Effective permissions op een file-share kloppen - Serversoftware en clouddiensten

vrijdag 23 augustus 2013 14:24

Acties:

Topicstarter

Goedemiddag,
ik heb op een Windows Server 2008R2 file-server een raar probleem.
Middels "effective permissions" heb ik op een map gecontroleerd of een bepaalde gebruiker lees/schrijfrechten heeft (--> Resultaat : Gebruiker heeft helemaal geen rechten).

Wanneer deze gebruiker over het netwerk een bestand lees/schrijft in deze map lukt dit gewoon!

Ik heb o.a. gecontroleerd of het computer-account rechten heeft, maar dit is n.v.t.

Iemand een idee wat hier het probleem kan zijn?

Alvast Bedankt

vrijdag 23 augustus 2013 14:42

Acties:

bigfoot1942

euhh, is de rechtenstructuur en/of groepenindeling zo ingewikkeld?
Ik heb de "effective permissions" nog nooit hoeven te gebruiken...
Gebruik geen deny dan kan je zo uitzoeken of de user in 1 van de groepen staat die wel rechten heeft?

vrijdag 23 augustus 2013 14:43

Acties:

pitchdown

Topicstarter

bigfoot1942 schreef op vrijdag 23 augustus 2013 @ 14:42:
euhh, is de rechtenstructuur en/of groepenindeling zo ingewikkeld?
Ik heb de "effective permissions" nog nooit hoeven te gebruiken...
Gebruik geen deny dan kan je zo uitzoeken of de user in 1 van de groepen staat die wel rechten heeft?

Niet moeilijk. Maar de gebruiker heeft rechten, terwijl hij op basis van groepen dit niet zou mogen hebben.
Deny`s worden daarom ook niet gebruikt.

vrijdag 23 augustus 2013 14:47

Acties:

Quadradial

geef eens een screenshot van alle rechten.... Hieruit kan ik niet zien wat er verkeerd staat.

Tevens ook de groepen van de gebruiker...

[ Voor 21% gewijzigd door Quadradial op 23-08-2013 14:48 ]

Being offended is feeling your displeasure at the fact that not everyone cares as much about the exact same things as you.

vrijdag 23 augustus 2013 14:57

Acties:

pitchdown

Topicstarter

Quadradial schreef op vrijdag 23 augustus 2013 @ 14:47:
geef eens een screenshot van alle rechten.... Hieruit kan ik niet zien wat er verkeerd staat.

Tevens ook de groepen van de gebruiker...

Naast "system" staat op de betreffende map simpelweg 4 domain-groups die full control hebben op deze map.
De gebruiker is niet lid van deze groepen en ook niet van 1 van de members.

vrijdag 23 augustus 2013 15:23

Acties:

Gomez12

Kijk eens op de server als welke gebruiker deze resource benadert wordt?

Ik heb namelijk het idee dat het simpelweg niet deze gebruiker is (of elevated rights of log in as of een service die onder een andere user draait)

vrijdag 23 augustus 2013 16:12

Acties:

pitchdown

Topicstarter

Gomez12 schreef op vrijdag 23 augustus 2013 @ 15:23:
Kijk eens op de server als welke gebruiker deze resource benadert wordt?

Ik heb namelijk het idee dat het simpelweg niet deze gebruiker is (of elevated rights of log in as of een service die onder een andere user draait)

Ga ik doen!

zondag 25 augustus 2013 21:59

Acties:

KoeKk

Als tip: kijk eens in de windows credential manager op de client pc: Vanuit een cmd: "control userpasswords2", Tab advanced, en dan op "Manage passwords" klikken. Als hier de credentials van een andere gebruiker staan bij de desbetreffende server dan worden deze credentials gebruikt.

Hier worden o.a. UNC share wachtwoorden opgeslagen die je DMV het "save password" vinkje wilt bewaren.

dinsdag 27 augustus 2013 12:39

Acties:

pitchdown

Topicstarter

KoeKk schreef op zondag 25 augustus 2013 @ 21:59:
Als tip: kijk eens in de windows credential manager op de client pc: Vanuit een cmd: "control userpasswords2", Tab advanced, en dan op "Manage passwords" klikken. Als hier de credentials van een andere gebruiker staan bij de desbetreffende server dan worden deze credentials gebruikt.

Hier worden o.a. UNC share wachtwoorden opgeslagen die je DMV het "save password" vinkje wilt bewaren.

Ik heb getest vanaf een andere computer.
Vanaf een andere computer kan de gebruiker NIET bij de betreffende mappen.

Het lijkt dus waarschijnlijk bovenstaande te zijn zodat op de achtergrond met een andere username/password op de achtergrond verbonden word met het netwerk?

dinsdag 27 augustus 2013 12:55

Acties:

pitchdown

Topicstarter

Gelijk verder gekeken met control userpasswords 2.
En hier was idd de oplossing te vinden (andere credentials die ooit op de verkenner zijn uitgevoerd?)

Bedankt!

dinsdag 27 augustus 2013 13:17

Acties:

Gomez12

Tja, een van de redenen waarom bij een vorige werkgever dit soort instellingen gewoon via een GPO leeggegooid werden.

Door dit soort grappen krijg je grappen dat over een half jaar opeens werknemer blijkt te beschikken over iets waar ze helemaal geen toegang toe mocht hebben.

dinsdag 27 augustus 2013 13:23

Acties:

pitchdown

Topicstarter

Gomez12 schreef op dinsdag 27 augustus 2013 @ 13:17:
Tja, een van de redenen waarom bij een vorige werkgever dit soort instellingen gewoon via een GPO leeggegooid werden.

Door dit soort grappen krijg je grappen dat over een half jaar opeens werknemer blijkt te beschikken over iets waar ze helemaal geen toegang toe mocht hebben.

Via welke GPO laat jij dit tot op heden weggooien?
Ik zag dat er meerdere mogelijkheden zijn.

Dit zou toch alleen maar kunnen gebeuren als je een "uitvoeren als" op de verkenner uitvoert onder een andere gebruiker?

[ Voor 11% gewijzigd door pitchdown op 27-08-2013 13:27 ]

donderdag 29 augustus 2013 07:37

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > WSS

Tijd voor een nieuwe sig..

Pagina: 1

Reageer