patrickebert
Goto Top

Berechtigung von Ordnern und Unterordner

Hallo alle zusammen habe folgendes Berechtigungsproblem
Und zwar geht mir darum
ich habe ein Freigabelaufwerk nennen wir mal Z:\
Darunter sind die Ordner1, Ordner2, ordner3 usw.
Die Ordner haben wieder bestimmte Unterordner 1, 2 und 3
Die Benutzer dürfen alles, bis auf die ebene mit den Ordner1 Ordner2 und Ordner 3 löschen.
Die Unterordner dürfen sie aber wieder löschen.
Wie stelle ich da die Berechtigungen ein?
Ich habe schon zig Varianten probiert nur leider ohne Erfolg.
Noch anzumerken wäre das in der Ebene Ordner immer weitere Ordner erstellt werden könnten, die aber dann wiederum ohne Berechtigungen wären.
Ist dies irgendwie zu Realisieren das ich die Berechtigungen auf dem Laufwerk einstellen kann, das meine beschrieben Vorstellung funktioniert?
Also ich will nicht immer auf den Ordner1, Ordner 2 usw. die Berechtigung verteilen, weil ich da kein Überblick habe, wann diese erstellt werden.

Content-ID: 243266

Url: https://administrator.de/forum/berechtigung-von-ordnern-und-unterordner-243266.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

gemini
gemini 11.07.2014 aktualisiert um 08:11:10 Uhr
Goto Top
Hallo Patrick,

auf Z:\ braucht die entspr. Gruppe das Recht zum Durchsuchen und Erstellen von Ordnern für 'Nur diesen Ordner'.
Ein weiterer Eintrag legt Vollzugriff für 'Nur Unterordner und Dateien' fest.

Gruß,
gemini
patrickebert
patrickebert 11.07.2014 um 08:33:06 Uhr
Goto Top
ja aber damit können ja wieder die Ordner1, Ordner2 und Ordner 3 gelöscht werden, was ja nicht soll
gemini
gemini 11.07.2014 um 08:53:42 Uhr
Goto Top
Hast Recht, dann musst du zus. auf Z:\ 'Nur diesen Ordner' Löschen verweigern.
patrickebert
patrickebert 11.07.2014 um 08:57:33 Uhr
Goto Top
das bezieht sich dann wiederum auch wieder nur auf Z:\ und nicht auf die Ordner1 , 2, 3 usw.
gemini
gemini 11.07.2014 aktualisiert um 10:11:01 Uhr
Goto Top
Zitat von @patrickebert:

das bezieht sich dann wiederum auch wieder nur auf Z:\ und nicht auf die Ordner1 , 2, 3 usw.

Also bei mir funktioniert es so, wobei:
C:\Test: das betreffende 'Root'
Kiddo: User für den die Rechte gelten.

Kiddo kann in C:\Test Ordner erstellen, diese jedoch nicht mehr löschen.
In den Unterordnern kann sie Ordner und Dateien erstellen und löschen.

PS C:\Users\gemini> get-acl C:\Test | fl
Path   : Microsoft.PowerShell.Core\FileSystem::C:\Test
Owner  : <PC>\gemini
Group  : <PC>\Kein
Access : <PC>\Kiddo Deny  Delete
         NT-AUTORITÄT\SYSTEM Allow  FullControl
         VORDEFINIERT\Administratoren Allow  FullControl
         <PC>\gemini Allow  FullControl
         <PC>\Kiddo Allow  AppendData, ReadAndExecute, Synchronize
         <PC>\Kiddo Allow  FullControl
Audit  :
Sddl   : O:S-1-5-21-4245326147-1829533512-820378925-1001G:S-1-5-21-4245326147-1829533512-820378925-513D:PAI(D;CINPIO;SD
         ;;;S-1-5-21-4245326147-1829533512-820378925-1006)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;FA;;;S-1-5-21-4245326
         147-1829533512-820378925-1001)(A;;0x1200ad;;;S-1-5-21-4245326147-1829533512-820378925-1006)(A;OICIIO;FA;;;S-1-
         5-21-4245326147-1829533512-820378925-1006)

PS C:\Users\gemini> get-acl 'C:\Test\Test1' | fl
Path   : Microsoft.PowerShell.Core\FileSystem::C:\Test\Test1
Owner  : <PC>\Kiddo
Group  : <PC>\Kein
Access : <PC>\Kiddo Deny  Delete
         NT-AUTORITÄT\SYSTEM Allow  FullControl
         VORDEFINIERT\Administratoren Allow  FullControl
         <PC>\geminiAllow  FullControl
         <PC>\Kiddo Allow  FullControl
Audit  :
Sddl   : O:S-1-5-21-4245326147-1829533512-820378925-1006G:S-1-5-21-4245326147-1829533512-820378925-513D:AI(D;ID;SD;;;S-
         1-5-21-4245326147-1829533512-820378925-1006)(A;OICIID;FA;;;SY)(A;OICIID;FA;;;BA)(A;OICIID;FA;;;S-1-5-21-424532
         6147-1829533512-820378925-1001)(A;OICIID;FA;;;S-1-5-21-4245326147-1829533512-820378925-1006)

PS C:\Users\gemini> get-acl 'C:\Test\Test1\Test2' | fl
Path   : Microsoft.PowerShell.Core\FileSystem::C:\Test\Test1\Test2
Owner  : <PC>\gemini
Group  : <PC>\Kein
Access : NT-AUTORITÄT\SYSTEM Allow  FullControl
         VORDEFINIERT\Administratoren Allow  FullControl
         <PC>\geminiAllow  FullControl
         <PC>\Kiddo Allow  FullControl
Audit  :
Sddl   : O:S-1-5-21-4245326147-1829533512-820378925-1001G:S-1-5-21-4245326147-1829533512-820378925-513D:AI(A;OICIID;FA;
         ;;SY)(A;OICIID;FA;;;BA)(A;OICIID;FA;;;S-1-5-21-4245326147-1829533512-820378925-1001)(A;OICIID;FA;;;S-1-5-21-42
         45326147-1829533512-820378925-1006)
PS C:\Users\gemini>

Gruß,
gemini
patrickebert
patrickebert 11.07.2014 um 10:44:18 Uhr
Goto Top
aber wenn ich auf z:\ "Nur diesen Ordner" löschen verweigern mache, dann kann ich ja nur z nicht löschen, aber die Ordner 1 und 2 und 3 schon
patrickebert
patrickebert 11.07.2014 um 11:05:20 Uhr
Goto Top
Du hast das sicherlich nur Lokal getest und nicht mit einer Freigabe von einem Server aus?
gemini
gemini 13.07.2014 um 19:14:44 Uhr
Goto Top
Zitat von @patrickebert:

Du hast das sicherlich nur Lokal getest und nicht mit einer Freigabe von einem Server aus?
Ja, habs aber inzwischen mit einer Freigabe in einer Domäne mit Server 2012R2 und Win8.1 nachgestellt.
Funktioniert, allerdings mit dem unschönen Nebeneffekt, dass der Anwender den Ordner der ersten Ebene nicht um-/benennen kann. Das kommt daher, dass zum Umbenennen das Recht Löschen notwendig ist.
Umgehen kann man das indem man den Ordner per Powershell (New-Item -ItemType Directory -Path \\Server\Freigabe\<whatsoever>) anlegt.
Wobei natürlich mit Verweigern-Rechten zu arbeiten schon suboptimal ist.

Wenn allerdings unterhalb der Freigabe sowieso eine festgelegte Ordnerstruktur ist (bspw. Projektverzeichnis mit Unterordnern Angebote, Rechnungen, Doku etc.) könntest du den Anwendern ein Script geben, dass dann die komplette Ordnerstruktur anlegt. Die Anwender müssten dann nur noch den Ordnernamen der ersten Ebene eingeben.

Gruß,
gemini
patrickebert
patrickebert 10.09.2014 um 08:56:17 Uhr
Goto Top
Hallo Gemini,

ich bin nun endlich mal zugekommen da ganze Szenario nochmals so durchzugehen.
Es funktioniert auch alles, so wie du beschrieben hast.
Jedoch ist mir noch ein andere Nebeneffekt aufgefallen, der mir leider nicht passt.
Wenn ich in der ersten Ebene ein Ordner verschieben will, kommt natürlich die Fehlermeldung: Fehler beim Verschieben, da der Zugriff fehlt.
Ist ja eigentlich auch richtig, jedoch verschiebt er den Ordner in die 2. Ebene.
In der ersten Ebene ist der Ordner noch da jedoch alles was darunter liegen sollte, ist nun verschoben.
Ich hoffe du verstehst was ich meine.
Kann man dies mit einer Berechtigung ändern?
Wenn ich den Unterordner das Löschen verweigere kann ich leider die Ordner in der 2. Ebene und 3. Ebene nicht mehr umbenennen.
Hat jemand zufällig noch einen Rat?
Oder hättest du für mich ein Script parat, welches eine festgelegte Ordnerstruktur anlegt und ich dies abändern kann?