ADD-NTFSACCESS wirft ohne Take Ownership Berechtigungen Zugriffsfehler

Mitglied: makaroni

makaroni (Level 1) - Jetzt verbinden

19.09.2017 um 15:04 Uhr, 938 Aufrufe, 8 Kommentare

Hallo zusammen,

ich habe ein Skript zur automatisierten Anlage von Usern erstellt.
Dieses beinhaltet unter Anderem, dass der User ein Home-Folder auf einem FileServer bekommt.
Das ganze Skript wird über einen Serviceuser gestartet und dieser soll auch das Erstellen des Users sowie für den Ordner zuständig sein.
Die OUs habe ich entsprechen berechtigt und das funktioniert auch alles super.
Doch ein Problem habe ich, was ich nicht so ganz verstehe....
Ich erstelle auf unserem Fileserver den Userordner, auf den nur dieser Berechtigungen bekommen soll.
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Allerdings läuft das Skript beim setzen der NTFS Berechtigungen über ADD-NtFSAccess auf einen Fehler.
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
Kann mir einer erklären warum dem so ist? Wofür benötige ich die Möglichkeit, der Owner zu werden? Erstens bin ich es durch die Anlage schon und zweitens müssten doch Change Permissions ausreichen oder sehe ich da was falsch?

Viele Grüße und besten Dank schon einmal für die Antwort.

makaroni
Mitglied: emeriks
19.09.2017 um 15:15 Uhr
Hi,
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
"Berechtigung auf Take Ownership setzen" - Was bitte soll das sein?
Du meinst, wenn man vorher den Beitz übernimmt?
Falls ja: Wieso kann man dann Berechtigungen ändern, obwohl man keine Ändrungsrechte darfür hat?
Falls auch ja:
Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".

E.
Bitte warten ..
Mitglied: makaroni
19.09.2017 um 15:40 Uhr
Hey,

danke für Deine Antwort:
Zitat von @emeriks:

Hi,
Sobald ich die Berechtigung auf Take Ownership setze funktioniert alles wie gewünscht, auch ohne Change Berechtigungen.
"Berechtigung auf Take Ownership setzen" - Was bitte soll das sein?
In den Advanced Settings gibt es das Feld "Take ownership"
Du meinst, wenn man vorher den Beitz übernimmt?
Ja genau, das ist dafür da, dass der Besitz des Ordners übernommen werden darf.
Falls ja: Wieso kann man dann Berechtigungen ändern, obwohl man keine Ändrungsrechte darfür hat?
Ich brauche keine Besitzerrechte um Berechtigungen zu vergeben.
Falls auch ja:
Weil man dann der Besitzer der ACL ist. Dieser kann die ACL ändern, auch wenn er nicht direkt in der ACL drin steht oder gar für sich selbst eine Verweigerung für "Rechte ändern" in der ACL hat. Das ist der Sinn der Eigenschaft "Besitzer".
Das ist soweit klar, aber der Service User, über den die Eintragung der Rechte erfolgen soll, ist über die Vererbung bereits mit ausreichend Berechtigungen in der ACL eingetragen. Wenn dieser nicht vorhanden wäre, ergibt das alles für mich Sinn...

E.


Mir geht es alleine um den Sinn, warum der Benutzer, über den die Berechtigungen gesetzt werden soll, Berechtigungen benötigt, den Besitzer zu ersetzen/übernehmen.
Bitte warten ..
Mitglied: emeriks
19.09.2017, aktualisiert um 15:47 Uhr
In den Advanced Settings gibt es das Feld "Take ownership"
Ach man ...
Du meinst, wenn Du dem Benutzer das Recht ersteilst, den Besitz übernehmen zu können? "take ownerchip - allowed" ?

Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Wo genau? Am Stammordner? Oder am neu erstellen Benutzerordner?
Bitte warten ..
Mitglied: makaroni
19.09.2017 um 16:02 Uhr
Zitat von @emeriks:

In den Advanced Settings gibt es das Feld "Take ownership"
Ach man ...
Du meinst, wenn Du dem Benutzer das Recht ersteilst, den Besitz übernehmen zu können? "take ownerchip - allowed" ?
Ja genau :) face-smile sorry dass ich mich etwas blöd ausgedrück habe ;)
Der Serviceuser ist mit den Modify Berechtigungen + Change Permissions ausgestattet und die Vererbung ist eingeschaltet.
Wo genau? Am Stammordner? Oder am neu erstellen Benutzerordner?
In beidem. Durch den Stammordner werden die Berechtigungen für den User auf die erstellten Ordner vererbt und durch die Erstellung ist dieser auch automatisch der Besitzer. (Im Grunde würde gar keine Vererbung benötigt wenn der Besitzer immer identisch bliebe)....
Bitte warten ..
Mitglied: emeriks
19.09.2017 um 16:08 Uhr
Warum ersteilst Du diesem ServiceUser nicht einfach Vollzugriff auf den Stammordner?
Bitte warten ..
Mitglied: makaroni
19.09.2017 um 16:53 Uhr
Das wäre natürlich möglich. Ich versuche aber immer die Rechte soweit wie möglich zu beschränken.
Außerdem möchte ich auch gerne verstehen, warum unbedingt das Recht für die Besitzübernahmen gegeben sein muss. :) face-smile
Bitte warten ..
Mitglied: emeriks
19.09.2017 um 17:15 Uhr
Das wäre natürlich möglich. Ich versuche aber immer die Rechte soweit wie möglich zu beschränken.
Ja gut, das handhabe ich auch so. Aber zwischen "Ändern" + "Berechtigungen ändern" und "Vollzugriff" ist kaum ein Unterschied.
Außerdem möchte ich auch gerne verstehen, warum unbedingt das Recht für die Besitzübernahmen gegeben sein muss. :) face-smile
Ja, hast recht. Finde ich auch interessant zuwissen. War mir bisher nicht bewusst, dass das so ist.
Bitte warten ..
Mitglied: makaroni
20.09.2017 um 08:35 Uhr
Ich teste Mal weiter und melde mich sobald ich was weiß.
Eine Idee habe ich schon, wenn diese so sei, ist es mir peinlich diese Frage gestellt zu haben :P
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 19 StundenFrageRouter & Routing25 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Entwicklung
Plattformübergreifende Programmierung mit Visual Studio
gelöst nagitaVor 1 TagAllgemeinEntwicklung11 Kommentare

Hallo ich habe mir vor einiger Zeit die aktuellste Version von Visual Studio installiert und bin eigentlich auch recht zufrieden damit. Ich habe vor, ...

Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke23 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Datenbanken
Liste als PDF ausdrucken
jensgebkenVor 1 TagFrageDatenbanken6 Kommentare

Hallo Gemeinschaft, Ich habe eine Access Datenbank und darin eine Abfrage in der Kunden Adressen und Kosten angezeigt werden pro Kunde. Nun möchte ich, ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 15 StundenFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...