mehr Berechtigungen auf gemeinsamen Ordner als eingestellt

tk_

Benutzer
Mitglied seit
05. Aug 2020
Beiträge
15
Punkte für Reaktionen
2
Punkte
3
Hallo zusammen,

ich habe ein kleines Problem mit den Rechten für einen gemeinsamen Ordner: mein Benutzer - nennen wir ihn A - hat zu viele Rechte.

Randbedingungen:
  • das Gerät ist eine Synology DS420j mit der aktuellen DSM-Version (6.2.3-25426 Update 2)
  • das Ganze läuft in einer Active-Directory-Umgebung (DC ist ein Windows Server 2016)
  • A ist (u.a.) Mitglied einer AD-Gruppe die nur Leserechte auf den Ordner hat
  • um die Daten auf das NAS zu kopieren hatte ich A Schreibrechte auf den Ordner gegeben und sie ihm wieder entzogen (standardmäßig will ich da nur Leserechte haben)
Wenn ich in der Systemsteuerung den Ordner bearbeite und mir die Berechtigungen anzeigen lasse, steht bei A - wie erwartet - bei Gruppenberechtigungen und Vorschau jeweils "nur Lesen". Merkwürdig ist nur dass in der Zeile die Kästchen "nur Lesen" und "benutzerdefiniert" ausgegraut sind, beim Benutzer B (gleiche Gruppe) dagegen nicht.
Rufe ich jetzt in der Systemsteuerung unter Domain -> Domainbenutzer die Berechtigungen von A auf steht dort unter Gruppenberechtigungen wieder "nur Lesen", unter Vorschau allerdings "Lesen/Schreiben" obwohl in der Zeile kein Haken gesetzt ist ("nur Lesen" und "benutzerdefiniert" sind wieder grau).

In der File Station bei den Eigenschaften des Ordner kann man sich ja noch die Berechtigungen des Ordners anzeigen lassen, dort wird A nicht aufgeführt, nur die Gruppe steht da mit Leserechten. In der Berechtigungsprüfung (gleicher Dialog, "erweiterte Optionen") bekomme ich angezeigt dass ich alle Rechte (auch Admin-Rechte) hätte - wie bekomme ich raus wo die Rechte her kommen bzw. wie werde ich sie los?

Viele Grüße,
Tobias
 

tk_

Benutzer
Mitglied seit
05. Aug 2020
Beiträge
15
Punkte für Reaktionen
2
Punkte
3
Ich antworte mir mal selbst :)

tl;dr: Mitglieder der Domaingruppen "Domain-Admins" und "Organisations-Admins" haben standardmäßig Admin- und damit überall Schreibrechte.

Ich konnte das Problem (nach zähem Hin und Her mit dem Support) lösen: wenn das NAS in eine Domain aufgenommen wird, werden die Domain-Gruppen "Domain-Admins" und "Organisations-Admins" zu Admin-Gruppen. A war (noch) in der Gruppe "Domain-Admins" und hat damit Adminrechte bekommen - und Admins haben immer Schreibrechte auf den gemeinsamen Ordnern.
Ein Löschen von A aus der Gruppe "Domain-Admins" hat erstmal nichts gebracht (trotz Aktualisierung der Domain-Daten über den entsprechenden Button), das Entfernen der Gruppe aus den Gruppen mit Adminrechten (Domain -> Domaine -> Domainoptionen -> Domainadministratoren) hat geholfen und A hatte (wie gewünscht) keine Schreibrechte mehr. Inzwischen kommen die auch nicht mehr zurück wenn man die Gruppe Domain-Admins wieder hinzufügt, da waren wohl noch Gruppenzugehörigkeiten im Cache.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat