none
W2K8R2: Berechtigungen vererben tut nicht was es soll... RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi Community,

    auf einem W2K8R2 Member Server funktioniert die Vererbung der Berechtigungen nicht wie gewünscht. Ich habe zum einen am obersten Ordner der Hierarchie Berechtigungen für bestehende Benutzer- und Gruppenobjekte geändert und zum anderen nicht mehr benötigte Benutzer- und Gruppenobjekte entfernt. Die Checkbox bei 'Alle Berechtigungen für untergeordnete Objekte durch vererbbare Berechtigungen von diesem Objekt ersetzen' wurde aktiviert und ich dachte eigentlich, dass der Fall damit erledigt ist...

    ...offensichtlich scheint es aber so, dass zwar die Änderungen an den bestehenden Benutzer- und Gruppenobjekten nach unten vererbt werden aber die gelöschten Objekte bestehen weiterhin!

    Ist das ein Bug oder was muss ich tun, damit die Berechtigungen der Unterverzeichnisse exakt dem entsprechen, wie es im obersten Verzeichnis eingestellt ist?

    Thx & Bye Tom



    Dienstag, 21. April 2015 09:56
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Servus,

    > Das klappt auch problemlos mit mehreren verschachtelten Ordnern, bei denen jeweils die Vererbung deaktiviert ist.

    Halleluja jetzt passt es endlich. Ich habe jetzt mal alle Berechtigungen vom obersten Ordner entfernt, weil von daher haben ja die Unterordner die falsche Information und grundlegend neu aufgebaut. Nach der Vererbung war der Benutzer der da nichts zu suchen hatte dann endlich verschwunden... <Puh>

    Thx & Bye Tom

    Dienstag, 21. April 2015 12:35
    |
  • Question
    Anmelden
    1
    Anmelden

    Kleiner Hinweis. Das Security Principal "ERSTELLER-BESITZER" wird dir deine Berechtigungsstruktur wieder "durchwürfeln". Sobald irgendein Anwender das Recht besitzt, eine Datei oder Ordner zu erstellen, wird automatisch sein Account in die DACL des neuen Ordners bzw. Datei aufgenommen, die der Anwender erstellt. Er erhält dann die Rechte, die für "ERSTELLER-BESITZER" konfiguriert sind. Das führt dann dazu, dass ein Anwender Vollzugriff auf ein (von ihm neu erstelltes) Verzeichnis erhält und er seinerseits an den Rechten rumspielen kann. Da muss man aufpassen. Und ich denke auch, dass das die Ursache für deinen "Bug" war.

    Zudem empfiehlt es sich, keine Benutzer direkt zu berechtigen, sondern Gruppen zu verwenden. Performance und Verwaltbarkeit sind zwei triftige Gründe dafür. Auch in kleinen Umgebungen empfiehlt sich das.

    Matthias


    Dienstag, 21. April 2015 16:00
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Eigenschaften -> Sicherheit -> Erweitert.

    Dort siehst du, von welchem Ordner das Recht geerbt wurde, das deiner Meinung nach nicht mehr vorhanden sein sollte.
    Dort musst du das Recht dann Entfernen, oder die Vererbung unterbrechen.

    Gruß
    Lennart

    Dienstag, 21. April 2015 10:17
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi Thomas,

    für mich zum Verständnis: Du hattest auf oberster Ebene auch Berechtigungen von nicht mehr existierenden Benutzern und Gruppen gesetzt, diese entfernt und dann die Berechtigungen mittels Haken vererbt. Nun sind auf den untergeordneten Ordnern trotzdem noch die nicht mehr existenten Benutzer und Gruppen berechtigt?

    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 21. April 2015 10:18
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > für mich zum Verständnis: Du hattest auf oberster Ebene auch Berechtigungen von nicht mehr existierenden Benutzern und Gruppen gesetzt, diese entfernt und dann die Berechtigungen mittels Haken vererbt. Nun sind auf den untergeordneten Ordnern trotzdem noch die nicht mehr existenten Benutzer und Gruppen berechtigt?

    Nein, die Benutzer- und Gruppenobjekte die ich entfernt habe, existieren in der Domäne schon noch, ich habe sie nur in dieser Verzeichnisstruktur entfernt bzw. erst mal nur am obersten Verzeichnis in der Struktur. Als Nachtrag noch die Information, dass das betreffende Benutzerobjekt, welches in den Unterverzeichnissen noch vorhanden ist, am obersten Verzeichnis gar nicht aufgeführt war. Ein Beispiel:

                                               ~~~ Grafik vom Autor entfernt ~~~

    Links siehst du was ich eingestellt habe und rechts siehst du was die Unterordner für Berechtigungen gesetzt haben. Jetzt ist rechts der 'Medienhaus Kastner - Th...' (was ich übrigens bin) der links eigentlich gar nicht vorhanden ist...

    ...ich muss dazusagen, dass dieser Benutzer auch vorher nicht auf der obersten Ebene vorhanden war. Dieses Benutzerobjekt an dem Unterordner kann so alt sein, wie es die EDV hier im Haus ist.

    Mein Fazit ist demnach: Es werden zwar die geänderten Berechtigungen vorhandener Benutzerobjekte vererbt, es werden neue Benutzerobjekte hinzugefügt aber es werden keine Benutzerobjekte gelöscht, die im 'Mastertemplate' der Berechtigungen  (der oberste Ordner) grundsätzlich schon gar nicht vorhanden gewesen sind.

    Und damit ich jetzt nicht die ganze Ordnerstruktur nach Altlasten durchsuchen muss, hätte mein naiver Sachverstand sich gewünscht, stell die Berechtigungen so ein wie sie sein sollen und aktiviere die Vererbung nach unten aber das hat das hier diskutierte Phänomen als Problem.

    Thx & Bye Tom


    Dienstag, 21. April 2015 11:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Eigenschaften -> Sicherheit -> Erweitert.

    Da bin ich schon

    > Dort siehst du, von welchem Ordner das Recht geerbt wurde, das deiner Meinung nach nicht mehr vorhanden sein sollte. Dort musst du das Recht dann Entfernen, oder die Vererbung unterbrechen.

    Es geht nicht um ein Recht, welches nicht vererbt wird, sondern es geht um ein Benutzerobjekt, welches tiefer in der Hierarchie nicht gelöscht wird, weil es im obersten Verzeichnis gar nicht vorhanden ist. Ich würde den gesamten Verzeichnisbaum gerne so einstellen wie ich es im obersten Ordner definiere aber das geht nur für bereits vorhandene Objekte oder fehlende Objekte, die werden hinzugefügt aber es werden keine Benutzerobjekte gelöscht, die nicht auch im obersten Ordner gelöscht worden sind, weil sie dort niemals vorhanden waren...

    Thx & Bye Tom

    Dienstag, 21. April 2015 11:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Eigentlich ist das auch so.
    Wenn du den Haken setzt und auf OK gehst, dann sollten genau diese Berechtigungen auf allen untergeordneten Objekten auch sitzen.

    Wenn ich das teste passiert das auch.
    Dienstag, 21. April 2015 11:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Wenn du den Haken setzt und auf OK gehst, dann sollten genau diese Berechtigungen auf allen untergeordneten Objekten auch sitzen.

    Auch wenn du in einem Unterordner einen Benutzer einträgst den es im obersten Ordner nicht gibt, wird dieser dann bei dir wieder entfernt, wenn du eine Vererbung vom obersten Ordner aus anstößt? Das wäre exakt mein Problem...

    Thx & Bye Tom

    Dienstag, 21. April 2015 11:40
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi Tom,

    ich hab das mal mit 2 Ordnern hier ausprobiert. Im Unterordner habe ich irgendwelche User berechtigt und im Oberordner einen anderen User hinzugefügt. Dann den Haken gesetzt "Alle Berechtigungseinträge..." et voila - die Unterordner sehen genauso aus wie der Oberordner.

    Gleiches Spiel, wenn auf dem Unterordner die Vererbung deaktiviert ist. Das, was auf dem übergeordneten Ordner definiert wird, schlägt sich also auf alle Unterordner durch, somit werden auch alle evtl. existierenden alternativen Berechtigungen rausgeschmissen und durch das ersetzt, was Du ganz oben definierst.

    Das klappt auch problemlos mit mehreren verschachtelten Ordnern, bei denen jeweils die Vererbung deaktiviert ist. So ad-hoc fällt mir jetzt außer unzureichenden Berechtigungen nichts ein, warum das bei Dir so ist...

    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 21. April 2015 11:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > So ad-hoc fällt mir jetzt außer unzureichenden Berechtigungen nichts ein, warum das bei Dir so ist...

    Ich bin als Domänenadmin am Server angemeldet und habe keine Ahnung warum ich den einen User da nicht los werde.

    Hier das ganze mal aus der Konsole, da wird das vielleicht übersichtlicher:

    ---snip---

    F:\>icacls ARENA4
    ARENA4 VORDEFINIERT\Administratoren:(OI)(CI)(F)
           DOMAIN\SysVerwaltung_glo:(OI)(CI)(F)
           NT-AUTORITÄT\SYSTEM:(OI)(CI)(F)
           ERSTELLER-BESITZER:(OI)(CI)(IO)(F)
           DOMAIN\DTP_user_glo:(OI)(CI)(M,DC)
           DOMAIN\Customer_glo:(OI)(CI)(M,DC)

    1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

    F:\>cd ARENA4

    F:\ARENA4>
    F:\ARENA4>
    F:\ARENA4>icacls Customer_Export
    Customer_Export VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
                DOMAIN\SysVerwaltung_glo:(I)(OI)(CI)(F)
                NT-AUTORITÄT\SYSTEM:(I)(OI)(CI)(F)
       -->    DOMAIN\pronto:(I)(F)
                ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F)
                DOMAIN\DTP_user_glo:(I)(OI)(CI)(M,DC)
                DOMAIN\Customer_glo:(I)(OI)(CI)(M,DC)

    1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

    ---snap---

    Thx & Bye Tom
    Dienstag, 21. April 2015 12:18
    |
  • Question
    Anmelden
    1
    Anmelden

    Servus,

    > Das klappt auch problemlos mit mehreren verschachtelten Ordnern, bei denen jeweils die Vererbung deaktiviert ist.

    Halleluja jetzt passt es endlich. Ich habe jetzt mal alle Berechtigungen vom obersten Ordner entfernt, weil von daher haben ja die Unterordner die falsche Information und grundlegend neu aufgebaut. Nach der Vererbung war der Benutzer der da nichts zu suchen hatte dann endlich verschwunden... <Puh>

    Thx & Bye Tom

    Dienstag, 21. April 2015 12:35
    |
  • Question
    Anmelden
    1
    Anmelden

    Kleiner Hinweis. Das Security Principal "ERSTELLER-BESITZER" wird dir deine Berechtigungsstruktur wieder "durchwürfeln". Sobald irgendein Anwender das Recht besitzt, eine Datei oder Ordner zu erstellen, wird automatisch sein Account in die DACL des neuen Ordners bzw. Datei aufgenommen, die der Anwender erstellt. Er erhält dann die Rechte, die für "ERSTELLER-BESITZER" konfiguriert sind. Das führt dann dazu, dass ein Anwender Vollzugriff auf ein (von ihm neu erstelltes) Verzeichnis erhält und er seinerseits an den Rechten rumspielen kann. Da muss man aufpassen. Und ich denke auch, dass das die Ursache für deinen "Bug" war.

    Zudem empfiehlt es sich, keine Benutzer direkt zu berechtigen, sondern Gruppen zu verwenden. Performance und Verwaltbarkeit sind zwei triftige Gründe dafür. Auch in kleinen Umgebungen empfiehlt sich das.

    Matthias


    Dienstag, 21. April 2015 16:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Kleiner Hinweis. Das Security Principal "ERSTELLER-BESITZER" wird dir deine Berechtigungsstruktur wieder "durchwürfeln"

    Den habe ich jetzt großzügigerweise gleich ganz weggelassen, der war in anderen Verzeichnissen schon nicht dabei und ich hatte bislang keinen negativen Effekt feststellen können. Kann man das so machen?

    > Zudem empfiehlt es sich, keine Benutzer direkt zu berechtigen, sondern Gruppen zu verwenden.

    Das ist jetzt in den Verzeichnisstrukturen die durch diese "Revision" sind so gemacht.

    THx & Bye Tom


    Mittwoch, 22. April 2015 07:16
    |
  • Question
    Anmelden
    0
    Anmelden
    Ja, das Principal kann man eigentlich immer entfernen. Der ist per default eingetragen. "ERSTELLER-BESITZER" ist beim konfigurieren von speziellen Verzeichnissen sinnvoll einsetzbar, bspw. bei Profilordner.
    Mittwoch, 22. April 2015 10:50
    |