Wie verhindert man, dass „Besitzer“ eines Verzeichnisses Berechtigungen ändern können?
Wenn ein User ein Verzeichnis auf einem Fileserver erstellt, wird er automatisch zum technischen Besitzer dieses Verzeichnisses. Auf der Ebene des NTFS erhält er dadurch automatisch zusätzliche Berechtigungen. Diese geben ihm z.B. auch das Recht, die Berechtigungen für dieses Verzeichnis zu bearbeiten. Genau das will man in der Regel nicht.
Das Problem mit dem Besitzer lässt sich aber auf recht einfache Art in den Griff bekommen. Man braucht einfach nur auf der Share-Ebene dafür sorgen, dass die normalen User (z.B. Domänenbenutzer oder authentifizierte Benutzer) nur „Ändern“ Recht haben und nicht wie schon oft gesehen „Vollzugriff“. Dieser kleine Kniff sorgt dafür, dass die Mehrberechtigungen auf NTFS-Seite durch die Share-Rechte gekappt werden.
So sehen die optimalen Rechte auf Shareebene für ein Verzeichnis aus:
Und so die Sharerechte für normale User:
Wenn jetzt ein „Besitzer“ versucht die Berechtigungen zu ändern, wird ihm das auf NTFS Ebene erstmal gestattet. Wenn er dann aber auf „Übernehmen“ klickt, verhindern die Sharerechte die Umsetzung.
[important]
[/important]