Berechtigungsvergabe-Problem - Root-Ordner darf nicht verschiebbar sein, allerdings Unterordner haben Vollzugriff ?!?!
Hallo Jungs !
Hab mal wieder ne Frage:
Folgendes Problem: Auf einem FileServer gibt es div. Ordner. Diese Ordner sollen für eine Gruppe in der alle normale User sind (außer Domänen-Admin) weder verschiebbar, noch löschbar sein, allerdings soll diese Gruppe auf die dadrin enthaltenen Unterordner und Dateien Vollzugriff haben.
Mein Ansatz war gewesen einen Test-Ordner anzulegen, der keinerlei andere Verebungen hat und in den erweiterten Sicherheitseinstellungen explizit für diesen Ordner den Sicherheitseintrag "Löschen" auf "Verweigern" zu setzen mit der Option "Übernehmen für: Nur für diesen Ordner".
Für alle Unterornder wird der Gruppe explizit Vollzugriff erteilt.
Nur was sehr seltsam ist, man kann trotzallem den Wurzel-Ordner löschen !
Was mache ich da falsch oder was kommt sich in die Quere ? Windows meldet ja beim Setzen der Berechtigung dass Rechte mit Verweigerungen ein höheren Rang haben und durchgesetzt werden, aber hält sich nicht dran
Vielleicht hat einer ne Idee.
Grüße David Burkel
Hab mal wieder ne Frage:
Folgendes Problem: Auf einem FileServer gibt es div. Ordner. Diese Ordner sollen für eine Gruppe in der alle normale User sind (außer Domänen-Admin) weder verschiebbar, noch löschbar sein, allerdings soll diese Gruppe auf die dadrin enthaltenen Unterordner und Dateien Vollzugriff haben.
Mein Ansatz war gewesen einen Test-Ordner anzulegen, der keinerlei andere Verebungen hat und in den erweiterten Sicherheitseinstellungen explizit für diesen Ordner den Sicherheitseintrag "Löschen" auf "Verweigern" zu setzen mit der Option "Übernehmen für: Nur für diesen Ordner".
Für alle Unterornder wird der Gruppe explizit Vollzugriff erteilt.
Nur was sehr seltsam ist, man kann trotzallem den Wurzel-Ordner löschen !
Was mache ich da falsch oder was kommt sich in die Quere ? Windows meldet ja beim Setzen der Berechtigung dass Rechte mit Verweigerungen ein höheren Rang haben und durchgesetzt werden, aber hält sich nicht dran
Vielleicht hat einer ne Idee.
Grüße David Burkel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 28364
Url: https://administrator.de/contentid/28364
Ausgedruckt am: 13.11.2024 um 07:11 Uhr
3 Kommentare
Neuester Kommentar
Hi
Du kannst das mit dem Tool setacl.exe erreichen.
http://setacl.sourceforge.net/
Ordnerstruktur
f:\ordner1\ordner2\order3
Entferne am besten die Entsprechende Gruppe und setze sie neu:
rem setze read und execute nur für ordner1 (schalter i:np !!!)
setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:read_ex;i:np" -actn list
Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,read_execute,allow,no_inheritance"
SetACL finished successfully.
2. Schritt
rem setze Full nur auf Darunterliegende Ordner und Dateien (Schalter i:io,so,sc !!!!)
setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:full;i:io,so,sc" -actn list
Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,full,allow,container_inherit+object_inherit+inherit_only:DOEDL\GRUPPE,read_execute,allow,no_inheritance"
SetACL finished successfully.
das sollte funktionieren.
Gruß
Dieter
Du kannst das mit dem Tool setacl.exe erreichen.
http://setacl.sourceforge.net/
Ordnerstruktur
f:\ordner1\ordner2\order3
Entferne am besten die Entsprechende Gruppe und setze sie neu:
rem setze read und execute nur für ordner1 (schalter i:np !!!)
setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:read_ex;i:np" -actn list
Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,read_execute,allow,no_inheritance"
SetACL finished successfully.
2. Schritt
rem setze Full nur auf Darunterliegende Ordner und Dateien (Schalter i:io,so,sc !!!!)
setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:full;i:io,so,sc" -actn list
Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,full,allow,container_inherit+object_inherit+inherit_only:DOEDL\GRUPPE,read_execute,allow,no_inheritance"
SetACL finished successfully.
das sollte funktionieren.
Gruß
Dieter
Hi,
das Problem ist seit W2K und verstärkt seit W2K3 die Standardmäßige Vererbung der NTFS-Berechtigungen.
Wird normalerweise im Rootverzeichnis eines Laufwerkes unter W2K3 ein Verzeichnis angelegt, so erbt das Verzeichnis die Berechtigungen.
Will man eine Ebene tiefer einer der schon berechtigten Gruppen eine andere Berechtigung geben, so muss die Vererbung aufgebrochen werden und erst dann kann man die Berechtigung ändern.
Über den Explorer ist das ein ziemliches Geklickere und in großen Umgebungen wie bei uns (45000 User) schlichtweg unmöglich.
Also sucht man sich entsprechende Kommandozeilentools und da gibt es nur ein paar wirklich gute, die auch mit den erweiterten Berechtigungen umgehen können.
MS$ selbst hat da inzwischen ein xcacls.vbs draus gemacht, das wir aber nicht anwenden können, da wir Netapp-Filer einsetzen und die haben nicht die entsprechenden Provider on board
Also bleibt eigentlich nur der SD-Manager für die einfachen Arbeiten
und "SetACL" für die komplizierten Aufgaben.
Der Syntax ist zwar mehr als gewöhnungsbedürftig, aber dafür sehr mächtig und erlaubt die feinste Kontrolle.
Grüße
Dieter
das Problem ist seit W2K und verstärkt seit W2K3 die Standardmäßige Vererbung der NTFS-Berechtigungen.
Wird normalerweise im Rootverzeichnis eines Laufwerkes unter W2K3 ein Verzeichnis angelegt, so erbt das Verzeichnis die Berechtigungen.
Will man eine Ebene tiefer einer der schon berechtigten Gruppen eine andere Berechtigung geben, so muss die Vererbung aufgebrochen werden und erst dann kann man die Berechtigung ändern.
Über den Explorer ist das ein ziemliches Geklickere und in großen Umgebungen wie bei uns (45000 User) schlichtweg unmöglich.
Also sucht man sich entsprechende Kommandozeilentools und da gibt es nur ein paar wirklich gute, die auch mit den erweiterten Berechtigungen umgehen können.
MS$ selbst hat da inzwischen ein xcacls.vbs draus gemacht, das wir aber nicht anwenden können, da wir Netapp-Filer einsetzen und die haben nicht die entsprechenden Provider on board
Also bleibt eigentlich nur der SD-Manager für die einfachen Arbeiten
und "SetACL" für die komplizierten Aufgaben.
Der Syntax ist zwar mehr als gewöhnungsbedürftig, aber dafür sehr mächtig und erlaubt die feinste Kontrolle.
Grüße
Dieter