ich arbeite hier in einer Domäne mit Windows-XP-Prof.-PCs. Auf dem DC läuft ein Windows 2003 Server mit Active Directory.
Ich habe folgendes Problem, an dem ich mir irgendwie die Zähne ausbeisse:
Bisher ist es so, dass die Datei(en) um die es geht, nur von einer Benutzergruppe gesehen und bearbeitet werden können. Es soll jetzt aber so sein, dass die Benutzergruppe nur noch Lese-Zugriff hat, aber keinen Schreibzugriff, mit Ausnahme einzelner eingetragener Nutzer. Das klappt soweit zumindest im Ansatz auch, die Datei ist für diese Nutzer schreibgeschützt. Da die Dateien immernoch gelöscht, umbenannt, etc. werden konnten, hatte ich versucht, die speziellen Berechtigungen zu ändern.
Die einzigen Zugriffsrechte, die die Gruppe jetzt noch unter „Zulassen“ stehen hat, sind „Ordner durchsichen / Datei ausführen“, „Ordner auflisten / Datei lesen“, „Attribute lesen“, „Erweiterte Attribute lesen“ und „Berechtigungen lesen“. Alle anderen Zugriffsrechte haben den Haken bei „Verweigern“, mit Ausnahme von Vollzugriff, der ist nicht gar markiert.
Das Problem ist nun, dass die Einstellungen gar nichts bewirken. Ein Testnutzer, der Mitglied der Gruppe mit den eingeschränkten Nutzerrechten ist, kann die Berechtigungen ändern, die Datei umbenennen und löschen, nur den Dateiinhalt kann er nicht verändern. Es sind keine vererbten Berechtigungen mehr vorhanden.
Woran kann das liegen, und wie kann ich das ändern? Mir bringen diese Zugriffsrechte halt nichts, wenn sie nicht funktionieren.
Nun, ich habe fast den Verdacht, dass noch eine Gruppe in den Berechtigungen drin ist wie Jeder oder Domänen Benutzer, welcher die Berechtigung „Ändern“ oder „Vollzugriff“ hat. Auf das Verwenden von „Verweigern“ würde ich grundsätzlich verzichten. Lege für die Benutzer, welche die Daten bearbeiten können sollen, eine neue Gruppe an und teile diese dieser Gruppe zu.
Die Berechtigungen auf den Ordner, sollten dann etwa so aussehen:
Administratoren -> Vollzugriff
SYSTEM --> Vollzugriff
G-DEINE-BENUTZER-GRUPPE --> lesen
G-DEINE-GRUPPE (Schreiben) --> ändern
Falls noch weitere Berechtigungen in der Liste stehen, diese ggf. löschen, falls diese nicht benötigt werden. Ggf. vererbte Berechtigungen trennen, und unnötige Einträge löschen.
ich habe eine Datei mit dem Administratoraccount angelegt (um zu verhindern, dass evtl. die Besitzer-Einstellung etwas damit zu tun hat). Anschließend habe ich in den Eigenschaften sowohl im Reiter „Sicherheit“ direkt als auch in der Liste unter „Erweitert“ nur den Administrator, System und eine Benutzergruppe drin. Admin und System haben Vollzugriff, die Benutzergruppe hat keine Änderungs- oder Schreibrechte (also weder bei Zulassen noch bei Verweigern einen Haken). Es sind definitiv keine weiteren Einträge in der Nutzerliste vorhanden (also weder „Jeder“ noch andere Gruppen oder Benutzer).
Vererbte Berechtigungen gibt es keine mehr.
Nun, aber warhscheinlich ist bei der Gruppe noch ein Hacken bei „Spezielle Berechtigungen“. Weil eine Gruppe ohne irgendwelche Brechtigungen kann man gar nicht setzten bzw. dann wird diese automatisch entfernt. Schaue dir die Berechtigungen diser Gruppe mal unten unter Erweitert an, dort werden sicher bestimmte Berechtigungen gesetzt sein, welche den Zugriff darauf ermöglichen.
Zudem habe ich testweise einem einzelnen Benutzer aus Benutzergruppe-1 Vollzugriffsrechte gegeben, aber das hat keinerlei Auswirkung.
Ein Benutzer aus Benutzergruppe-1 kann die Datei immernoch löschen. Ein Benutzer, der nicht in Benutzergruppe-1 ist, kann die Datei weder öffnen noch löschen (was ja auch das erwartete Verhalten ist).
Nun, wenn der besagte Benutzer nicht gleichzeitig auch noch Mitglid der Administratorgruppe ist und/oder Besitzer der Datei, und keine weiteren Rechte auf der Datei selbst definiert sind, darf er die Datei so nicht löschen können.
Falls dies doch der der Fall ist, würde ich auf Inkonsistenzen in NTFS-Dateisystem tippen. Sprich führe mal ein CHKDKS X: /f aus. Achtung, ev. Neustart nötig, bzw. während der Prüfung keine Zugriff auf gesamtes Laufwerk (Partition) möglich.
