Löschen einer Datei in der Domäne verweigern

[Physikbuddha]

Hallo zusammen,

folgendes Problem:
Auf einem für alle Nutzer freigegebenen Laufwerk (also alle haben Lese/Schreibzugriff), soll genau eine Datei im Root nur Lesezugriff bieten. Ich habe die Berechtigungen entsprechend gesetzt, und den Nutzern wird auch der Schreibzugriff verweigert. Leider kann die Datei aber noch gelöscht werden, trotz explizit verweigerter Rechte.

Zum Testen habe ich allen Nutzern mal den Vollzugriff verweigert:


Nun kann keiner mehr lesen und schreiben, aber löschen geht immer noch.
Wie kann ich das verhindern?

Info: Clients sind Win 8.1, Server ist Win 2012 R2.

Freundlichen Gruß,

 

[Kenny [CH]]

Wenn auf dem File die Berechtigung vom Parent Folder bezogen wird, überschreibt dies dir die Manuell gesetzten Flags.

Berechtigungen würde ich aber nicht über die "einfache Datenfreigabe" setzten sondern über die Erweiterte Datenfreigabe.

Meinst du mit Root einen Linux Rechner, oder den Domain Admin Account von Windows?

 

[Physikbuddha]

Dann habe ich mich falsch ausgedrückt - mit Root meinte ich, dass die Datei direkt im Laufwerk L:\ (bei den Clients) liegt, und nicht in einem Unterordner.
Vererbung auf die Datei ist deaktiviert.
Ich habe auch schon überlegt, ob es an den übergeordneten Berechtigungen liegt. Aber die möchte ich ungern ändern, da ja die Nutzer die anderen Dateien auch löschen dürfen.

 

[firexs]

Hast du es definitiv mit einem reinen Domänen-Benutzer getestet, der kein Domänen-Admin ist und kein lokaler Admin?

In deinem Screenshot gibt es noch "Bearbeiten". Dort kannst du explizit für dieses eine Dokument alle möglichen Berechtigungen setzen/verweigern.
Außerdem schadet es nicht, alle unbenötigten 'Gruppen' zu entfernen. Im Notfall kann der Administrator immernoch den Besitz übernehmen, wenn man zuviele Berechtigungen gelöscht hat.

 

[Physikbuddha]

Ja, mit zwei unterschiedlichen Benutzern, die beide nur "Domänen-Benutzer" sind.
Außerdem scheint es ja auch einigermaßen zu funktionieren, weil mit obigen Einstellungen wird ja auch bei diesen Nutzern das Öffnen mit "Zugriff verweigert" quittiert.

Bearbeiten habe ich natürlich gemacht.

• Vererbung auf Deaktiviert gesetzt,
• Wie möchten Sie mit den aktuell vererbten Berechtigungen verfahren?
  --> Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren.
• Berechtigungen der Domänenbenutzer von "Zulassen, Speziell" (entspricht Vollzugriff ohne Berechtigungen ändern und Besitz übernehmen) auf "Verweigern, Vollzugriff" gesetzt.

Ich hab jetzt auch noch System und den lokalen Admin rausgenommen, mehr kann ich nicht löschen.


Klappt nur immer noch nicht.

 

[firexs]

Problem gefunden und gelöst: Die Sicherheitseinstellungen des Ordners, wo die Datei liegt, überschreiben den Lösch-Schutz.
Dh. entweder den Ordner anpassen und im schlimmsten Falle alles verwurschteln, oder besser: weiteren Ordner erstellen, freigeben und dort die Datei reinlegen. Den Ordner und die Datei mit Lösch-Schutz versehen.

lg
fire

 

[Physikbuddha]

Vielen Dank, das funktioniert problemlos!
Wieder was dazugelernt.