Toon posts:

[Win2003] Home directories, deny + allow = allow??

Pagina: 1
Acties:

zaterdag 28 februari 2009 17:55

Acties:
  • Siebz0r
  • Registratie: Juli 2007
  • Laatst online: 22-06-2018

Siebz0r

Got root?

Topicstarter
Ik ben bezig met het instellen van active directory op server 2003.
Nu heb ik home directories voor alle users aan een drive letter gekoppeld, deze staan allemaal in een aparte map.

mapstructuur:
code:
1
2
3

 Users
  -gebruiker1
  -gebruiker2


De map users rechten:
administrators, allow, full access, only this directory.
administrators, deny, full access, subdirectories only.
Share rechten:
everyone change

De home dirs worden aangemaakt met active directory users and computers > user > homefolder \\{dc}\users\%username%

Als AD nu de homedirs aanmaakt zijn de rechten:
Administrators, allow, full access, this folder and subfolders.
%username%, allow, full access, this folder and subfolders.
Administrators, deny, full access, this folder only.

Nu kan ik als administrator gewoon in de homedirs kijken MAAR...
Deny gaat toch boven allow?

Anyway, hoe krijg ik het voor elkaar dat de administrators groep geen rechten heeft per default?

zaterdag 28 februari 2009 18:03

Acties:
  • Xiliath
  • Registratie: Oktober 2003
  • Laatst online: 30-10-2022

Xiliath

deny>allow inderdaad.

Copy/paste van Permissions that need to be set to allow automate users home directory creations

To allow automate home directory creations, please make sure to apply this security settings on the root folder that should contain the user home directory.

NTFS - Add Special Permissions to "Authenticated Users" group:

Traverse Folder / Execute File

List Folder / Read Data

Read Attributes

Read Permission

You may need to disable permission inheritance and make sure that the speical permissions dont apply to subfolders of the root
folder ("Apply Onto:" "This Folder Only").

Share - Add: Change - permission to "Authenticated Users" group.


Tip 1: If the operating system of the file server are Windows 2000 server, remove any NTFS/Share permission for "Everyone" group.

Tip 2: You should to consider to use DFS or/and Windows Storage Server 2003 to store user gome folder.

zaterdag 28 februari 2009 18:19

Acties:
  • Siebz0r
  • Registratie: Juli 2007
  • Laatst online: 22-06-2018

Siebz0r

Got root?

Topicstarter
Bedankt voor de reactie, maar hier heb ik vrij weinig aan.

Ik als admin, (lid van de administrators group) mag niet in de homefolders komen.
Ik maak ze wel aan met ADUC, dit gaat, want ik heb full control op de Users dir.
Ik wil echter deny full control op de homedirs.

De deny permissie lukt echter niet (deze wordt wel overgenomen van de "Users" dir)

zaterdag 28 februari 2009 18:24

Acties:
  • Xiliath
  • Registratie: Oktober 2003
  • Laatst online: 30-10-2022

Xiliath

en als je op de home dir everyone list rechten geeft en verder alleen system full permissions geeft en admin helemaal weg haalt?
ADUC maakt dan nog steeds de folders aan en je hebt geen last van overerving van je administrators group permissions.

PS:
Als admin kan je natuurlijk altijd owner worden en er alsnog bij, het is dus wel een beetje een wassen neus.

PS2:
Of alleen de authenticated users de rechten geven zoals in het linkje genoemd wordt, dan heb je ook geen administrators op je root map:

NTFS - Add Special Permissions to "Authenticated Users" group:

Traverse Folder / Execute File

List Folder / Read Data

Read Attributes

Read Permission

[ Voor 51% gewijzigd door Xiliath op 28-02-2009 18:27 ]

zaterdag 28 februari 2009 18:35

Acties:
  • Siebz0r
  • Registratie: Juli 2007
  • Laatst online: 22-06-2018

Siebz0r

Got root?

Topicstarter
users dir:
NTFS permissions:
SYSTEM, allow, full control, this folder + sub

Share permissions:
Everyone change

In ADUC > user > homedir > \[dc]\users\%username%
geen rechten bla bla bla :(

administrators write gegeven aan Users (ntfs)
zelfde verhaal, wel een dir, en gewoon rechten

zaterdag 28 februari 2009 18:43

Acties:
  • Xiliath
  • Registratie: Oktober 2003
  • Laatst online: 30-10-2022

Xiliath

Die SYSTEM was fout van me idd.
Haal alle rechten eens weg en probeer de authenticated users rechten eens zoals in de link staat.
Dat is de best practise en moet werken.

zaterdag 28 februari 2009 22:47

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Siebz0r schreef op zaterdag 28 februari 2009 @ 18:19:
Ik als admin, (lid van de administrators group) mag niet in de homefolders komen.
Ik maak ze wel aan met ADUC, dit gaat, want ik heb full control op de Users dir.
Ik wil echter deny full control op de homedirs.
Waarom?
Als je de basisfolder goed zet en je bent een beetje handig met SDDL of de calcs notitiewijze kun je heel goed een homedir provisionen waar enkel de user FC heeft en niet de admin groep zonder met Takeown en subinacl te werken.

Ik denk dat je ergens een inherit flag aan laat staan namelijk, vandaar dat je er gewoon wel bij kan.

laat eens een uitdraai zien van (i)cacls /s <folder> ?

[ Voor 12% gewijzigd door alt-92 op 28-02-2009 22:50 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 2 maart 2009 13:41

Acties:
  • Siebz0r
  • Registratie: Juli 2007
  • Laatst online: 22-06-2018

Siebz0r

Got root?

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

F:\>cacls users
F:\Users BUILTIN\Administrators:(OI)(CI)(IO)N
         BUILTIN\Administrators:F
         NT AUTHORITY\SYSTEM:(OI)(CI)F


F:\>cacls users\{username}
F:\users\{username}   {domein}\{username}:F
                      {domein}\{username}:(OI)(CI)(IO)F
                      BUILTIN\Administrators:F
                      BUILTIN\Administrators:(OI)(CI)(IO)F
                      BUILTIN\Administrators:(OI)(CI)N
                      NT AUTHORITY\SYSTEM:(OI)(CI)F


Als ik een met deze rechten een map aan maak in de map "Users" krijgt deze wel de juiste rechten (admins deny FC)

maar met ADUC krijgt administrators FC

[ Voor 3% gewijzigd door Siebz0r op 02-03-2009 15:07 ]

maandag 2 maart 2009 15:50

Acties:
  • maartena
  • Registratie: Juli 2000
  • Laatst online: 08-09-2025

maartena

Siebz0r schreef op zaterdag 28 februari 2009 @ 18:19:
Ik als admin, (lid van de administrators group) mag niet in de homefolders komen.
Welke user maakt backups van de home folders? (e.g. welke user draait de tape backup etc)

[ Voor 8% gewijzigd door maartena op 02-03-2009 15:51 ]

"I reject your reality and substitute my own!"
Proud to be an American.
Hier woon ik

maandag 2 maart 2009 16:03

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Siebz0r schreef op maandag 02 maart 2009 @ 13:41:
Als ik een met deze rechten een map aan maak in de map "Users" krijgt deze wel de juiste rechten (admins deny FC)
Ik zou gewoon Admins eraf laten - expliciete deny hoor je slechts zéér zelden in te zetten.
maar ok :)
maar met ADUC krijgt administrators FC
Wat gebeurt er als je een Scripted User provisioning doet waar je de Homedir ook aanmaakt?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq