Zugriffrechte in Ordnerstruktur

Hi Leute,

heute mal ein heftiges Problem für Querdenker.

Also:

Ich habe einen Domänenserver eingerichtet der als einziger Server das Netzwerk steuert.
Auf dem Server habe ich nun eine feste Ordnerstruktur angelegt.

1. Ebene --> Intern
2. Ebene --> Abteilungen
3. Ebene --> Unterabteilungen.

a) Auf die 1. Ebene hat jeder den Zugriff "Orner auflisten, Daten lesen", Admin Vollzugriff.

b) Auf die 2. Ebene haben alle Angehörigen der Abteilung die Zugriffsrechte" Ordner durchsuche, Orner auflisten, Daten lesen, Attribute lesen, erweiterte Attribute lesen.

c) Auf die Unterabteilung hat dann nur noch der Personenkreis der zu der Unterabteilung gehört das Zugriffsrecht " Ordner durchsuche, Orner auflisten, Daten lesen, Attribute lesen, erweiterte Attribute lesen, Dateien erstellen/Daten schreiben, Ordner erstellen/Daten anhängen"
Dieses Zugriffsrecht aber nur unter dem Punkt -- Nur dieser Ordnen-- .

Das Zugriffsrecht für -- Nur Unterordner und Dateien -- ist Vollzugriff.

Anmerkung:

Die 1-3. Ebene ist gegen löschen und schreiben geschützt. Klappt auch gut.

In der Unterabteilung sollen die User alle Rechte haben.

Problem ist nun, dass sobald jemand aus versehen auf den Ordner Unterabteilung klickt und diesen löschen will ist er zwar gegen löschen geschützt, aber alle Unterordner werden trotzdem ( ohne Nachfrage) gelöscht.

Frage?

Wie müssen die Zugriffsrechte vergeben werden damit die User unter dem Ordnern "Unterabteilung" Vollzugriff haben aber
im Falle eines Löschversuches auf dem Ordner "Unterabteilung" die Daten erhalten bleiben.

Ich denke, dass dies ein heftiges Problem ist also bitte.. bitte helft uns !!!



Mautze

 

Die Frage für mich ist dabei, wo liegt der praktische Unterschied ? Ob ich bei meinem Versuch den Ordner 'Unterabteilung' zu löschen alle Unterordner und Dateien lösche oder erst, wenn ich mich in diesen Ordner bewegt habe, macht doch de facto gar keinen Unterschied. Entscheidend ist doch nur, dass der Ordner 'Unterabteilung' selbst nicht gelöscht werden kann; und das ist ja -so wie ich dich verstanden habe -gewährleistet.

 

Hi Franzkat,

Zitat: Das Löschen der Ordner-Ebene unterhalb von 'Unterabteilung' ist doch nur von dieser Ebene 'Unterabteilung' aus möglich.

Genau das ist das Problem es ist nämlich nicht so wie Du schreibst.
Ein nicht erlaubter Löschversuch des Ordners "Unterabteilung" löscht alle Ordner und Dateien unterhalb dieses Ordners ohne Nachfrage.
Der Ordner "Unterabteilung ist ja gegen löschen geschützt und die User haben erst ab dort nach öffnen der Unterabteilung das Recht Ordner und Dateien zu erstellen und zu löschen.


Mautze

 

Auch wenn Du franzkat angesprochen hast, ich muss zugeben, dass ich Dein Problem auch nicht so ganz verstanden habe. Aber sei's drum.
Kann es sein, dass die Rechte bei Dir im System nicht vererbt werden?
Abgesehen davon, User sollten keinen Vollzugriff bekommen, sd. max. "ändern, ausführen, auflisten, lesen, schreiben".
Gruß autum

 

Irgendwie kapier ich die Problemstellung nicht so ganz.Wenn du den Benutzern der Gruppe 'Unterabteilung' den Vollzugriff auf alle erstellten Ordner und Dateien unterhalb des Ordners 'Unterabteilung' gewähren möchtest, dann impliziert das doch auch, dass eben diese Ordner von dieser Benutzergruppe' Unterabteilung' gelöscht werden können.Das Löschen der Ordner-Ebene unterhalb von 'Unterabteilung' ist doch nur von dieser Ebene 'Unterabteilung' aus möglich.

 

Hi franzkat,

das Problem scheint schwerwiegender zu sein .
Die Ordner bzw. Dateien werden erst durch die berechtigten User eingestellt. Der Versuch hat leider das gleiche Ergebnis gebracht wie die direkte Rechtevergabe für die einzelnen User.
Ergebnis ist immer noch:

Wenn eine Person einen Ordner unter der Ebene Unterabteilung anlegt, kann dieser duch unberechtigten Löschversuch auf dem Ordner Unterabteilung gelöscht werden.


Danke

Mautze

 

Du kannst das Problem IMHO auch mit dem MS-Tool xcacls.exe lösen :

Wenn du in dem Ordner 'Unterabteilungen' folgenden Befehl auf der Kommandozeile ausführst :

xcacls *.* /G %user%:RWED;RW /E

Zur Erläuterung : Die geänderten Rechte beziehen sich auf den aktuellen Ordner und die darunter angelegten Unterordner /Dateien und weisen ihnen unterschiedliche ACLs zu :

Die authorisierte Benutzergruppe (die Variable %user% mußt du hier selbst ersetzen) bekommt für den aktuellen Ordner das Recht zu lesen und zu schreiben, für die unterhalb des aktuellen Ordners angelegten Unterordner und Dateien aber die Rechte, zu lesen, zu schreiben und zu löschen.Der Parameter /E am Ende der Befehlszeile bedeutet, dass die Rechte anderer Benutzer(gruppen) - also z.B. die des Admin - davon nicht berührt werden.

 

Hallo Mautze,
Du hast Dein BS nicht angegeben, also vermute ich Win2k mit AD.
Dann sollte es nicht so schwierig sein.
1. Gruppen anlegen (z.B. Administratoren, intern, Abt1, Abt2, Abt3, Unterabt1-1, UAbt1-2, UAbt2-1, UAbt2-2, UAbt3-1)
2. Personen in die UAbt-Gruppen eintragen
3. UAbt-Gruppen in die Abt-Gruppen eintragen
4. Abt-Gruppen in die intern-Gruppe
5. Verzeichnis-Rechte über die Gruppen zuweisen und Jeder-Gruppe löschen. Achtung: Administratoren immer extra zuweisen!
Falls es jetzt noch Probleme gibt, entziehst Du den entsprechenden Gruppen die "überflüssigen" Rechte.
Falls ich Dein Problem nicht richtig verstanden habe, oder Dir Selbstverständlichkeiten erzählt habe, nichts für ungut.
Gruß autum