Berechtigungen via Skript einstellen. Skript setzt Lesen-Verweigerungseintrag?

Mitglied: Barthinator

Barthinator (Level 1) - Jetzt verbinden

23.12.2015, aktualisiert 28.12.2015, 962 Aufrufe, 3 Kommentare, 1 Danke

Moin,

ich stehe leider total auf dem Schlauch und komme nicht mehr weiter. Aber erst einmal etwas zum Hintergrund:

wir haben hier einen Windows Storage Server 2008 R2 Standard als Mitgliedsserver eine Windows Domäne auf welchen wir unsere Projekte ablegen. Die Ordnerstruktur sieht abgekürzt wie folgt aus
\\Server\Projekte\2016\16000
\\Server\Projekte\2016\16001
\\Server\Projekte\2016\16002
...usw. Die Struktur geht zwar noch tiefer, aber das ist erstmal irrelevant.

Von den Berechtigungen soll das ganze so aussehen, dass die Mitarbeiter nichts ändern oder löschen können außer ab der 3. Ebene, also alles was tiefer im Ordner 16000 beispielsweise kommt, da können die User wilde Sau spielen.

Da das sehr viele Ordner sind, wollte ich ein kleines Batch-Skript mit icacls schreiben, welches mir die Berechtigungen setzt, da das händisch sehr aufwändig wäre. Mein Skript sieht bisher so aus:


Meine Logik war, dass ich quasi alles erlaube für diesen Ordner, Unterordner und Dateien und dann einen Verweigerungseintrag für das Löschen nur für diesen Ordner einstelle. Wenn ich diese Berechtigungen so per Hand einstelle, dann funktioniert alles super. Wenn ich das Skript laufen lasse, dann sieht auf dem ersten Blick alles erfolgreich aus, allerdings haben die User dann nicht mehr weiter als Order 2016. Ich sehe zwar noch die einzelnen aber wenn ich darauf klicke, erhalte ich eine Fehlermeldung:

"\\Server\Projekte\2016\16001" ist nicht verfügbar. Wenn sich der Speicherort auf diesem PC befindet, stellen Sie sicher, dass das Gerät oder Laufwerk angeschlossen oder der Datenträger eingelegt ist, und wiederholen Sie den Vorgang. Stellen Sie im Fall eines Netzwerkspeicherorts sicher, dass Sie mit dem Netzwerk oder Internet verbunden sind, und wiederholen Sie den Vorgang. Falls der Speicherort weiterhin nicht gefunden wird, wurde er möglicherweise verschoben oder gelöscht.

Sobald ich aber händisch in die GUI zum Einstellen der Berechtigungen gehe (es sieht alles so aus wie als hätte ich es auch händisch eingestellt, auch die effektiven Berechtigungen sehen alle super aus), und dort nur eine oder irgendeine weitere Berechtigung anlege oder entferne zu der bestehenden dann funktioniert der Zugriff wieder tadellos.

Vielleicht hat ja jemand eine Idee oder weiß sofort Bescheid, was ich falsch gemacht habe und kann mir helfen.


Ansonsten wünsche ich schon mal allen ein frohes Fest und einen guten Rutsch!
Mitglied: AndreasHoster
LÖSUNG 23.12.2015, aktualisiert 28.12.2015
Guck Dir mal https://social.technet.microsoft.com/Forums/windows/en-US/430f61ee-b278- ... an.
Laut dem hat icacls einen Bug was das Verweigern angeht.
Bitte warten ..
Mitglied: Barthinator
23.12.2015, aktualisiert um 16:26 Uhr
Super Hinweis, vielen Dank! Komme leider erst am Montag wieder dazu, aber da haben wohl mehrere das Problem mit der kompletten Verweigerung.
LG
Bitte warten ..
Mitglied: Barthinator
28.12.2015 um 10:57 Uhr
Moin,

also tatsächlich gibt es beim Verweigern einen Bug (wenn ist nicht sogar ein Feature ist).

Statt ICACLS wollte ich CACLS nutzen, aber dies ist veraltet und bietet mir nicht genug Optionen für mein Vorhaben. Da es einen Unterschied zwischen der GUI Berechtigungen und den tatsächlich gesetzten Berechtigungen gibt, wäre noch eine Möglichkeit gewesen per GUI die Berechtigungen für einen Ordner richtig anzupassen und dann per ICACLS die Berechtigungen zu exportieren und auf andere Ordner wieder importieren. Da ich das aber auf die Schnelle nicht hinbekommen habe (Struktur muss am 01.01.16 stehen), habe ich mich in die Variante nicht besonders vertieft.

Allerdings habe ich noch einen letztendlich entscheidenden Hinweiß bekommen, welcher mit ein paar Abänderungen für mein Vorhaben ausreicht. Ausschlaggebend war der Parameter 'DE'. Mein Code sieht jetzt wie folgt aus und funktioniert nach meinen Vorstellungen:

Manche Befehle machen für mich wenig Sinn und sind nicht gerade nachvollziehbar, aber nur so funktioniert es bei mir. Durch etwas herumprobieren habe ich es doch noch so geschafft.

Vielen Dank Andreas für den Tipp und Denkanstoß!
Guten Rutsch!
LG
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server8 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 18 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 21 StundenFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 20 StundenFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 18 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...