Zugriffsberechtigungen

    Hallo zusammen,

    eine Frage an Windows- und Tobit-Experten:

    Der komplette Bereich eines Domänenmitglieds und David-Users (z.B. \\davidserver\david\archive\user\1000c000) soll für alle anderen User vollständig gesperrt werden. Eigentlich sollte das kein Problem sein: rechter Mausklick - Erweiterte Eigenschaften - Bearbeiten - User oder Gruppe hinzufügen und "Verweigern". Beim Klick auf "Übernehmen" gibt es die Meldung "Fehler beim Anwenden der Sicherheit" auf diesen Ordner und die Änderungen lassen sich partout nicht speichern.

    Also habe ich das gleiche Prozedere im Explorer vorgenommen - klappt problemlos. Aber: wenn der gesperrte User David neu startet, kann er völlig problemlos auf den im Explorer gesperrten Ordner zugreifen. :cursing: ????

    Hat irgendjemand dafür eine Erklärung?

    P.S.: bestimmt 100 mal überprüft: es handelt sich tatsächlich um denselben Ordner! Und: selbstverständlich wurden alle Änderungen immer als Domänen-Admin vorgenommen.

    Warum machst du das übers Hinzufügen von "Verweigern" und nicht einfach dem Löschen der Berechtigungen? Verweigern hat in der Windows-Logik zwar Vorrang vor Berechtigungen (glaube ich), aber das ist trotzdem Kuddelmuddel.

    Also: Rechtsklick auf den User-Root (1000c000) -> Eigenschaften -> Sicherheit -> Erweitert. "Vererbung deaktivieren", bei Nachfrage "Vererbte Berechtigungen in explizite Berechtigungen ... kopieren". Und dann wirfst du aus der Liste alle Leute raus, die da nicht reingucken sollen, insbesondere "Authentifizierte Benutzer" aus deinem Screenshot! "SYSTEM" bitte drin lassen, je nach Unternehmens-Struktur ggf. auch "Administratoren", und natürlich den User selbst.

    Letztlich ggf. noch den Haken setzen bei "Alle Berechtigungseinträge für untergeordnete Objekte ... ersetzen", und schließlich OK.

    Quote from nordtech

    Warum machst du das übers Hinzufügen von "Verweigern" und nicht einfach dem Löschen der Berechtigungen? Verweigern hat in der Windows-Logik zwar Vorrang vor Berechtigungen (glaube ich), aber das ist trotzdem Kuddelmuddel.

    Hm, eigentlich ist das "Verweigern" unter Windows eine saubere Sache und Du hast Recht: "Verweigern" hat Vorrang vor "Erlauben".

    Hier geht es aber darum, dass standardmäßig alle David-User das Recht haben, in alle Konten hineinzusehen - nur eben 2 nicht. Und da liegt es doch näher, es den 2 zu verbieten als umgekehrt. Und Windows macht das ja auch ganz sauber: im Explorer sieht man klar, dass die User nicht auf den Ordner zugreifen können. Aber in David können sie das - und das macht mich mehr als stutzig! Das ist einfach unlogisch; es sei denn, David baut komplett eigene Zugriffsrechte auf.

    Und dafür suche ich eine Erklärung...

    David hat in der Tat keine eigene Rechte-Verwaltung; wenn jemand im Windows-Explorer den Ordner (nicht) öffnen kann, klappt das auch im David (nicht). Bist du sicher, den richtigen User am Wickel zu haben?

    Ich arbeite so gut wie nie mit "Verweigern" - aber muss in deinem Screenshot ggf. auch bei "Ändern" -> "Verweigern" noch ein Haken rein?

    Quote from nordtech

    David hat in der Tat keine eigene Rechte-Verwaltung; wenn jemand im Windows-Explorer den Ordner (nicht) öffnen kann, klappt das auch im David (nicht). Bist du sicher, den richtigen User am Wickel zu haben?

    Das siehst Du in beiden Screenshots: beide Male der User 1000C000!


    Häkchen bei "Ändern + Verweigern"? Nein, denn der User soll ja verändern können: z.B. eine fehlgeleitete Mail dort hineinschieben. Abgesehen davon: ich habe alle Alternativen einschl. "Vollzugriff verweigern" versucht: alles unter David nicht möglich. Als Admin kann ich innerhalb von David keinerlei Rechte bei keinem einzigen User ändern.


    Ich habe inzwischen einen Verdacht: der Davidserver wurde vor 2 oder 3 Jahren aus einem anderen Server ausgegliedert und per Migration Tool übertragen. Vielleicht sind da nicht alle Rechte sauber gesetzt worden - muss ich mir mal genauer ansehen. Aber das unterschiedliche Verhalten bei der Rechteverwaltung finde ich immer noch merkwürdig.

    Quote from wordplex

    Ich habe inzwischen einen Verdacht: der Davidserver wurde vor 2 oder 3 Jahren aus einem anderen Server ausgegliedert und per Migration Tool übertragen. Vielleicht sind da nicht alle Rechte sauber gesetzt worden - muss ich mir mal genauer ansehen. Aber das unterschiedliche Verhalten bei der Rechteverwaltung finde ich immer noch merkwürdig.

    Man kann ja auch die Rechte einmal komplett neu setzen lassen von David im Administrator und dann die Anpassungen vornehmen.

    GGf würde dies helfen?

    Achtung, das setzt nicht etwa alle zuviel gesetzten Rechte zurück, sondern setzt nur alle vom David Server mindestens benötigten Rechte neu.

    Das hat aber dennoch bisweilen komische Folgen.

    so ganz weit hinten in meiner Erinnerung spukt da auch noch ein Zusammenhang warum Zugriffsverweigerungen im David Kontext teils komische bis gar keine Wirkungen haben.
    Auf jeden Fall kann man sich auf diese nicht verlassen und sollte zusehen das die Rechte positiv zu dem passen was man erreichen will und auf negative Rechte verzichten.

    Edited once, last by riawie: Ein Beitrag von riawie mit diesem Beitrag zusammengefügt. (May 11, 2026 at 6:59 PM).

    Um nachträglich für alle Benutzer die minimale Rechtevergabe automatisch durchzuführen, wechseln Sie auf dem DvISE Server in das Verzeichnis »DAVID\CLIENTS\WINDOWS\MOBILE\DAVID\APPS\FAXWARE\OUT\API«. Kopieren Sie die Datei »STARTUP« in das Verzeichnis »DAVID\APPS\FAXWARE\OUT\API«. Die Rechte werden anschließend automatisch angepasst.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

    Quote from stylistics

    Um nachträglich für alle Benutzer die minimale Rechtevergabe automatisch durchzuführen, wechseln Sie auf dem DvISE Server in das Verzeichnis »DAVID\CLIENTS\WINDOWS\MOBILE\DAVID\APPS\FAXWARE\OUT\API«. Kopieren Sie die Datei »STARTUP« in das Verzeichnis »DAVID\APPS\FAXWARE\OUT\API«. Die Rechte werden anschließend automatisch angepasst.

    Warum Einfach wenn´s auch kompliziert geht, oder ? ;)

    David Administrator ALT Taste für Menu drücken->Werkzeuge->Zugriffsrechte zurücksetzen.

    Ihr seid ja echt gut: die Möglichkeit ist mir in meinen zwanzig Jahren noch nie über den Weg gelaufen (hatte sie allerdings bisher auch nicht gebraucht :)).

    Werde ich nach einer Sicherung (jaja, ist auch Oldschool!) am Mittwoch Nachmittag, wenn die Praxis geschlossen hat, ausprobieren.

    Danke Euch beiden für den Tipp!

    Dokumentiere Dir nur vorher alle Sonderlocken > vor allem alle Einschränkungen in den Berechtigungen der Nutzer im Bereich außerhalb der Nutzerverzeichnisse, um sie hinterher von Hand wieder einrichten zu können.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login