Das leidige Problem mit dem Besitzer eines Verzeichnisses – optimale Share-Berechtigungen

Wie verhindert man, dass „Besitzer“ eines Verzeichnisses Berechtigungen ändern können?

Wenn ein User ein Verzeichnis auf einem Fileserver erstellt, wird er automatisch zum technischen Besitzer dieses Verzeichnisses. Auf der Ebene des NTFS erhält er dadurch automatisch zusätzliche Berechtigungen. Diese geben ihm z.B. auch das Recht, die Berechtigungen für dieses Verzeichnis zu bearbeiten. Genau das will man in der Regel nicht.

Das Problem mit dem Besitzer lässt sich aber auf recht einfache Art in den Griff bekommen. Man braucht einfach nur auf der Share-Ebene dafür sorgen, dass die normalen User (z.B. Domänenbenutzer oder authentifizierte Benutzer) nur „Ändern“ Recht haben und nicht wie schon oft gesehen „Vollzugriff“. Dieser kleine Kniff sorgt dafür, dass die Mehrberechtigungen auf NTFS-Seite durch die Share-Rechte gekappt werden.

So sehen die optimalen Rechte auf Shareebene für ein Verzeichnis aus:

Vollzugriff auf Shareebene für die Admins

Und so die Sharerechte für normale User:

Optimale Rechte auf Shareebene für User

Wenn jetzt ein „Besitzer“ versucht die Berechtigungen zu ändern, wird ihm das auf NTFS Ebene erstmal gestattet. Wenn er dann aber auf „Übernehmen“ klickt, verhindern die Sharerechte die Umsetzung.

[important]

Seit vier Jahren kümmern sich die Kollegen von aikux.com um die Fileserver ihrer Kunden – von 9.00 – 18.00 Uhr, fünf Tage pro Woche. Die Beiträge dieses Blogs kommen aus der Praxis und sind gedacht für die Praxis, denn: Hier schreiben Techniker. Und sie sind gedacht als ein Angebot von uns an Sie: Greifen Sie also auf unsere Erfahrungen zurück und suchen Sie das Gespräch – Sie finden uns hier.

[/important]