8
ADD-NTFSACCESS wirft ohne Take Ownership Berechtigungen Zugriffsfehler
Hallo zusammen,
ich habe ein Skript zur automatisierten Anlage von Usern erstellt.
Dieses beinhaltet unter Anderem, dass der User ein Home-Folder auf einem FileServer bekommt.
Das ganze Skript wird über einen Serviceuser gestartet und dieser soll auch das Erstellen des Users sowie für den Ordner zuständig sein.
Die OUs habe ich entsprechen berechtigt und das funktioniert auch alles super.
Doch ein Problem habe ich, was ich nicht so ganz verstehe....
Ich erstelle auf unserem Fileserver den Userordner, auf den nur dieser Berechtigungen bekommen soll.
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Allerdings läuft das Skript beim setzen der NTFS Berechtigungen über ADD-NtFSAccess auf einen Fehler.
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
Kann mir einer erklären warum dem so ist? Wofür benötige ich die Möglichkeit, der Owner zu werden? Erstens bin ich es durch die Anlage schon und zweitens müssten doch Change Permissions ausreichen oder sehe ich da was falsch?
Viele Grüße und besten Dank schon einmal für die Antwort.
makaroni
ich habe ein Skript zur automatisierten Anlage von Usern erstellt.
Dieses beinhaltet unter Anderem, dass der User ein Home-Folder auf einem FileServer bekommt.
Das ganze Skript wird über einen Serviceuser gestartet und dieser soll auch das Erstellen des Users sowie für den Ordner zuständig sein.
Die OUs habe ich entsprechen berechtigt und das funktioniert auch alles super.
Doch ein Problem habe ich, was ich nicht so ganz verstehe....
Ich erstelle auf unserem Fileserver den Userordner, auf den nur dieser Berechtigungen bekommen soll.
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Allerdings läuft das Skript beim setzen der NTFS Berechtigungen über ADD-NtFSAccess auf einen Fehler.
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
Kann mir einer erklären warum dem so ist? Wofür benötige ich die Möglichkeit, der Owner zu werden? Erstens bin ich es durch die Anlage schon und zweitens müssten doch Change Permissions ausreichen oder sehe ich da was falsch?
Viele Grüße und besten Dank schon einmal für die Antwort.
makaroni
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349493
Url: https://administrator.de/contentid/349493
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
8 Kommentare
Neuester Kommentar
Hi,
Du meinst, wenn man vorher den Beitz übernimmt?
Falls ja: Wieso kann man dann Berechtigungen ändern, obwohl man keine Ändrungsrechte darfür hat?
Falls auch ja:
Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".
E.
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
"Berechtigung auf Take Ownership setzen" - Was bitte soll das sein?Du meinst, wenn man vorher den Beitz übernimmt?
Falls ja: Wieso kann man dann Berechtigungen ändern, obwohl man keine Ändrungsrechte darfür hat?
Falls auch ja:
Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".
E.
Hey,
danke für Deine Antwort:
E.
Mir geht es alleine um den Sinn, warum der Benutzer, über den die Berechtigungen gesetzt werden soll, Berechtigungen benötigt, den Besitzer zu ersetzen/übernehmen.
danke für Deine Antwort:
Zitat von @emeriks:
Hi,
In den Advanced Settings gibt es das Feld "Take ownership"Hi,
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
"Berechtigung auf Take Ownership setzen" - Was bitte soll das sein?Du meinst, wenn man vorher den Beitz übernimmt?
Ja genau, das ist dafür da, dass der Besitz des Ordners übernommen werden darf.Falls ja: Wieso kann man dann Berechtigungen ändern, obwohl man keine Ändrungsrechte darfür hat?
Ich brauche keine Besitzerrechte um Berechtigungen zu vergeben.Falls auch ja:
Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".
Das ist soweit klar, aber der Service User, über den die Eintragung der Rechte erfolgen soll, ist über die Vererbung bereits mit ausreichend Berechtigungen in der ACL eingetragen. Wenn dieser nicht vorhanden wäre, ergibt das alles für mich Sinn...Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".
E.
Mir geht es alleine um den Sinn, warum der Benutzer, über den die Berechtigungen gesetzt werden soll, Berechtigungen benötigt, den Besitzer zu ersetzen/übernehmen.
In den Advanced Settings gibt es das Feld "Take ownership"
Ach man ...Du meinst, wenn Du dem Benutzer das Recht ersteilst, den Besitz übernehmen zu können? "take ownerchip - allowed" ?
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Wo genau? Am Stammordner? Oder am neu erstellen Benutzerordner?Zitat von @emeriks:
Du meinst, wenn Du dem Benutzer das Recht ersteilst, den Besitz übernehmen zu können? "take ownerchip - allowed" ?
Ja genau In den Advanced Settings gibt es das Feld "Take ownership"
Ach man ...Du meinst, wenn Du dem Benutzer das Recht ersteilst, den Besitz übernehmen zu können? "take ownerchip - allowed" ?
sorry dass ich mich etwas blöd ausgedrück habe ;)Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Wo genau? Am Stammordner? Oder am neu erstellen Benutzerordner?
Warum ersteilst Du diesem ServiceUser nicht einfach Vollzugriff auf den Stammordner?
Das wäre natürlich möglich. Ich versuche aber immer die Rechte soweit wie möglich zu beschränken.
Außerdem möchte ich auch gerne verstehen, warum unbedingt das Recht für die Besitzübernahmen gegeben sein muss.
Außerdem möchte ich auch gerne verstehen, warum unbedingt das Recht für die Besitzübernahmen gegeben sein muss.
Das wäre natürlich möglich. Ich versuche aber immer die Rechte soweit wie möglich zu beschränken.
Ja gut, das handhabe ich auch so. Aber zwischen "Ändern" + "Berechtigungen ändern" und "Vollzugriff" ist kaum ein Unterschied.Außerdem möchte ich auch gerne verstehen, warum unbedingt das Recht für die Besitzübernahmen gegeben sein muss.
Ja, hast recht. Finde ich auch interessant zuwissen. War mir bisher nicht bewusst, dass das so ist.
Ich teste Mal weiter und melde mich sobald ich was weiß.
Eine Idee habe ich schon, wenn diese so sei, ist es mir peinlich diese Frage gestellt zu haben :P
Eine Idee habe ich schon, wenn diese so sei, ist es mir peinlich diese Frage gestellt zu haben :P
