dermaddin
Goto Top

Fileserver - Massenänderung ACL

Moin Leute,

wir haben ein kleines Dillemma mit den Berechtigungen nach dem Umzug des Fileservers. Kurz zum Hintergrund...

Der alte Fileserver war eine mittlere Katastrophe was die Berechtigungen angeht. Zum Teil über AD-Gruppen gesteuert, mal nur Lesen mal Ändern und dann mal wieder Vollzugriff. Zwischendurch auch individuelle User auf Ordner direkt berechtigt und mittendrin auf Ebene 2 oder 3 auch mal die Vererbung ausgeschaltet und ganz andere Berechtigungen...

Wir haben nun ein neues Konzept entwickelt und umgesetzt. Eine Art Berechtigungsrollen. Dies funktioniert auch recht gut aber es gibt ein entscheidendes ABER!

Wenn in Ordner A100 und B200 die Gruppe "Chefs" Änderungsrechte haben aber die Gruppe "Knechte" nur auf B200 und nun von A100 nach B200 ein Ordner oder eine Datei mittels "Ausschneiden/Einfügen" oder via Drag&Drop verschoben wird, dann werden die ACL mit verschoben, so dass die "Knechte" den Ordner/Datei nicht sehen/zugreifen können (ABE ist aktiviert).

Aktuell müssen wir dann die ACLs bereinigen, kann aber nicht die Lösung sein. Also gesucht und gefunden im Internet: https://docs.microsoft.com/en-us/answers/questions/101102/server-2019-fi ...

So weit so gut, die Registry-Anpassung ist kein Thema aber wie ändere ich bei 15k Ordnern und 148k Dateien 375 lokale NTFS Gruppen? Die Antwort geht in Richtung PowerShell Skript. Leider bin ich da kein Profi drin.

Es geht eigentlich darum, bei jedem Ordner und Datei rekursiv die Berechtigung für Gruppen, die im Namen "Ändern" enthalten, die Berechtigung "Berechtigungen ändern" zu vergeben. Hat da jemand eine Idee?

Content-ID: 1889445801

Url: https://administrator.de/forum/fileserver-massenaenderung-acl-1889445801.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

emeriks
emeriks 11.02.2022 aktualisiert um 12:12:39 Uhr
Goto Top
Hi,
so auf die Schnelle:
Ein PowerShell-Script, welches rekursiv
  • von allen Ordnern die ACL abfragt
  • für jede ACL
    • sich selbst zum Besitzer der ACL machen
    • wenn die Vererbung nicht deaktiviert ist, dann
      • Vererbung deaktivieren -- dabei alle vererbten ACE entfernen lassen
      • Vererbung wieder aktivieren

Das wird dann dauern. Über WE laufen lassen. Vorher an Test-Struktur testen!
PS "als Administrator" laufen lassen.

E.

Edit:
Oder schau mal bei SetACL, ob da was passendes bei ist.
emeriks
emeriks 11.02.2022 um 12:13:43 Uhr
Goto Top
Und:
Mach da mal ne Masse draus. Das wäre über alle Maßen passend. face-wink
DerWoWusste
DerWoWusste 11.02.2022 um 12:22:31 Uhr
Goto Top
Hi.

Anstatt die Berechtigung "Berechtigungen ändern" zu vergeben (was Gefahren birgt - Leute wissen nicht immer, was sie tun), sollte man den Leuten einschärfen, nicht zu verschieben, sondern zu kopieren. Das lernen die auch mit der Zeit (können wir ein Lied von singen).
DerMaddin
DerMaddin 11.02.2022 um 12:33:15 Uhr
Goto Top
sollte man den Leuten einschärfen, nicht zu verschieben, sondern zu kopieren.

Und wie soll man das durchsetzen? Wird immer wieder Personen geben, die etwas bewusst oder unbewusst via Drag&Drop machen. Klar kann man die Kontext-Menüs und Drag&Drop in Windows auf gewisse Art ausschalten, dies ist dann aber systemweit, so dass ich dann nicht mehr lokal auf dem eigenen Desktop etwas hin und her schieben kann.
DerWoWusste
DerWoWusste 11.02.2022 um 12:48:01 Uhr
Goto Top
Und wie soll man das durchsetzen?
Kann man nicht. Allenfalls gibt es ein Tool "Drag&Drop-Interceptor", was eine voreinstellbare Warnung ausgibt.
Bei uns haben es die Leute nach einer Weile verstanden. Zuerst kam es natürlich dazu, dass Leute es vergessen haben, wir Admins an den ACLs berichtigen mussten und sie darauf hingewiesen haben.
DerWoWusste
DerWoWusste 11.02.2022 um 12:50:35 Uhr
Goto Top