14
Fileserver (großteils) umstellen auf Ready only
Hallo,
wir führen ein DMS ein. In diesem Zuge sollen fast alle Ordner auf unserem Windows-Fileserver auf Ready only gesetzt werden. Alle neuen Inhalte sollen die User im DMS speichern
Wie haben bereits herausgefunden, dass man mit dem Microsoft-Tool iCACLS die NTFS-Rechte aller Ordner (inkl. Unterordner/Dateien) auf dem Fileserver in eine riesige Textdatei sichern und im schlechtesten Fall später auch wieder zurückspielen könnte, sollte das DMS-Projekt abgebrochen werden müssen. Soweit, so gut.
Problematisch ist bei uns , dass es sich um eine viele Jahre gewachsene Struktur handelt. Es gibt auf dem Fileserver zahlreiche Bereiche mit aufgehobenen Vererbungen, teilweise sind auch nicht nur AD-Gruppen sondern auch direkt einzelne User berechtigt worden... Eine manuelle Anpassung der unzähligen Ordner ist daher nicht machbar.
Unser Gedanke ist daher, per Skript (Powershell?) einfach alles auf Read only zu setzen und die einzelnen wenigen Ausnahmen hinterher händisch wieder auf Schreibrecht zurück zu ändern. Wir haben aber leider noch kein Skript gefunden, mit dem wir auf dem Fileserver alle vorhandenen NTFS-Schreiberechte (außer den Admin-Usern) einfach auf Nur-Lesen-Recht umstellen können. Dabei sollte das doch eigentlich gar nicht so kompliziert sein. Hat jemand von euch eine Lösung hierfür?
Ich hoffe, dass jemand schon Mal vor dem selben Problem stand, und seine Lösung mit uns teilen kann.
Gruß
ABC5000
und natürlich schöne Weihnachten euch allen!
wir führen ein DMS ein. In diesem Zuge sollen fast alle Ordner auf unserem Windows-Fileserver auf Ready only gesetzt werden. Alle neuen Inhalte sollen die User im DMS speichern
Wie haben bereits herausgefunden, dass man mit dem Microsoft-Tool iCACLS die NTFS-Rechte aller Ordner (inkl. Unterordner/Dateien) auf dem Fileserver in eine riesige Textdatei sichern und im schlechtesten Fall später auch wieder zurückspielen könnte, sollte das DMS-Projekt abgebrochen werden müssen. Soweit, so gut.
Problematisch ist bei uns , dass es sich um eine viele Jahre gewachsene Struktur handelt. Es gibt auf dem Fileserver zahlreiche Bereiche mit aufgehobenen Vererbungen, teilweise sind auch nicht nur AD-Gruppen sondern auch direkt einzelne User berechtigt worden... Eine manuelle Anpassung der unzähligen Ordner ist daher nicht machbar.
Unser Gedanke ist daher, per Skript (Powershell?) einfach alles auf Read only zu setzen und die einzelnen wenigen Ausnahmen hinterher händisch wieder auf Schreibrecht zurück zu ändern. Wir haben aber leider noch kein Skript gefunden, mit dem wir auf dem Fileserver alle vorhandenen NTFS-Schreiberechte (außer den Admin-Usern) einfach auf Nur-Lesen-Recht umstellen können. Dabei sollte das doch eigentlich gar nicht so kompliziert sein. Hat jemand von euch eine Lösung hierfür?
Ich hoffe, dass jemand schon Mal vor dem selben Problem stand, und seine Lösung mit uns teilen kann.
Gruß
ABC5000
und natürlich schöne Weihnachten euch allen!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5075624384
Url: https://administrator.de/forum/fileserver-grossteils-umstellen-auf-ready-only-5075624384.html
Ausgedruckt am: 20.04.2025 um 02:04 Uhr
14 Kommentare
Neuester Kommentar
Hi und merry xmas.
Nachdem, was du schreibst würde ich doch die Holzhammermethode anwenden ..
... sprich:
Obersten Ordner die Grundrechte setzen, also
- Admin: Full
- Users,: ReadOnly
Und für den ganzen Baum die Vererbung mit Löschung alter Berechtigungen aktivieren ...
Zuvor natürlich analysiert und dokumentiert, welche Gruppen oder User mehr Rechte brauchen und diese dann den entsprechenden Ordnern / Teilbäumen zuordnen ...
Sinnvoll ist dabei, die Ordnerstruktur ggf. anzupassen ...
Es gibt übrigens in den erweiterten Sicherheitsberechtigungen auch die Optionen Berechtigungen explizit zu verbieten ...
Eine manuelle Anpassung der unzähligen Ordner ist daher nicht machbar.
Nachdem, was du schreibst würde ich doch die Holzhammermethode anwenden ..
... sprich:
Obersten Ordner die Grundrechte setzen, also
- Admin: Full
- Users,: ReadOnly
Und für den ganzen Baum die Vererbung mit Löschung alter Berechtigungen aktivieren ...
Zuvor natürlich analysiert und dokumentiert, welche Gruppen oder User mehr Rechte brauchen und diese dann den entsprechenden Ordnern / Teilbäumen zuordnen ...
Sinnvoll ist dabei, die Ordnerstruktur ggf. anzupassen ...
Es gibt übrigens in den erweiterten Sicherheitsberechtigungen auch die Optionen Berechtigungen explizit zu verbieten ...
Genau das würden wir eigentlich gerne vermeiden. Die alte Rechtestruktur soll auf dem alten Server bei erhalten werden, eben nur lesend. Und im neuen System wird das alles ordentlich neu aufgebaut.
Wird auf die Fileserver bisher nur per SMB zugegriffen oder gibt es für die Benutzer noch andere Wege?
Beim reinen SMB-Zugriff könntest du einfach die Freigaberechte ändern, statt die NTFS-Berechtigungen zu verändern.
Einfach die Freigaberechte auf den Shares für Jeder auf Lesen setzen und eventuelle andere Berechtigungen löschen. Die NTFS-Berechtigungen bleiben erhalten und sollte es zum Abbruch kommen, setzt du einfach die Freigabeberechtigungen für Jeder auf Vollzugriff.
Beim reinen SMB-Zugriff könntest du einfach die Freigaberechte ändern, statt die NTFS-Berechtigungen zu verändern.
Einfach die Freigaberechte auf den Shares für Jeder auf Lesen setzen und eventuelle andere Berechtigungen löschen. Die NTFS-Berechtigungen bleiben erhalten und sollte es zum Abbruch kommen, setzt du einfach die Freigabeberechtigungen für Jeder auf Vollzugriff.
1
Hi
Warum stellst du die Freigabe Einstellungen nicht einfach auf Readonly?
Dann kannst du jederzeit die Rechte wieder auf Change stellen und die Anwender können wieder schreiben.
So musst du die bestehenden NTFS Security Einstellungen nicht anfassen.
Mit freundlichen Grüßen Nemesis
Warum stellst du die Freigabe Einstellungen nicht einfach auf Readonly?
Dann kannst du jederzeit die Rechte wieder auf Change stellen und die Anwender können wieder schreiben.
So musst du die bestehenden NTFS Security Einstellungen nicht anfassen.
Mit freundlichen Grüßen Nemesis
3
Freigaben auf lesen stellen.
Ordnerstruktur leer auf neue Freigabe kopieren und dort nicht mehr alle speichern lassen und dann permanent gucken, warum dort gespeichert wird. Nach kurzer Zeit sollte das Speichern weniger werden, wenn das Konzept stimmt und alle mitmachen.
Ordnerstruktur leer auf neue Freigabe kopieren und dort nicht mehr alle speichern lassen und dann permanent gucken, warum dort gespeichert wird. Nach kurzer Zeit sollte das Speichern weniger werden, wenn das Konzept stimmt und alle mitmachen.
Hallo Tikayevent und Nemesis,
ja, der Ansatz mit der Freigabe ist gut. Wir haben aber das Problem, dass ein paar Bereiche auf dem alten Fileserver eben doch noch eine Zeit lang weiterhin mit Schreibrecht belassen werden müssen. Daher dürfte das mit dem.Wegnehmen der Freigabe für unsere Thematik leider nicht klappen.
Ich meine sonst müssten wir die betroffenen Bereiche, für die weiterhin Schreibrechte benötigt werden, separat wieder freigeben und dadurch würde sich meines Erachtens dann der Pfad ändern und somit irgendwelche Verknüpfungen zwischen Dateien (Excel/Serienbriefe/...) Verloren gehen.
ja, der Ansatz mit der Freigabe ist gut. Wir haben aber das Problem, dass ein paar Bereiche auf dem alten Fileserver eben doch noch eine Zeit lang weiterhin mit Schreibrecht belassen werden müssen. Daher dürfte das mit dem.Wegnehmen der Freigabe für unsere Thematik leider nicht klappen.
Ich meine sonst müssten wir die betroffenen Bereiche, für die weiterhin Schreibrechte benötigt werden, separat wieder freigeben und dadurch würde sich meines Erachtens dann der Pfad ändern und somit irgendwelche Verknüpfungen zwischen Dateien (Excel/Serienbriefe/...) Verloren gehen.
Hi
Okay auf welcher Ebene wird das Schreibrecht benötigt ?
Ggf kannst du es in ein DFS Namespace überführen.
Mit freundlichen Grüßen Nemesis
Okay auf welcher Ebene wird das Schreibrecht benötigt ?
Ggf kannst du es in ein DFS Namespace überführen.
Mit freundlichen Grüßen Nemesis
Ich würde dann erstmal ne Übersicht machen WAS ihr eigentlich wollt. Einerseits willst du "alles nur read only" - und dann "aber da soll doch"?
Ich würde da zwei optionen machen:
a) Freigabe auf Read-Only stellen - fertig. Ab dann is nur noch lesender Zugriff.
b) Eine zweite Freigabe mit Schreibrechten auf der NUR Daten kommen auf die noch geschrieben werden musste
So kannst du bereits alle Daten anpassen die eben Schreibrechte brauchen - was du ja eh musst wenn du alles in nen DMS speicherst. Und jede Datei die angepasst wurde wird halt vom Share gelöscht....
Aber dir sollte schon klar sein das sowas eben normal nich "mal eben" gemacht ist... Und ich würde in jedem Fall BEVOR ich alles in nen DMS schiebe schauen welchen Weg zurück der Hersteller erlaubt. Ist ja blöd wenn du sonst feststellst das dein Anbieter ka. am 1. März plötzlich mal Insolvenz anmeldet, das Produkt abkündigt,... und du plötzlich doof da stehst (das ist für mich aktuell der grösste Grund der mich davon abhält...)
Ich würde da zwei optionen machen:
a) Freigabe auf Read-Only stellen - fertig. Ab dann is nur noch lesender Zugriff.
b) Eine zweite Freigabe mit Schreibrechten auf der NUR Daten kommen auf die noch geschrieben werden musste
So kannst du bereits alle Daten anpassen die eben Schreibrechte brauchen - was du ja eh musst wenn du alles in nen DMS speicherst. Und jede Datei die angepasst wurde wird halt vom Share gelöscht....
Aber dir sollte schon klar sein das sowas eben normal nich "mal eben" gemacht ist... Und ich würde in jedem Fall BEVOR ich alles in nen DMS schiebe schauen welchen Weg zurück der Hersteller erlaubt. Ist ja blöd wenn du sonst feststellst das dein Anbieter ka. am 1. März plötzlich mal Insolvenz anmeldet, das Produkt abkündigt,... und du plötzlich doof da stehst (das ist für mich aktuell der grösste Grund der mich davon abhält...)
Zitat von @ABC5000:
ja, der Ansatz mit der Freigabe ist gut. Wir haben aber das Problem, dass ein paar Bereiche auf dem alten Fileserver eben doch noch eine Zeit lang weiterhin mit Schreibrecht belassen werden müssen.
ja, der Ansatz mit der Freigabe ist gut. Wir haben aber das Problem, dass ein paar Bereiche auf dem alten Fileserver eben doch noch eine Zeit lang weiterhin mit Schreibrecht belassen werden müssen.
Dann legst du für eben diesen Bereich eine neue Freigabe oder eine separate AD Gruppe an und berechtigt diese auf die Freigabe.
Nicht zu kompliziert...
Grüße
Moin,
ich würde das Problem so angehen:
1. Alle User, die nur noch lesen dürfen, in eine Gruppe packen.
2. Auf alle Verzeichnisse/Dateien, auf die nur noch lesend zugegriffen werden soll, das Recht Write - Deny für diese Gruppe, in der alle sind, setzen.
Das kann man auch gut mir der PS durchrauschen lassen. Je nach Aufwand würde ich entweder erst alle auf Deny setzen und dann die einzelnen wieder rausflöhen oder eine CSV schreiben, in der die stehen, die weiter beschrieben werden sollen.
So erhältst Du die bestehende Struktur und, falls das Projekt in die Tonne getreten wird, musst Du einfach nur die Gruppe wieder leeren und alles ist wie vorher.
Zum Thema Rechte und PS: https://theitbros.com/get-acl-and-set-acl-cmdlets/
hth
Erik
ich würde das Problem so angehen:
1. Alle User, die nur noch lesen dürfen, in eine Gruppe packen.
2. Auf alle Verzeichnisse/Dateien, auf die nur noch lesend zugegriffen werden soll, das Recht Write - Deny für diese Gruppe, in der alle sind, setzen.
Das kann man auch gut mir der PS durchrauschen lassen. Je nach Aufwand würde ich entweder erst alle auf Deny setzen und dann die einzelnen wieder rausflöhen oder eine CSV schreiben, in der die stehen, die weiter beschrieben werden sollen.
So erhältst Du die bestehende Struktur und, falls das Projekt in die Tonne getreten wird, musst Du einfach nur die Gruppe wieder leeren und alles ist wie vorher.
Zum Thema Rechte und PS: https://theitbros.com/get-acl-and-set-acl-cmdlets/
hth
Erik
Interessanter Ansatz eriko. Werde ich mir durch den Kopf gehen lassen.
Die anderen Vorschläge erscheinen mir als sehr komfortabel, aber leider für meinen konkreten Fall nicht umsetzbar, da wir den Freigabepfad nicht ändern können. Es liegen in den hunderten von Ordnern auch hunderte von Dateien, die auf andere Dateien verweisen. Wenn ich den Freigabenamen/Pfad ändere, stimmen die Verweise nicht mehr.
Daher ist meines Erachtens nur eine Lösung über Anpassung der NTFS-Rechte wirklich sinnvoll.
Ja, wäre DFS im Einsatz, wäre da manches flexibler lösbar. Aber ist eine seit sicherlich über zehn Jahren gewachsene Struktur ohne DFS...
Nochmals in die Runde gefragt:
Es hat wirklich niemand ein Powershellskript, das einfach alle Ordner/Dokumente durch geht, nach aufgebrochen Vererbungen sucht und dort jeweils immer alle Schreibberechtigungen (außer denen der Admins) auf Leseberechtigungen setzt?
Die anderen Vorschläge erscheinen mir als sehr komfortabel, aber leider für meinen konkreten Fall nicht umsetzbar, da wir den Freigabepfad nicht ändern können. Es liegen in den hunderten von Ordnern auch hunderte von Dateien, die auf andere Dateien verweisen. Wenn ich den Freigabenamen/Pfad ändere, stimmen die Verweise nicht mehr.
Daher ist meines Erachtens nur eine Lösung über Anpassung der NTFS-Rechte wirklich sinnvoll.
Ja, wäre DFS im Einsatz, wäre da manches flexibler lösbar. Aber ist eine seit sicherlich über zehn Jahren gewachsene Struktur ohne DFS...
Nochmals in die Runde gefragt:
Es hat wirklich niemand ein Powershellskript, das einfach alle Ordner/Dokumente durch geht, nach aufgebrochen Vererbungen sucht und dort jeweils immer alle Schreibberechtigungen (außer denen der Admins) auf Leseberechtigungen setzt?
Dir ist aber schon mal die Frage in den Kopf gekommen: Wenn du das jetzt nicht von nem Freigabenamen umstellen kannst - wie willst du das denn erst in dem DMS einstellen? Da werden sich ja vermutlich die Verknüpfungen auch ändern, oder?
Moin,
Lies mal die Seite, die ich verlinkt habe. Da steht eigentlich alles, was Du brauchst.
hth
Erik
Zitat von @ABC5000:
Es hat wirklich niemand ein Powershellskript, das einfach alle Ordner/Dokumente durch geht, nach aufgebrochen Vererbungen sucht und dort jeweils immer alle Schreibberechtigungen (außer denen der Admins) auf Leseberechtigungen setzt?
Lies mal die Seite, die ich verlinkt habe. Da steht eigentlich alles, was Du brauchst.
hth
Erik
Zitat von @maretz:
Dir ist aber schon mal die Frage in den Kopf gekommen: Wenn du das jetzt nicht von nem Freigabenamen umstellen kannst - wie willst du das denn erst in dem DMS einstellen? Da werden sich ja vermutlich die Verknüpfungen auch ändern, oder?
Dir ist aber schon mal die Frage in den Kopf gekommen: Wenn du das jetzt nicht von nem Freigabenamen umstellen kannst - wie willst du das denn erst in dem DMS einstellen? Da werden sich ja vermutlich die Verknüpfungen auch ändern, oder?
Ja, deshalb fahren wir dreigleisig:
1) Neues im DMS anlegen
2) Altes im Read-only-Modus auf dem Fileserver belassen
3) (Noch) Aktiv in Benutzung befindliche verknüpfte Dateien bis auf weitere im Write-Modus auf dem Fileserver belassen.
Daher auch unsere Problematik mit den verschiedenen NTFS-Rechten. Es fehlt die Zeit *alles* ordentlich zeitnah für das DMS umzubauen.
Ist eine klassische 80/20-Lösung. Nicht ideal, aber besser als nichts...
