[2003] administrator de owner laten zijn bij nieuwe map * - Serversoftware en clouddiensten

vrijdag 3 augustus 2007 11:27

Acties:

Topicstarter

Hi,

Even een vraagje.

Als ik als admin een folder aanmaak op een server en gebruikers hier rechten in geef, Bijvoorbeeld modify, dan kunnen gebruikers hier mappen/bestanden in aanmaken en wijzigen.

Nu is het ook zo dat als een gebruiker een map aanmaak hij standaard owner van die map wordt en zichzelf dus full controll kan geven. Hoe is dit te voorkomen?

Het liefst zou ik het zo zien. De administrator maakt een map aan en geeft gebruikers hierin rechten (modify), de administrator is dus owner. Als een gebruiker een map aanmaakt wordt de owner de administrator zodat de gebruiker geen rechten heeft om permissies te veranderen.

Ik kom er ff niet uit (ook niet na raadplegen inet :-)
Persoonlijk denk ik dat het niet kan maar wil dit even zeker weten.

OS: windows 2003

vrijdag 3 augustus 2007 12:39

Acties:

Kixtart

Destruction = Improvement

Tsja, ik verwacht sowieso niet veel reacties, wat je nog in je topicstart mist:
Welke Windows versie?
Wat heb je zelf al geprobeerd en gezocht (resultaten hiervan)?

offtopic:
en niet kicken binnen 24uur, maar dat zou je onderhand moeten weten. (De kick is opeens weg, toevallig modje langs geweest?)

☻/
/▌
/ \

vrijdag 3 augustus 2007 12:45

Acties:

blablable

Topicstarter

Kixtart schreef op vrijdag 03 augustus 2007 @ 12:39:
Tsja, ik verwacht sowieso niet veel reacties, wat je nog in je topicstart mist:
Welke Windows versie?
Wat heb je zelf al geprobeerd en gezocht (resultaten hiervan)?

offtopic:
en niet kicken binnen 24uur, maar dat zou je onderhand moeten weten. (De kick is opeens weg, toevallig modje langs geweest?)

Geloof dat er in dit opzicht niet veel verschil zit in 2000 of 2003.. vandaar dat ik er geen os bij gezet heb. Verder heb ik op ntfs permisions gezocht op internet maar kan hier geen passend antwoord vinden..

vrijdag 3 augustus 2007 13:03

Acties:

Kixtart

Destruction = Improvement

Dit artikel is misschien nuttig (heb zelf niet de tijd om het helemaal door te lezen), maar dit lijkt van belang (zit de gebruiker in een aparte usergroup trouwens?):

Similarly, when you create a shared drive or folder, the Everyone group now has only Read permission by default, rather than full control. This is quite a change from earlier versions of Windows, where every new folder gave everyone full control via both NTFS and share permissions.

Dit artikel heb ik met deze woorden gevonden 'new folder windows 2003 ownership administrator'. (googlelink)
Misschien kun je nog even verder zoeken met andere zoekwoorden.

[ Voor 20% gewijzigd door Kixtart op 03-08-2007 13:05 ]

☻/
/▌
/ \

vrijdag 3 augustus 2007 13:16

Acties:

blablable

Topicstarter

Kixtart schreef op vrijdag 03 augustus 2007 @ 13:03:
Dit artikel is misschien nuttig (heb zelf niet de tijd om het helemaal door te lezen), maar dit lijkt van belang (zit de gebruiker in een aparte usergroup trouwens?):

[...]

Dit artikel heb ik met deze woorden gevonden 'new folder windows 2003 ownership administrator'. (googlelink)
Misschien kun je nog even verder zoeken met andere zoekwoorden.

Had genoemde artikel al gelezen. Dit stukje gaat echter over ntfs shares en default permissions bij het aanmaken van een map/file mbt de everyone group. Waar het mij omgaat is dat ik niet wil dat als een gebruiker het recht heeft om een map aan te maken hij standaard owner wordt en dus rechten kan veranderen.

vrijdag 3 augustus 2007 13:42

Acties:

Kixtart

Destruction = Improvement

Ik weet niet of het werkt, want ik heb geen windows 2003 (of ervaring ermee), maar kan je bij die map de CREATOR OWNER niet toevoegen en dan 'change permissions' op deny (vinkje->alle submappen)?

☻/
/▌
/ \

vrijdag 3 augustus 2007 13:42

Acties:

alt-92

ye olde farte

Dan zou je moeten kijken naar de default ACL op een Folder.

Op TechnetMagazine staan vaak wel interessante links vermeld of leuke articles:
http://www.microsoft.com/...ecurityWatch/default.aspx

Zoals je daar ook ziet is er een CREATOR OWNER ACE die dat privilege geeft aan $user.
Zou je die uit je ACL halen dan vermijdt je jouw probleem (en krijg je mogelijk weer andere ervoor terug).

Kixtart schreef op vrijdag 03 augustus 2007 @ 13:42:
Ik weet niet of het werkt, want ik heb geen windows 2003 (of ervaring ermee), maar kan je bij die map de CREATOR OWNER niet toevoegen en dan 'change permissions' op deny (vinkje->alle submappen)?

Liever geen DENY gebruiken, laat 'm dan gewoon weg.
Hoe simpeler een ACL opgebouwd is, hoe makkelijker het te onderhouden is.

Na 2 jaar en drie beheerders verder weet niemand zich nog te herinneren waarom die DENY erop staat, en dan hebben we het nog niet eens over mutaties in de folder layout (moves binnen dezelfde volume nemen de rechten mee, dus die DENY komt dan ook op de meest idiote plekken voor).

Tijdens de Technet Live Briefings van dit jaar was er ook een presentatie over FileServer management, http://www.microsoft.com/...raining/presentaties.aspx staat nog wat, en met wat spitwerk kom je op de rest van technet ook aardig wat tegen over wat de verschillende methoden kunnen zijn.

[ Voor 34% gewijzigd door alt-92 op 03-08-2007 13:46 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 3 augustus 2007 13:50

Acties:

blablable

Topicstarter

alt-92 schreef op vrijdag 03 augustus 2007 @ 13:42:
Dan zou je moeten kijken naar de default ACL op een Folder.

Op TechnetMagazine staan vaak wel interessante links vermeld of leuke articles:
http://www.microsoft.com/...ecurityWatch/default.aspx

Zoals je daar ook ziet is er een CREATOR OWNER ACE die dat privilege geeft aan $user.
Zou je die uit je ACL halen dan vermijdt je jouw probleem (en krijg je mogelijk weer andere ervoor terug).

[...]

Liever geen DENY gebruiken, laat 'm dan gewoon weg.
Hoe simpeler een ACL opgebouwd is, hoe makkelijker het te onderhouden is.

Na 2 jaar en drie beheerders verder weet niemand zich nog te herinneren waarom die DENY erop staat, en dan hebben we het nog niet eens over mutaties in de folder layout (moves binnen dezelfde volume nemen de rechten mee, dus die DENY komt dan ook op de meest idiote plekken voor).

Tijdens de Technet Live Briefings van dit jaar was er ook een presentatie over FileServer management, http://www.microsoft.com/...raining/presentaties.aspx staat nog wat, en met wat spitwerk kom je op de rest van technet ook aardig wat tegen over wat de verschillende methoden kunnen zijn.

Maw, je raad het af om hierin de gaan zitten klooien :-) ?

Vind het toch een beetje een tekortkoming..

vrijdag 3 augustus 2007 13:52

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Zoals je zelf ook zal weten als je veel hebt gezocht, is een topictitel van een of twee woorden meestal nutteloos, zeker alleen 'NTFS' heeft in WSS weinig zin. Ik pas de titel dus wat aan zodat mensen dit topic beter kunnen vinden

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 3 augustus 2007 13:53

Acties:

blablable

Topicstarter

F_J_K schreef op vrijdag 03 augustus 2007 @ 13:52:

offtopic:
Zoals je zelf ook zal weten als je veel hebt gezocht, is een topictitel van een of twee woorden meestal nutteloos, zeker alleen 'NTFS' heeft in WSS weinig zin. Ik pas de titel dus wat aan zodat mensen dit topic beter kunnen vinden

Thanx..

vrijdag 3 augustus 2007 14:01

Acties:

alt-92

ye olde farte

blablable schreef op vrijdag 03 augustus 2007 @ 13:50:
[...]

Maw, je raad het af om hierin de gaan zitten klooien :-) ?

Vind het toch een beetje een tekortkoming..

Dat zeg ik helemaal niet?

Dat je CREATOR OWNER eraf haalt is een optie, met de bronnen (technet!!!) kun je ook nagaan wat dat eventueel voor effecten heeft.

Wat ik een slecht idee vind is dat van KixTart, en ik geef ook aan waarom.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 3 augustus 2007 14:04

Acties:

blablable

Topicstarter

alt-92 schreef op vrijdag 03 augustus 2007 @ 14:01:
[...]

Dat zeg ik helemaal niet?

Dat je CREATOR OWNER eraf haalt is een optie, met de bronnen (technet!!!) kun je ook nagaan wat dat eventueel voor effecten heeft.

Wat ik een slecht idee vind is dat van KixTart, en ik geef ook aan waarom.

eens.. had creator owner al verwijderd als test maar dit hielp ook niet. Ik zal je linkjes nog even doorpluizen, wellicht dat ik iets gemisst heb..

vrijdag 3 augustus 2007 14:13

Acties:

Kixtart

Destruction = Improvement

alt-92 schreef op vrijdag 03 augustus 2007 @ 14:01:
[...]

Dat zeg ik helemaal niet?

Dat je CREATOR OWNER eraf haalt is een optie, met de bronnen (technet!!!) kun je ook nagaan wat dat eventueel voor effecten heeft.

Wat ik een slecht idee vind is dat van KixTart, en ik geef ook aan waarom.

Daarom gaf ik ook aan dat ik hier geen ervaring mee heb

Ik probeerde gewoon mee te denken wat de mogelijkheden waren en door te posten andere gebruikers of de TS op ideeen te brengen hoe dit op te lossen is. Maarja dus voortaan niet meer

Trouwens m'n belangrijkste punt in m'n eerdere reacties was dat hij moest aangeven wat hij al gedaan had en om verder te zoeken. Uit z'n reacties bleek niet echt dat hij verder iets gedaan had. Hierdoor en omdat er verder geen reacties kwamen ben ik een oplossing gaan bedenken om de TS toch op de goede weg te sturen ook al bleek het niet z'n geweldige te zijn

[ Voor 22% gewijzigd door Kixtart op 03-08-2007 14:22 ]

☻/
/▌
/ \

vrijdag 3 augustus 2007 17:51

Acties:

alt-92

ye olde farte

Ach

Zo leer je zelf ook weer wat bij toch?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device