[2003] NTFS inherit probleem

Ik heb een klein probleempje met ntfs en inheritance.

Zoeken op google leverde vooral veel pagina's met veel uitleg over inheritance op, en wat voor problemen je kan krijgen als je het niet goed instelt. Ook GoT kon mij na de search helaas niet verder helpen, veel vragen over ntfs, maar de mijne kon ik niet vinden.

Nu mijn probleem: Ik ben sinds een tijdje systeembeheerder bij een bedrijf waar ze al een tijdje een server hebben draaien, en ze hebben daar nog nooit van groepen gehoord. Ik ben dus druk bezig om alle ntfs rechten te groeperen en op te ruimen, 15 vermeldingen per directory was geen uitzondering, en dat in een bedrijf met 45 man.

Het probleem is dat ik in de root aan groepen 1, 2 en 3 rechten uitdeel, en container inherit en object inherit staan aan (toepassen op deze map, submappen en bestanden). Ook in de submap met mijn probleem staat het vinkje bij "Overneembare machtigingen....." aan. Nadat dat allemaal is ingesteld staat er een extra vermelding van 1 persoon bij met alleen speciale machtigingen. Een klik op geavanceerd verteld mij dat deze persoon volledig beheer over de map heeft, maar container inherit en object inherit staan uit (alleen toepassen op deze map). Ik mag deze vermelding niet verwijderen van windows, omdat hij overgeerfd is van het object erboven, maar het object erboven heeft alleen de groepen 1, 2 en 3. Bovendien valt een item dat alleen op de map zelf werkt niet over te erven, want container inherit staat dan uit.

Wat heb ik al geprobeerd: Overerven van bovenliggend object uitzetten, alle rechten verwijderen, en dan overerven weer aanzetten. De persoon met F rechten komt dan vrolijk weer terug.
Op de map erboven rechten aanpassen en opnieuw instellen en hopen dat de onderliggende objecten het erven werkt ook niet.

Wat wil ik niet als oplossing: De opmerking "dan zet je overerven voor deze map toch uit?" Dat gaat dus niet werken, er zitten een hoop subdirs en bestanden in deze map, en alle vinkjes staan goed, dan moet het dus ook gewoon werken. En als ik veranderingen in de bovenliggende map maak, dan moeten deze map en submappen gewoon meeveranderen, overerven uitzetten is geen optie.

Ok, de oplossing is gevonden, voor mensen die hetzelfde probleem hebben zal ik even uitleggen wat het is.

Ten eerste is het een foutieve foutmelding, het feit dat ik de persoon niet kan verwijderen heeft niets met overerven te maken. Het probleem ontstaat als een bepaalde gebruiker de map aanmaakt, dan mag diegene alle rechten op die map aanpassen. Dit is mij bekend, en op windows 2000 systemen is dit geen probleem, de map erft netjes alle rechten van de map erboven.
Windows XP en 2003 doen het echter wat anders, die zetten niet alleen de geerfde rechten in de lijst, maar ook de persoon die de map maakt komt in de rechtenlijst met 1 speciaal recht, volledig beheer. Het proberen verwijderen van deze melding geeft dus de foutieve foutmelding dat de rechten van boven geerfd worden.
Nadat ik de groep adminstrators eigenaar maakte van deze map wou het recht van de maker nog steeds niet weg met nog steeds dezelfde foutmelding. De oplossing hiervoor is tijdelijk overerven van boven uitzetten, de rechten verwijderen, en overerven weer aanzetten. Na deze acties staan de rechten eindelijk zoals ze zouden moeten staan imho.

CREATOR OWNER staat niet in de lijst, die heeft 0,0 rechten op die schijf. Als je de specificaties van NTFS goed leest, dan zul je tegenkomen dat de eigenaar van een map altijd rechten op een map kan wijzigen of het nou toegestaan is of niet.
Probeer het maar eens. Maak een lege map aan, en zet in de beveiligings eigenschappen dat de groep iedereen geweigerd wordt om de rechten te wijzigen. Dus gewoon een vinkje op de speciale eigenschap wijzigingsmachtigingen weigeren. Dan log je in als een non admin en maak je een submap in deze eerste map.
Als je dit gedaan hebt zul je merken dat de non-admin wel de rechten heeft om de beveiliging te wijzigen en jijzelf als admin niet, totdat je jezelf eigenaar maakt van die map.
Dit was op win2000 geen probleem voor beveiliging. Zodra de eigenaar van de map wijzigt, wijzigen ook de rechten wie de beveiliging mag veranderen, maar op XP en 2003 blijft de originele mapmaker in de lijst met het speciale recht volledig beheer. Dus als iemand een map maakt, en later maak je die map ontoegankelijk voor deze persoon, dan kan hij er alsnog bij, tenzij je de rechten op deze manier uitschaleld.

Goed, ik heb het nog even nagekeken, creator owner staat er niet bij, maar maker eigenaar wel. Soms is het wel handig om even iets verder te kijken. Maar het blijft vreemd dat na het wijzigen van eigenaar nog steeds de foutmelding komt dat de rechten van boven komen, want als je zegt dat er geen rechten van boven overgeerfd moeten worden, dan verwijder je alle rechten en zet je rechten van boven weer aan, dan komt het recht niet terug. Het komt dat toch niet van boven, anders zou het weer terug moeten komen.
Nou ja, het probleem is in ieder geval opgelost.

Het blijft trouwens wel zo dat zelfs met maker/eigenaar compleet verwijderd dat de eigenaar van de map toch nog steeds rechten mag wijzigen. Dat moest ik natuurlijk wel even proberen.

[ Voor 15% gewijzigd door MaVl op 12-01-2006 09:23 ]