Besitzerrechte entfernen
-
Folgendes Szenario:
-Es gibt ein besonders geschütztes Verzeichnis mit EFS und gesetzten Rechten
-Admin gibt Gruppe/Nutzer Rechte in dieses Verzeichnis zu schreiben
-Nutzer legt eine Datei an
-Admin entfernt die Schreibrechte
-Nutzer schreibt munter weiter, weil er ja der Besitzer istDer letzte Punkt ist das Problem, dass ich beheben will. Ich möchte sowas wie "Besitzer hat nicht automatisch Rechte an Datei". Wenn ich mir die Berechtigungen ansehe, dann steht dort sowas:
http://imageshack.us/f/547/m10c.png/Rechte | Wer | Von wo ---------+-----------+---------------------- Zulassen | Gruppe | Übergeorneter Ordner <- so gewollt Zulassen | Nutzer | Übergeorneter Ordner <- so gewollt Zulassen | Ersteller | Übergeordnetes Objekt <- ungewolltWährend die oberen Rechte korrekt vom übergeordneten Order geerbt werden gibt es ein zusätzliches "Übergeordnetes Objekt", dass ich entfernen will.
Die Alternative bei allen Rechteänderungen den Besitz an allen Dateien im Ordner zu übernehmen erscheint mir unnötig kompliziert. Ich weiß, dass ich von Hand über die GUI dieses Zugriffsrecht vom "übergeordneten Objekt" entfernen kann und damit der Besitzer keine Zugriffsrechte mehr hat, aber ich muss das per WinAPI tun, am besten so, dass von vornherein im gesamten Ordner Besitzer keine Sonderrechte haben.
-
Das Problem liegt dann aber genau daran, dass die "CREATOR OWNER" (ERSTELLER) Gruppe eben mehr Rechte bereitstellt als gewünscht.
Wenn die Prozedur genau die ist, wie angegeben, dann kann "CREATOR OWNER" generell von allen Verzeichnissen entfernt werden und der Admin vergibt eben nur den Nutzern und Gruppen explizit die Rechte, die gerade notwendig sind.
Parallel dazu gilt: DENY auf das Datei-Schreiben sollte immer Vorrang über allen ALLOW Rechten haben, der Admin kann also das Schreiben bewusst verbieten. Schön ist diese Lösung aber nicht. Man sollte immer die ALLOW Rechte reduzieren wo möglich
