Ich habe einen Windows Server der Fileserver spielt. Nun gibt es Verzeichnisse zu denen Benutzer Zugriff haben, die in übergeordneten Verzeichnissen keine Berechtigungen haben. So haben z.B. die Monteure keine Berechtigungen die Daten der Buchhaltung zu sehen, und dürfen auch keine Angebote kalkulieren, müssen aber z.B. Bilder in die Dokumentation eintragen, während Buchhaltung ect. auch die Dokumentation einsehen darf. Problem: Schreibt einer der auch in den übergeordneten Ordnern Berechtigten eine Datei in die Dokumentation, werden alle Berechtigungen auch ordentlich übernommen. Schreibt ein nur für dieses Verzeichnis berechtigter ein Datei, kann auch nur der sie lesen. Alle Gruppenberechtigungen fehlen. Wie kommt man diesem Problem bei?
tex schrieb: > Schreibt ein nur für dieses Verzeichnis berechtigter ein Datei, kann > auch nur der sie lesen. 1. ist Vererbung der Rehcte aktiviert? 2. Hat derjenige die Datei direkt in diesem Verzeichnis erstellt oder hat er sie dorthin verschoben? Wird nämlich eine Datei VERSCHOBEN (nicht kopiert), erbt sie nicht die Berechtigungen des Zielordners, sondern behält die des Quellordners bei.
Die vererbung ist aktiviert und verschieben geht nicht, weil die Dokumente neu erstellt werden.
Bei aktivierter Vererbung müßte die Datei alle Rechte des Ordners (auch die vererbten) übernehmen, außer das erstellende Programm sagt was anderes (möglich, jedoch unwahrscheinlich). Was passiert, wenn der User im Explorer händisch irgendeine Testdatei (z.B. test.txt) anlegt?
Hab ich gerade ausprobiert. Alle Berechtigungen sind da
tex schrieb: > Hab ich gerade ausprobiert. Alle Berechtigungen sind da Dann ist die Rechtevergabe im Dateisystem offensichtlich OK und der Fehler hier zu suchen: Icke ®. schrieb: > außer das erstellende Programm sagt was anderes Auf welche Weise/von welcher Software kommen die Dateien sonst dort hin?
vermutlich ist das aber auch schon der Fehler. Die Rechte der übrigen Benutzer werden von den übergeordneten Ebenen vererbt. Auf der Ebene auf der Benutzer hinzugefügt werden, müssen deren Berechtigungen wieder explizit erneut vererbt werden. Danke. Das was.
tex schrieb: > Auf der Ebene auf der Benutzer hinzugefügt werden, müssen deren > Berechtigungen wieder explizit erneut vererbt werden. Wenn die Vererbungskette unterbrochen war, wie konnten die anderen User dann überhaupt dort schreiben? Ein Gedankengang wäre noch gewesen, daß das erstellende Programm die Datei zunächst temporär im Profilordner des Users anlegt und dann ins Zielverzeichnis verschiebt (und mit ihr die ACL). Dann könnte dieser Effekt auftreten. Würde aber eine sehr schlampig programmierte Software voraussetzen.
>Wenn die Vererbungskette unterbrochen war, wie konnten die anderen User
dann überhaupt dort schreiben?
Vermutlich wird es nicht direkt als Unterbrechung gewertet.
Es scheint mehr eine Art Gabelung zu sein. Die Vorher Berechtigten
schreiben alle Berechtigungen zuzüglich der neu Hinzugekommenen und die
neu Hinzugekommenen schreiben nur ihre eigenen Berechtigungen ...
Ggf ist es aber auch einfach ein Fehler, das Häkchen der Übertagung an
untergeordnete Objekte nicht gesetzt zu haben, der zu undefinierten
Zuständen führt, so dass es sich auch ganz anders verhalten kann. Ggf.
hängt es damit zusammen, dass im Root-Verzeichnis nur der Admin
berechtigt ist.
tex schrieb: > Ggf ist es aber auch einfach ein Fehler, das Häkchen der Übertagung an > untergeordnete Objekte nicht gesetzt zu haben Wahrscheinlich ja. Nimmt man den Haken raus, wird man gefragt, ob die übergeordneten (vererbten) Rechte kopiert oder entfernt werden sollen. Wählt man "Kopieren", bleiben die ACLs zwar entsprechend den bisherigen Berechtigungen erhalten, aber zukünftig weiter oben gesetzte, neu Rechte werden dann natürlich nicht mehr übernommen. Generell sollte man die Rechtevergabe so simpel wie möglich halten und die Ordnerstruktur von vornherein so aufbauen, daß der Rechteentzug in untergeordneten Verzeichnissen vermieden wird. Das wird ansonsten schnell unübersichtlich und man sucht sich im Fehlerfalle den Wolf.
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.