5
DFS Share Berechtigungen Frage
Moin,
ich stehe vor einem seltsamen Problem.
Eins unserer Tools schreibt über WPF eine Art Koordinatendatei mit dem Namen user.config
Diese landet normalerweise im Roaming Teil des Benutzerprofils.
Wenn im DFS Manager "modify" als Berechtigung eingetragen wird, scheitert eine Schreiboperation, die ansonsten auf regulären Freigaben mit "modify" Rechten einwandfrei durchläuft.
Das Benutzerprofil wird wiederum wie folgt gespeichert:
a) es wurde ein DFS Namespace eingerichtet, was auf dem Domain controler ein Verzeichnis erzeugt bs_<namespace> in dem "authenticated users" das "traverse folders" Recht haben, aber nicht mehr. Dieses Recht wurde vom DFS Manager erzeugt.
b) es wurde händisch im Dateisystem ein Ordner erzeugt, in dem per NTFS die "authenticated users" Modify rechte haben
c) dieser Ordner wurde freigegeben mit "modify" Rechten
d) ein DFS share wurde mit der Freigabe verlinkt und mit "modify" Zugriffsrechten eingerichtet. Die Windows Vorgabe war "full", auf "modify" geändert
(dfs management - share - folder targets
e) es wurde eine Folder redirection policy für "Appdata" eingerichtet, mit diesen Optionen
Path: \\win16.demo\bs_dfsFileshare\dfs_share_for_user_folders\%USERNAME%\AppData\Roaming
Options
Grant user exclusive rights to AppData(Roaming) Disabled
Move the contents of AppData(Roaming) to the new location Enabled
Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems Disabled
Seltsamerweise scheitert dann eine der zahlreichen Dateioperationen... die aber nicht darin besteht, einfach in die Datei reinzuschreiben, nein es wird eine neue Datei erstellt: 1.)Zufallsdateiname.newcfg 2.) umbenennen in Zufallsdateiname.tmp 3.) umbenennen Zufallsdateiname.tmp -> user.config
was mich extrem verwirrt ist daß bei diesen Berechtigungen Schritt 3 verweigert wird, im Process monitor sieht man daß diese Rechte im CreateFile angefordert werden
Desired Access: Read Attributes, Read Control, Write DAC
Disposition: Open
Options: Open Reparse Point
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
OpenResult: Opened
Ich hab dann zwei Workarounds gefunden
a) die Share properties / permissions im DFS Manager auf "full" gestellt
b) die Folder Redirection auf eine echte Windows-Freigabe mit "modify" Rechten laufen lassen
Meine Frage:
Warum schlägt die Operation fehl wenn ich im DFS Manager "modify" einstelle obwohl effektiv im NTFS und in den echten Freigaben dahinter stets nur Modify erlaubt ist? Ich hab extra auf dem Share mit dem "effective access" die Zugriffsrechte nachgeprüft.
OS und AD Level sind Windows 2016
ich stehe vor einem seltsamen Problem.
Eins unserer Tools schreibt über WPF eine Art Koordinatendatei mit dem Namen user.config
Diese landet normalerweise im Roaming Teil des Benutzerprofils.
Wenn im DFS Manager "modify" als Berechtigung eingetragen wird, scheitert eine Schreiboperation, die ansonsten auf regulären Freigaben mit "modify" Rechten einwandfrei durchläuft.
Das Benutzerprofil wird wiederum wie folgt gespeichert:
a) es wurde ein DFS Namespace eingerichtet, was auf dem Domain controler ein Verzeichnis erzeugt bs_<namespace> in dem "authenticated users" das "traverse folders" Recht haben, aber nicht mehr. Dieses Recht wurde vom DFS Manager erzeugt.
b) es wurde händisch im Dateisystem ein Ordner erzeugt, in dem per NTFS die "authenticated users" Modify rechte haben
c) dieser Ordner wurde freigegeben mit "modify" Rechten
d) ein DFS share wurde mit der Freigabe verlinkt und mit "modify" Zugriffsrechten eingerichtet. Die Windows Vorgabe war "full", auf "modify" geändert
(dfs management - share - folder targets
e) es wurde eine Folder redirection policy für "Appdata" eingerichtet, mit diesen Optionen
Path: \\win16.demo\bs_dfsFileshare\dfs_share_for_user_folders\%USERNAME%\AppData\Roaming
Options
Grant user exclusive rights to AppData(Roaming) Disabled
Move the contents of AppData(Roaming) to the new location Enabled
Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems Disabled
Seltsamerweise scheitert dann eine der zahlreichen Dateioperationen... die aber nicht darin besteht, einfach in die Datei reinzuschreiben, nein es wird eine neue Datei erstellt: 1.)Zufallsdateiname.newcfg 2.) umbenennen in Zufallsdateiname.tmp 3.) umbenennen Zufallsdateiname.tmp -> user.config
was mich extrem verwirrt ist daß bei diesen Berechtigungen Schritt 3 verweigert wird, im Process monitor sieht man daß diese Rechte im CreateFile angefordert werden
Desired Access: Read Attributes, Read Control, Write DAC
Disposition: Open
Options: Open Reparse Point
Attributes: n/a
ShareMode: Read, Write, Delete
AllocationSize: n/a
OpenResult: Opened
Ich hab dann zwei Workarounds gefunden
a) die Share properties / permissions im DFS Manager auf "full" gestellt
b) die Folder Redirection auf eine echte Windows-Freigabe mit "modify" Rechten laufen lassen
Meine Frage:
Warum schlägt die Operation fehl wenn ich im DFS Manager "modify" einstelle obwohl effektiv im NTFS und in den echten Freigaben dahinter stets nur Modify erlaubt ist? Ich hab extra auf dem Share mit dem "effective access" die Zugriffsrechte nachgeprüft.
OS und AD Level sind Windows 2016
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 526214
Url: https://administrator.de/contentid/526214
Printed on: April 18, 2024 at 07:04 o'clock
5 Comments
Latest comment
Hi,
sorry, aber Dein Text ist zwar lang aber deswegen nicht besser schlüssig.
Für Ordnerumleitung muss der Benutzer Vollzugriff haben. In der Freigabe und im Zielordner.
Bei DFS-Stämmen muss man dann beachten, dass das auch für die Freigabeberechtigungen in der Stammfreigabe gilt.
Ein "Create" ist nicht gleich einem "Create". Es kommt darauf an, mit welchen Anforderungen an den Zugriff dieses erfolgt. "Write DAC" fällt aber bei Freigaben definitiv unter "Vollzugriff".
E.
sorry, aber Dein Text ist zwar lang aber deswegen nicht besser schlüssig.
Für Ordnerumleitung muss der Benutzer Vollzugriff haben. In der Freigabe und im Zielordner.
Bei DFS-Stämmen muss man dann beachten, dass das auch für die Freigabeberechtigungen in der Stammfreigabe gilt.
Ein "Create" ist nicht gleich einem "Create". Es kommt darauf an, mit welchen Anforderungen an den Zugriff dieses erfolgt. "Write DAC" fällt aber bei Freigaben definitiv unter "Vollzugriff".
E.
ich bin vorher noch nie so tief in das DFS eingedrungen, mir fehlt da einfach der Hintergrund und die Erfahrung, um gezielter das Problem zu beschreiben.
Aber ich muß dir auch widersprechen. Das Write DAC ist in einem normalen Windows Fileshare mit "modify" Rechten durchführbar (bzw. read write).
Das einzige was ein unbedachter Administrator mit der "einfachen" Freigabe in Windows bewirken kann ist daß er "read write" in den Share-Berechtigungen einträgt, woraufhin Windows dann anfängt, an die Datei-ACLs und die Ordner-ACLs ein "full control" ranzuschreiben. Was man natürlich im "advanced share" auf "modify" bzw. die unten angehängten Detailrechte bewirken kann.
Andererseits ist es nicht meine IDee, Benutzern nicht die vollen Zugriffsrechte in ihrem Roaming profile zu geben... ich bin nur derjenige, der eine Test-Domäne so verdrehen muß daß ich das Verhalten reproduzieren kann damit man weiß wodurch das verursacht wird und man über Workarounds nachdenken kann.
Aber ich muß dir auch widersprechen. Das Write DAC ist in einem normalen Windows Fileshare mit "modify" Rechten durchführbar (bzw. read write).
Das einzige was ein unbedachter Administrator mit der "einfachen" Freigabe in Windows bewirken kann ist daß er "read write" in den Share-Berechtigungen einträgt, woraufhin Windows dann anfängt, an die Datei-ACLs und die Ordner-ACLs ein "full control" ranzuschreiben. Was man natürlich im "advanced share" auf "modify" bzw. die unten angehängten Detailrechte bewirken kann.
Andererseits ist es nicht meine IDee, Benutzern nicht die vollen Zugriffsrechte in ihrem Roaming profile zu geben... ich bin nur derjenige, der eine Test-Domäne so verdrehen muß daß ich das Verhalten reproduzieren kann damit man weiß wodurch das verursacht wird und man über Workarounds nachdenken kann.
Zitat von @GrueneSosseMitSpeck:
Andererseits ist es nicht meine IDee, Benutzern nicht die vollen Zugriffsrechte in ihrem Roaming profile zu geben... war aber auch nicht meine Idee, ....
Ist die dopplete Verneinung nun Absicht oder Fehler von Dir. So jedefalls ergibt das irgendwie keinen Sinn.Andererseits ist es nicht meine IDee, Benutzern nicht die vollen Zugriffsrechte in ihrem Roaming profile zu geben... war aber auch nicht meine Idee, ....
Und wieso jetzt plötzlich Roaming Profiles? Du schriebst ursprünglich etwas von umgeleiteten Ordnern. Damit sind sie nicht mehr Bestandteil des Roamin Profiles. Also was nun?
Aber ich muß dir auch widersprechen. Das Write DAC ist in einem normalen Windows Fileshare mit "modify" Rechten durchführbar (bzw. read write).
Das wage ich zu bezweifeln. "Write DAC" ist - meines Wissens - ein Schreibvorgang in der ACL. Und wenn man "durch eine Freigabe hindurch" in der ACL einer Datei oder eines Ordners auf einem NTFS-Volume schreiben will, dann muss man in der Freigabe "Vollzugriff" haben.Kann es sein, dass Du bei Deinem Test Freigabe- und NTFS-Berechtigungen verwechselt hast?
Das einzige was ein unbedachter Administrator mit der "einfachen" Freigabe in Windows bewirken kann ist daß er "read write" in den Share-Berechtigungen einträgt, woraufhin Windows dann anfängt, an die Datei-ACLs und die Ordner-ACLs ein "full control" ranschreibt. Was man natürlich im "advanced share" auf "modify" bzw. die unten angehängten Detailrechte bewirken kann.
Das ist klar. Hier muss man zwischen den "allgemeinen" und "speziellen" Rechten unterscheiden.
hör mal Kumpel, der Ordner vom Roaming Profile heißt %username%\appdata\roaming und oben schrieb ich "es wurde eine Folder redirection policy für "Appdata" eingerichtet, mit diesen Optionen"... du mutmaßt nur, während ich zwei VMs vor mir habe in denen das so passiert wie ich beschreibe. WriteDAC geht mit einem "modify" share, aber nicht mit "change" permissoins im DFS.
Hat aber auch keiner von euch mal fertiggebracht, mir zu sagen daß "creator owner" volle Zugriffsrechte haben sollen und daß es auch ein Best practice von Microsoft selbst gibt (muß man in englisch lesen, die deutsche Übersetzung ist tlw unverständlich)
folder redirection GPO mit DFS best practice bei Microsoft
Hat aber auch keiner von euch mal fertiggebracht, mir zu sagen daß "creator owner" volle Zugriffsrechte haben sollen und daß es auch ein Best practice von Microsoft selbst gibt (muß man in englisch lesen, die deutsche Übersetzung ist tlw unverständlich)
folder redirection GPO mit DFS best practice bei Microsoft
Ich will nur helfen, kanm es aber auch lassen.
Und der von Dir genannte Link führt zu "Bereitstellen der Ordner Umleitung mit Offlinedateien", und nicht zu einem Thema mit "DFS" oder "best practise". (bzw. "Deploy Folder Redirection with Offline Files", wir sollten ja in englisch lesen)
Wenn wir Dir hier helfen sollen, dann solltes Du schon mit genauen Informationen helfen. Soviel zum Mutmaßen.
Ich habe Dir bereits geschrieben, dass da Vollzugriff benötigt wird. Wie man das gewährleistet, ist egal. Sowas über "Ersteller Besitzer" im übergeordneten NTFS-Ordner zu gewährleisten, ist tatsächlich am sinnvollsten, aber eben nicht der einzige mögliche Weg.
der Ordner vom Roaming Profile heißt %username%\appdata\roaming
Nein, ganz sicher nicht. Das ist nur jener Ordner von AppData, welcher mit dem Roaming Profile synchronisiert wird. Das ist nur ein Ordner von vielen, welche zum Profil gehören.Und der von Dir genannte Link führt zu "Bereitstellen der Ordner Umleitung mit Offlinedateien", und nicht zu einem Thema mit "DFS" oder "best practise". (bzw. "Deploy Folder Redirection with Offline Files", wir sollten ja in englisch lesen)
Wenn wir Dir hier helfen sollen, dann solltes Du schon mit genauen Informationen helfen. Soviel zum Mutmaßen.
Hat aber auch keiner von euch mal fertiggebracht, mir zu sagen daß "creator owner" volle Zugriffsrechte haben sollen
Wir entschuldigen uns alle von ganzem Herzen bei Dir. Wolltest Du das als Anwort haben?Ich habe Dir bereits geschrieben, dass da Vollzugriff benötigt wird. Wie man das gewährleistet, ist egal. Sowas über "Ersteller Besitzer" im übergeordneten NTFS-Ordner zu gewährleisten, ist tatsächlich am sinnvollsten, aber eben nicht der einzige mögliche Weg.
