makaroni
Goto Top

ADD-NTFSACCESS wirft ohne Take Ownership Berechtigungen Zugriffsfehler

Hallo zusammen,

ich habe ein Skript zur automatisierten Anlage von Usern erstellt.
Dieses beinhaltet unter Anderem, dass der User ein Home-Folder auf einem FileServer bekommt.
Das ganze Skript wird über einen Serviceuser gestartet und dieser soll auch das Erstellen des Users sowie für den Ordner zuständig sein.
Die OUs habe ich entsprechen berechtigt und das funktioniert auch alles super.
Doch ein Problem habe ich, was ich nicht so ganz verstehe....
Ich erstelle auf unserem Fileserver den Userordner, auf den nur dieser Berechtigungen bekommen soll.
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Allerdings läuft das Skript beim setzen der NTFS Berechtigungen über ADD-NtFSAccess auf einen Fehler.
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
Kann mir einer erklären warum dem so ist? Wofür benötige ich die Möglichkeit, der Owner zu werden? Erstens bin ich es durch die Anlage schon und zweitens müssten doch Change Permissions ausreichen oder sehe ich da was falsch?

Viele Grüße und besten Dank schon einmal für die Antwort.

makaroni

Content-ID: 349493

Url: https://administrator.de/forum/add-ntfsaccess-wirft-ohne-take-ownership-berechtigungen-zugriffsfehler-349493.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

emeriks
emeriks 19.09.2017 um 15:15:51 Uhr
Goto Top
Hi,
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
"Berechtigung auf Take Ownership setzen" - Was bitte soll das sein?
Du meinst, wenn man vorher den Beitz übernimmt?
Falls ja: Wieso kann man dann Berechtigungen ändern, obwohl man keine Ändrungsrechte darfür hat?
Falls auch ja:
Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".

E.
makaroni
makaroni 19.09.2017 um 15:40:23 Uhr
Goto Top
Hey,

danke für Deine Antwort:
Zitat von @emeriks:

Hi,
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
"Berechtigung auf Take Ownership setzen" - Was bitte soll das sein?
In den Advanced Settings gibt es das Feld "Take ownership"
Du meinst, wenn man vorher den Beitz übernimmt?
Ja genau, das ist dafür da, dass der Besitz des Ordners übernommen werden darf.
Falls ja: Wieso kann man dann Berechtigungen ändern, obwohl man keine Ändrungsrechte darfür hat?
Ich brauche keine Besitzerrechte um Berechtigungen zu vergeben.
Falls auch ja:
Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".
Das ist soweit klar, aber der Service User, über den die Eintragung der Rechte erfolgen soll, ist über die Vererbung bereits mit ausreichend Berechtigungen in der ACL eingetragen. Wenn dieser nicht vorhanden wäre, ergibt das alles für mich Sinn...

E.


Mir geht es alleine um den Sinn, warum der Benutzer, über den die Berechtigungen gesetzt werden soll, Berechtigungen benötigt, den Besitzer zu ersetzen/übernehmen.
emeriks
emeriks 19.09.2017 aktualisiert um 15:47:21 Uhr
Goto Top
In den Advanced Settings gibt es das Feld "Take ownership"
Ach man ...
Du meinst, wenn Du dem Benutzer das Recht ersteilst, den Besitz übernehmen zu können? "take ownerchip - allowed" ?

Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Wo genau? Am Stammordner? Oder am neu erstellen Benutzerordner?
makaroni
makaroni 19.09.2017 um 16:02:09 Uhr
Goto Top
Zitat von @emeriks:

In den Advanced Settings gibt es das Feld "Take ownership"
Ach man ...
Du meinst, wenn Du dem Benutzer das Recht ersteilst, den Besitz übernehmen zu können? "take ownerchip - allowed" ?
Ja genau face-smile sorry dass ich mich etwas blöd ausgedrück habe ;)
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Wo genau? Am Stammordner? Oder am neu erstellen Benutzerordner?
In beidem. Durch den Stammordner werden die Berechtigungen für den User auf die erstellten Ordner vererbt und durch die Erstellung ist dieser auch automatisch der Besitzer. (Im Grunde würde gar keine Vererbung benötigt wenn der Besitzer immer identisch bliebe)....
emeriks
emeriks 19.09.2017 um 16:08:13 Uhr
Goto Top
Warum ersteilst Du diesem ServiceUser nicht einfach Vollzugriff auf den Stammordner?
makaroni
makaroni 19.09.2017 um 16:53:36 Uhr
Goto Top
Das wäre natürlich möglich. Ich versuche aber immer die Rechte soweit wie möglich zu beschränken.
Außerdem möchte ich auch gerne verstehen, warum unbedingt das Recht für die Besitzübernahmen gegeben sein muss. face-smile
emeriks
emeriks 19.09.2017 um 17:15:41 Uhr
Goto Top
Das wäre natürlich möglich. Ich versuche aber immer die Rechte soweit wie möglich zu beschränken.
Ja gut, das handhabe ich auch so. Aber zwischen "Ändern" + "Berechtigungen ändern" und "Vollzugriff" ist kaum ein Unterschied.
Außerdem möchte ich auch gerne verstehen, warum unbedingt das Recht für die Besitzübernahmen gegeben sein muss. face-smile
Ja, hast recht. Finde ich auch interessant zuwissen. War mir bisher nicht bewusst, dass das so ist.
makaroni
makaroni 20.09.2017 um 08:35:21 Uhr
Goto Top
Ich teste Mal weiter und melde mich sobald ich was weiß.
Eine Idee habe ich schon, wenn diese so sei, ist es mir peinlich diese Frage gestellt zu haben :P