Wenig geschrieben hast Du
Ich kann das Wort Share nicht weglassen, weil es bei sämtlichen FileServern bei uns die Basis für die Rechtestruktur ist, denn nur an einem Share kann Access Based Enumeration (kurz ABE) aktiviert werden. Damit eine Plausibilitätsprüfung noch vor Zugriff auf das Verzeichnis möglich ist (ähnlich, wie es bei Novell NetWare war), damit der Anwender nur die Verzeichnisse sieht, auf die er auch tatsächlich zugreifen kann. Das ganze funktioniert über verschachtelte DomainLocal-Groups (würde aber zu aufwendig jetzt, dies Genauer zu erklären).
Wie auch immer! Das Root-Verzeichnis auf dem die ganze Rechte-Struktur basiert, ist gleichzeitig der Haupt-Share. Dort liegen keine direkten Rechte für Anwender vor, sondern erstmal nur Browse-Rechte über DomainLocal-Groups, erst in den Unterverzeichnissen kommen die eigentlichen ActiveDirectory-Gruppen (meist GlobalGroups) zum Tragen, die Mitglieder enthalten. Das ist sehr granular aufgebaut, verhindert aber auch gleichzeitig, daß man mehr als einen Share pro NTFS-Partition benutzen muß, was der Übersichtlichkeit dient. Anwender haben dann über ActiveDirectory-Gruppen R- oder RW-Rechte und durch Direktzuweisung auf Ihr Heimat-Verzeichnis immer RW-Rechte, allerdings niemals FullControl, so daß Sie weder die Rechte-Struktur, noch die Vererbung brechen können sollten.
Das Problem ist auch nicht unsere Rechtestruktur, die nicht nur über ABE ein Plausibilitätsprüfung vor Zugriff erlaubt, sondern auch sehr strukturiert und granular aufgebaut ist, sondern Anwender, die Daten aus bestimmten Gruppen-Verzeichnissen der gleichen NTFS-Partition in ein anderes Gruppen-Verzeichnis verschieben und dabei dann die Rechte-Struktur des alten Gruppen-Verzeichnisses mitnehmen mit dem Effekt, daß in einem anderen Gruppen-Verzeichnis plötzlich nur Diejenigen Rechte auf die verschobenen Daten haben, die Mitglied des Verzeichnisses sind, aus dem die Daten ursprünglich verschoben wurden. Das ist eine NTFS-Krücke und gab es so unter Novell NetWare nicht.
Anwender schaffen es selbst in Ihrem Home-Verzeichnis (welches über eine Laufwerksbuchstaben root-gemapt wird), auf Welches sie nie FullControl-Rechte bekommen, einzelne Daten hineinzuspielen (auch in Unterverzeichnissen, die eigentlich die Rechte des Home-Verzeichnisses erben müßten), die plötzlich für Administratoren ohne zusätzliche Bearbeitung nicht einsehbar sind.
Die Folge => keine Security sichtbar. Administratoren müssen sich als Owner berechtigen, sich Zugriffsrechte wieder explizit erteilen, da die Vererbung nicht greift, Daten aus der NTFS-Partition raußkopieren und wieder reinkopieren und erst dann passt die Security und die Vererbung wieder. Wie das Anwender schaffen, ist mir bisher nicht ganz klar.
Fakt ist, daß ich solche Security-Probleme nur unter Windows NTFS kenne. Auf unseren ehemaligen Novell NetWare FileServern hat es solche Probleme nie gegeben. Anwender hatten damals dort niemals Access Control Rechte und konnten somit weder die Rechtestruktur, noch die Vererbung verändern.
Ich werde mir die von Dir genannten Tools mal bei Gelegenheit Genauer anschauen.
Gruß
Marc
