Das Problem: Sie Benutzer wird werden zusätzliche Rechte gewährt
Ich möchte die Berechtigung so einstellen, dass Alice die TXT-Dateien lesen kann, aber die Dateien / den Ordner nicht ändern / löschen kann
Um dieses Ergebnis zu erzielen, sollten Ihrem Benutzer nur NTFS-Leseberechtigungen für den Ordner erteilt werden. Die Tatsache, dass Ihr Benutzer Objekte in diesem Ordner noch ändern kann, zeigt an, dass ihm mehr als nur die Leseberechtigung erteilt wurde. NTFS-Berechtigungen sind additiv. Daher werden alle einem Benutzer gewährten Berechtigungen hinzugefügt, um zu bestimmen, was der Benutzer letztendlich tun kann.
Einem Benutzer können Berechtigungen erteilt werden, indem diese Berechtigungen direkt seinem Benutzerobjekt erteilt werden oder über Berechtigungen, die einer Gruppe erteilt wurden, deren Mitglied der Benutzer ist.
Entsprechend der Ausgabe des icacls "C:\ITSM Lab1\Administration\Gabi"
Befehls haben die folgenden Identitäten (M) odify oder (F) ull Berechtigung für den Ordner (ich habe SYSTEM ausgeschlossen):
- Tanvir-PC \ Gabi: (OI) (CI) (F)
- Tanvir-PC \ SysAdministrator: (OI) (CI) (F)
- Tanvir-PC \ CEO: (OI) (CI) (F)
- Tanvir-PC \ SysAdministrator: (I) (OI) (CI) (F)
- Tanvir-PC \ CEO: (I) (OI) (CI) (F)
- BUILTIN \ Administratoren: (I) (F)
- BUILTIN \ Administrators: (I) (OI) (CI) (IO) (F)
- NT-AUTORITÄT \ Authentifizierte Benutzer: (I) (M)
Das offensichtlichste Problem ist, dass die besondere Identität "Authentifizierte Benutzer" über Berechtigungen zum Ändern verfügt. Diese Gruppe hat automatisch alle Benutzer, die über ein gültiges Konto auf dem Computer verfügen, das Ihren Benutzer enthält.
Wenn sich in dieser Liste weitere Gruppen befinden, deren Mitglied Ihr Benutzer ist, werden ihm auch dessen Mitgliedschaft in diesen Gruppen mehr als Leseberechtigungen erteilt.
Verfügbare Lösungen
Entfernen Sie den Benutzer entweder aus einer Gruppe, der mehr als Leseberechtigung für den Ordner erteilt wurde, oder widerrufen Sie die Berechtigungen dieser Gruppe für den Ordner.
Wenn das oben genannte keine Option ist, können Sie Ihrem Benutzer die folgenden Berechtigungen für den Ordner verweigern. Berechtigungen verweigern überschreiben immer Berechtigungen zulassen. Dies wirkt sich auf alle Berechtigungen aus, die dem Benutzer erteilt werden, unabhängig davon, wie sie gewährt werden:
Erlaubnis zu verweigern:
- WD - Daten schreiben / Datei hinzufügen
- AD - Daten anhängen / Unterverzeichnis hinzufügen
- WA - Attribute schreiben
- DC - Kind löschen
- DE - löschen
- WEA - erweiterte Attribute schreiben
Hinweis: Die Verwendung von Berechtigungen zum Verweigern ist normalerweise eine schlechte Idee und sollte nur als letztes Mittel verwendet werden.
Eine bessere Möglichkeit, Berechtigungen zu verwalten
Normalerweise müssen Sie mehreren Benutzern die folgenden Berechtigungen für einen Ordner erteilen:
- Lesen
- Ändern
Ein Best-Practice-Ansatz, der den Aufwand für das Erteilen / Widerrufen von Berechtigungen für Benutzer auf ein Minimum reduziert, ist die Verwendung von Ressourcengruppen . Eine Ressourcengruppe ist einfach eine Gruppe, die einem Objekt eine bestimmte Berechtigung erteilt hat. Beispielsweise würde Ihr Ordner die folgenden Gruppen benötigen:
- r_Gabi-Read (Berechtigte Leseberechtigung )
- r_Gabi-Modify (Erlaubte Modify-Berechtigungen)
Um die Berechtigungen eines Benutzers oder einer Gruppe für das Objekt zu ändern, fügen Sie sie einfach der Mitgliedschaft in der entsprechenden Ressourcengruppe hinzu oder entfernen sie daraus. Dies ist schneller als das Ändern der Berechtigungen für das Objekt. Es hat auch den entscheidenden Vorteil, dass im MMC-Snap-In (oder lokalen Konten für Nicht-Domänen-PCs) von Active Directory-Benutzer und -Gruppen genau angegeben ist, wer auf was zugreifen kann.
Diese Strategie erfordert, dass Sie zusätzlich zu den Berechtigungen, die den Ressourcengruppen erteilt werden, nur die zusätzlichen Berechtigungen für Vollzugriff für die Identitäten SYSTEM
und vergeben Administrators
. Es dürfen keine anderen Berechtigungen für das Objekt erteilt werden.