[Win2k] Rechten op userdirectories * - Windows clients

vrijdag 12 december 2003 09:30

Acties:

Hiero dus.

Topicstarter

Op mijn fileserver is het een zootje qua rechten, mijn voorganger heeft daar een potje van gemaakt. Nu wil ik dit graag goed doen en hoewel ik veel gelezen heb over rechten, zie ik door de bomen het bos niet meer.

Situatie:
Windows 2000 Server met één share (Iedereen full control). De gebruiker heeft op zijn pc een mapping naar deze share. Iedere gebruiker heeft een userdirectory welke met NT permissies beveiligd is, en over die permissies heb ik het dus.

Wat ik wil:
- gebruiker kan alleen in zijn eigen directory
- gebruiker mag mappen en bestanden plaatsen en verwijderen
- gebruiker mag zijn hoofddirectory niet verwijderen en ook niet de permissies wijzigen

Nu zoek ik dus naar de juiste manier om e.e.a. in te stellen maar ik zie door de bomen het bos niet meer. Zover ben ik al.
Permissies op de hoofdmap van gebruiker:
- Uitvinken van 'Allow inheritable permissions from parent to propagate to this object'
- Everyone verwijderen
- Gebruiker toevoegen

Hoe moet ik nu de rechten voor de gebruiker zetten, en moet ik gebruik maken van Creator Owner?

Tja, daar is hij dan...

vrijdag 12 december 2003 10:00

Acties:

Mr. Happy

Ik zou met xcacls de gebruiker change-rechten op zijn eigen folder.

[ Gathering of Tweakers ] [ GitHub ]

vrijdag 12 december 2003 10:13

Acties:

Verwijderd

dit kan wat je wilt (misschien het een en ander aanpassen... ff testen dus). voordat je dit draait geeft je users list-rechten en admins f.c. op de users-directory...

users.txt kan je verkrijgen door een dir op de users directory te doen en op te schonen zodat alleen de usersnamen er nog staan.

[ Voor 15% gewijzigd door Verwijderd op 12-12-2003 10:14 ]

vrijdag 12 december 2003 10:20

Acties:

Foutloos

Hiero dus.

Topicstarter

Verwijderd schreef op 12 december 2003 @ 10:13:
dit kan wat je wilt (misschien het een en ander aanpassen... ff testen dus). voordat je dit draait geeft je users list-rechten en admins f.c. op de users-directory...

users.txt kan je verkrijgen door een dir op de users directory te doen en op te schonen zodat alleen de usersnamen er nog staan.

Het gaat me niet primair om de wijze van instellen, of ik dat handmatig doe of met een script is van later zorg. Het gaat me specifiek om de juiste rechten die passen bij wat ik wil.

Wat ik wel uit die link haal is dat je Propagate... aan kunt laten staan en met behulp van de Settings op de gesharde directory kunt zorgen dat Administrator full control heeft op onderliggende mappen. (was ik vergeten te vermelden, maar dat is wel wat ik wil) Misschien kan ik op dat nieveau werken met Creator Owner en dat door laten vloeien op de onderliggende userdirectories. Zodat ik alleen maar de user owner hoef te maken van zijn directory.

Tja, daar is hij dan...

vrijdag 12 december 2003 10:22

Acties:

Verwijderd

niet helemaal... een switch van de cacls haalt de oude rechten weg en zet de nieuwe neer. oftewel propagate wordt uitgezet.

je kan geen owner rechten uitdelen!!! als iemand een map/file aanmaakt is die owner van die map/file. als admin kan je dan ownership nemen!!!

[ Voor 39% gewijzigd door Verwijderd op 12-12-2003 10:26 ]

vrijdag 12 december 2003 14:33

Acties:

elevator

Officieel moto fan :)

Foutloos schreef op 12 december 2003 @ 09:30:
- gebruiker kan alleen in zijn eigen directory

Oftewel je begint met een lege access control list (ACL).
Je voegt hier vervolgens de gebruiker aan toe.

- gebruiker mag mappen en bestanden plaatsen en verwijderen

- gebruiker mag zijn hoofddirectory niet verwijderen en ook niet de permissies wijzigen[/quote]
Je geeft hem dus in de root dir (\users\foutloos\) het recht "Read" - hiermee mag ie de directory zelf lezen. Dit recht pas je toe op al het onderliggende.

Vervolgens geef je change rechten op "Subfolders and files only" (dus write, read, e.d.).

Hoe moet ik nu de rechten voor de gebruiker zetten, en moet ik gebruik maken van Creator Owner?

Creator Owner zou ik lekker laten staan - een gebruiker is normaal gesproken niet de owner van z'n root - dat is ie alleen van de mappen die hij zelf daaronder maakt.

vrijdag 12 december 2003 14:39

Acties:

[ash]

Cookies :9

Foutloos schreef op 12 december 2003 @ 09:30:
Situatie:
Windows 2000 Server met één share (Iedereen full control).

Kan (lees mag) je deze share-permissions nog aanpassen, want als een user full-control op de share heeft en change op zijn home-directory mag hij ook de ntfs-rechten van zijn files aanpassen en de administrator-groep en het system account verwijderen. En dat is niet echt bevordelijk voor je backup

Zet de share-permissions op change en je hebt er geen last van.

vrijdag 12 december 2003 14:51

Acties:

elevator

Officieel moto fan :)

Share permissions moet je liever niet gebruiken in een dergelijke setup - je zelf gewoon beperken tot NTFS permissies maakt het allemaal een stuk eenvoudiger

vrijdag 12 december 2003 14:59

Acties:

Foutloos

Hiero dus.

Topicstarter

elevator schreef op 12 december 2003 @ 14:51:
Share permissions moet je liever niet gebruiken in een dergelijke setup - je zelf gewoon beperken tot NTFS permissies maakt het allemaal een stuk eenvoudiger

Ik sanp wel wat je bedoelt (denk ik) maar deze directories staan op een share. Dus ik moet wel iets doen met permissies, als ik de sharepermissies dicht zet dan wordt het helemaal lastig. Of bedoelde je wat anders?

Tja, daar is hij dan...

vrijdag 12 december 2003 15:04

Acties:

[ash]

Cookies :9

elevator schreef op 12 december 2003 @ 14:51:
Share permissions moet je liever niet gebruiken in een dergelijke setup - je zelf gewoon beperken tot NTFS permissies maakt het allemaal een stuk eenvoudiger

Volgens mij snap je niet helemaal wat ik bedoel.

Het zetten van full-control op je share levert meer problemen op dan als je users change geeft. En deze change-rechten geven je geen beperking.

Share-permissions zet je eenmalig, de rest gaat via NTFS. (Je wil niet op twee plaatsen je beheer doen.) Dus het is net zo eenvoudig, en het scheelt een hoop werk als je zo'n bijdehante gebruiker hebt die lekker met de NTFS permissies hebt lopen klooien.

vrijdag 12 december 2003 15:35

Acties:

elevator

Officieel moto fan :)

Ik snap wel wat je bedoelt - maar niet waarom je het zo wil doen. Oftewel - waarom wil je het via share permissions doen en niet via een NTFS niveau ?

vrijdag 12 december 2003 15:52

Acties:

DefaultUser

Geef de Domain Users change rechten op de share, de admins krijgen Full Controll op de share.
Op NTFS krijgt de directory die shared is Read&Execute voor Domain Users en natuurlijk de Admins krijgen Full Control.
Elke user directory krijgt extra rechten erbij, namelijk Modify voor die specifieke user. De rechten van de Domain Users verwijderen (dus Inheritate rights vinkje uit)

Om ervoor te zorgen dat de users hun eigen directory niet mogen verwijderen, kan je de rechten verder wijzigen door aan te geven Modify voor "Subfolders and Files Only" bij Advanced. en Read&Execute voor "This Folder, subfolders and files"

en misschien is het toch slim om eens een boek over NTFS te lezen...
Want het is best lastig als je niet precies weet hoe het rechten gedoe allemaal in elkaar zit..
Succes!!!

Als ik maar een beetje kan computeren

vrijdag 12 december 2003 15:57

Acties:

Terrestrial

Net wat Elevator zegt. Waarom nog share rechten gebruiken als je NTFS gebruikt.?

FOUTLOOS, Wat is er mis met de methode die je nu gebruikt ? Je bent goed op weg. Ik mis alleen 2 dingen:

1. je geeft de gebruiker alle rechten behalve Full Control.
2. je doet replace permissions on al child objects

En vergeet niet je domain admins ook toe tevoegen anders kun je er zelf niet meer bij.

Overigens wat ook belangrijk is voor quota is dat je de gebruiker ook echt eigenaar van de bestanden maakt.

vrijdag 12 december 2003 15:57

Acties:

[ash]

Cookies :9

elevator schreef op 12 december 2003 @ 15:35:
Ik snap wel wat je bedoelt - maar niet waarom je het zo wil doen. Oftewel - waarom wil je het via share permissions doen en niet via een NTFS niveau ?

Ik wil het wel op NTFS doen, alleen 1 toevoeging op share niveau. Nogmaals als een user FC op share niveau heeft en change op NTFS mag hij/zij NTFS rechten aanpassen. Zou hij/zij achter de console zitten (dus share permissies tellen ff niet mee) kan dit met change niet. Maar door de FC op share permissies kan hij/zij dit remote wel.

vrijdag 12 december 2003 16:08

Acties:

Terrestrial

[ash] schreef op 12 december 2003 @ 15:57:
[...]

Ik wil het wel op NTFS doen, alleen 1 toevoeging op share niveau. Nogmaals als een user FC op share niveau heeft en change op NTFS mag hij/zij NTFS rechten aanpassen. Zou hij/zij achter de console zitten (dus share permissies tellen ff niet mee) kan dit met change niet. Maar door de FC op share permissies kan hij/zij dit remote wel.

Ik snap je verhaal niet. Zonder Full Control (op NTFS) kun je gewoon geen rechten aanpassen.

vrijdag 12 december 2003 16:31

Acties:

Verwijderd

Terrestrial schreef op 12 december 2003 @ 16:08:
[...]

Ik snap je verhaal niet. Zonder Full Control (op NTFS) kun je gewoon geen rechten aanpassen.

precies... de rechten die je hebt is een combinatie van de rechten en in dit geval tellen de minste rechten (logische AND).

vrijdag 12 december 2003 19:14

Acties:

[ash]

Cookies :9

Is dat zo

zeker nog niet getest

Doe eens het volgende:

Maak een share X aan met Full-Control op share-nivo en Change op NTFS nivo voor user X. Maak dan eens een file aan in die folder en pas dan de rechten eens aan. Je zal zien dat dat gewoon mogelijk is, gezien jij CREATOR/OWNER bent.

Doe nu hetzelfde maar dan met Change op share-nivo.....

Je hebt gelijk met het feit dat de combinatie van share en NTFS een logische AND is, maar helaas is er een uitzondering. En deze uitzondering zit al in windows sinds NT, zelfs net nog even getest in een Windows 2003/XP omgeving en zoals verwacht is er niks veranderd.

Please try it