immer Vorrang vor zulassenden Berechtigungen
    • Explizite Berechtigungen haben Vorrang gegenüber vererbten Berechtigungen
    • Zulassende Berechtigungen sind kumulativ

    Kleine Ergänzung: Explizit "Zulassen" hat Vorrang vor vererbtem "Verweigern". Wird gerne übersehen... (-:

    mfg Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 29. November 2012 11:54
  • Dienstag, 4. Dezember 2012 16:35
    Moderator