ADD-NTFSACCESS wirft ohne Take Ownership Berechtigungen Zugriffsfehler
Hallo zusammen,
ich habe ein Skript zur automatisierten Anlage von Usern erstellt.
Dieses beinhaltet unter Anderem, dass der User ein Home-Folder auf einem FileServer bekommt.
Das ganze Skript wird über einen Serviceuser gestartet und dieser soll auch das Erstellen des Users sowie für den Ordner zuständig sein.
Die OUs habe ich entsprechen berechtigt und das funktioniert auch alles super.
Doch ein Problem habe ich, was ich nicht so ganz verstehe....
Ich erstelle auf unserem Fileserver den Userordner, auf den nur dieser Berechtigungen bekommen soll.
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Allerdings läuft das Skript beim setzen der NTFS Berechtigungen über ADD-NtFSAccess auf einen Fehler.
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
Kann mir einer erklären warum dem so ist? Wofür benötige ich die Möglichkeit, der Owner zu werden? Erstens bin ich es durch die Anlage schon und zweitens müssten doch Change Permissions ausreichen oder sehe ich da was falsch?
Viele Grüße und besten Dank schon einmal für die Antwort.
makaroni
ich habe ein Skript zur automatisierten Anlage von Usern erstellt.
Dieses beinhaltet unter Anderem, dass der User ein Home-Folder auf einem FileServer bekommt.
Das ganze Skript wird über einen Serviceuser gestartet und dieser soll auch das Erstellen des Users sowie für den Ordner zuständig sein.
Die OUs habe ich entsprechen berechtigt und das funktioniert auch alles super.
Doch ein Problem habe ich, was ich nicht so ganz verstehe....
Ich erstelle auf unserem Fileserver den Userordner, auf den nur dieser Berechtigungen bekommen soll.
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Allerdings läuft das Skript beim setzen der NTFS Berechtigungen über ADD-NtFSAccess auf einen Fehler.
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
Kann mir einer erklären warum dem so ist? Wofür benötige ich die Möglichkeit, der Owner zu werden? Erstens bin ich es durch die Anlage schon und zweitens müssten doch Change Permissions ausreichen oder sehe ich da was falsch?
Viele Grüße und besten Dank schon einmal für die Antwort.
makaroni
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349493
Url: https://administrator.de/forum/add-ntfsaccess-wirft-ohne-take-ownership-berechtigungen-zugriffsfehler-349493.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
8 Kommentare
Neuester Kommentar
Hi,
Du meinst, wenn man vorher den Beitz übernimmt?
Falls ja: Wieso kann man dann Berechtigungen ändern, obwohl man keine Ändrungsrechte darfür hat?
Falls auch ja:
Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".
E.
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
"Berechtigung auf Take Ownership setzen" - Was bitte soll das sein?Du meinst, wenn man vorher den Beitz übernimmt?
Falls ja: Wieso kann man dann Berechtigungen ändern, obwohl man keine Ändrungsrechte darfür hat?
Falls auch ja:
Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".
E.
In den Advanced Settings gibt es das Feld "Take ownership"
Ach man ...Du meinst, wenn Du dem Benutzer das Recht ersteilst, den Besitz übernehmen zu können? "take ownerchip - allowed" ?
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Wo genau? Am Stammordner? Oder am neu erstellen Benutzerordner?Das wäre natürlich möglich. Ich versuche aber immer die Rechte soweit wie möglich zu beschränken.
Ja gut, das handhabe ich auch so. Aber zwischen "Ändern" + "Berechtigungen ändern" und "Vollzugriff" ist kaum ein Unterschied.Außerdem möchte ich auch gerne verstehen, warum unbedingt das Recht für die Besitzübernahmen gegeben sein muss.
Ja, hast recht. Finde ich auch interessant zuwissen. War mir bisher nicht bewusst, dass das so ist.