Beim Üben von Berechtigungen in Windows Server 2016 stieß ich auf ein seltsames Problem. Ich habe einer Gruppe namens „Human“ nur Leseberechtigung für ein freigegebenes Verzeichnis erteilt, aber der effektive Zugriffs-Tap zeigt, dass der Benutzer „luke.skywalker“, der Mitglied der Gruppe „Human“ ist, den folgenden Zugriff hat
Hier sind die tatsächlichen Berechtigungen
Dies führte natürlich dazu, dass Mitglieder der Human-Gruppe Verzeichnisse und Dateien innerhalb des Verzeichnisses erstellen und löschen konnten. Kann jemand eine Lösung oder einen Workaround für diese Situation vorschlagen?
Antwort1
In Ihrem Screenshot der tatsächlichen Berechtigungen verfügt die Gruppe „Authentifizierte Benutzer“ über Änderungsrechte.
Dadurch erhält jeder authentifizierte Benutzer (d. h. Domänenbenutzer) Änderungsrechte für diesen Ordner.
Wenn Sie möchten, dass die Gruppe „Mensch“ nur Lesezugriff hat, müssen Sie die Gruppe „Authentifizierte Benutzer“ entfernen.
Weitere Informationen zur Sonderidentität „Authentifizierte Benutzer“ finden Sie hier: https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/special-identities#authenticated-users
Randbemerkung: Stellen Sie vor dem Entfernen authentifizierter Benutzer sicher, dass sich alle Personen, die Zugriff benötigen, in einer Gruppe mit den entsprechenden Berechtigungen für diesen Ordner befinden.