6
Fileserver - Massenänderung ACL
Moin Leute,
wir haben ein kleines Dillemma mit den Berechtigungen nach dem Umzug des Fileservers. Kurz zum Hintergrund...
Der alte Fileserver war eine mittlere Katastrophe was die Berechtigungen angeht. Zum Teil über AD-Gruppen gesteuert, mal nur Lesen mal Ändern und dann mal wieder Vollzugriff. Zwischendurch auch individuelle User auf Ordner direkt berechtigt und mittendrin auf Ebene 2 oder 3 auch mal die Vererbung ausgeschaltet und ganz andere Berechtigungen...
Wir haben nun ein neues Konzept entwickelt und umgesetzt. Eine Art Berechtigungsrollen. Dies funktioniert auch recht gut aber es gibt ein entscheidendes ABER!
Wenn in Ordner A100 und B200 die Gruppe "Chefs" Änderungsrechte haben aber die Gruppe "Knechte" nur auf B200 und nun von A100 nach B200 ein Ordner oder eine Datei mittels "Ausschneiden/Einfügen" oder via Drag&Drop verschoben wird, dann werden die ACL mit verschoben, so dass die "Knechte" den Ordner/Datei nicht sehen/zugreifen können (ABE ist aktiviert).
Aktuell müssen wir dann die ACLs bereinigen, kann aber nicht die Lösung sein. Also gesucht und gefunden im Internet: https://docs.microsoft.com/en-us/answers/questions/101102/server-2019-fi ...
So weit so gut, die Registry-Anpassung ist kein Thema aber wie ändere ich bei 15k Ordnern und 148k Dateien 375 lokale NTFS Gruppen? Die Antwort geht in Richtung PowerShell Skript. Leider bin ich da kein Profi drin.
Es geht eigentlich darum, bei jedem Ordner und Datei rekursiv die Berechtigung für Gruppen, die im Namen "Ändern" enthalten, die Berechtigung "Berechtigungen ändern" zu vergeben. Hat da jemand eine Idee?
wir haben ein kleines Dillemma mit den Berechtigungen nach dem Umzug des Fileservers. Kurz zum Hintergrund...
Der alte Fileserver war eine mittlere Katastrophe was die Berechtigungen angeht. Zum Teil über AD-Gruppen gesteuert, mal nur Lesen mal Ändern und dann mal wieder Vollzugriff. Zwischendurch auch individuelle User auf Ordner direkt berechtigt und mittendrin auf Ebene 2 oder 3 auch mal die Vererbung ausgeschaltet und ganz andere Berechtigungen...
Wir haben nun ein neues Konzept entwickelt und umgesetzt. Eine Art Berechtigungsrollen. Dies funktioniert auch recht gut aber es gibt ein entscheidendes ABER!
Wenn in Ordner A100 und B200 die Gruppe "Chefs" Änderungsrechte haben aber die Gruppe "Knechte" nur auf B200 und nun von A100 nach B200 ein Ordner oder eine Datei mittels "Ausschneiden/Einfügen" oder via Drag&Drop verschoben wird, dann werden die ACL mit verschoben, so dass die "Knechte" den Ordner/Datei nicht sehen/zugreifen können (ABE ist aktiviert).
Aktuell müssen wir dann die ACLs bereinigen, kann aber nicht die Lösung sein. Also gesucht und gefunden im Internet: https://docs.microsoft.com/en-us/answers/questions/101102/server-2019-fi ...
So weit so gut, die Registry-Anpassung ist kein Thema aber wie ändere ich bei 15k Ordnern und 148k Dateien 375 lokale NTFS Gruppen? Die Antwort geht in Richtung PowerShell Skript. Leider bin ich da kein Profi drin.
Es geht eigentlich darum, bei jedem Ordner und Datei rekursiv die Berechtigung für Gruppen, die im Namen "Ändern" enthalten, die Berechtigung "Berechtigungen ändern" zu vergeben. Hat da jemand eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1889445801
Url: https://administrator.de/contentid/1889445801
Printed on: July 27, 2024 at 11:07 o'clock
6 Comments
Latest comment
Hi,
so auf die Schnelle:
Ein PowerShell-Script, welches rekursiv
Das wird dann dauern. Über WE laufen lassen. Vorher an Test-Struktur testen!
PS "als Administrator" laufen lassen.
E.
Edit:
Oder schau mal bei SetACL, ob da was passendes bei ist.
so auf die Schnelle:
Ein PowerShell-Script, welches rekursiv
- von allen Ordnern die ACL abfragt
- für jede ACL
- sich selbst zum Besitzer der ACL machen
- wenn die Vererbung nicht deaktiviert ist, dann
- Vererbung deaktivieren -- dabei alle vererbten ACE entfernen lassen
- Vererbung wieder aktivieren
Das wird dann dauern. Über WE laufen lassen. Vorher an Test-Struktur testen!
PS "als Administrator" laufen lassen.
E.
Edit:
Oder schau mal bei SetACL, ob da was passendes bei ist.
Und:
Mach da mal ne Masse draus. Das wäre über alle Maßen passend.
Mach da mal ne Masse draus. Das wäre über alle Maßen passend.
Hi.
Anstatt die Berechtigung "Berechtigungen ändern" zu vergeben (was Gefahren birgt - Leute wissen nicht immer, was sie tun), sollte man den Leuten einschärfen, nicht zu verschieben, sondern zu kopieren. Das lernen die auch mit der Zeit (können wir ein Lied von singen).
Anstatt die Berechtigung "Berechtigungen ändern" zu vergeben (was Gefahren birgt - Leute wissen nicht immer, was sie tun), sollte man den Leuten einschärfen, nicht zu verschieben, sondern zu kopieren. Das lernen die auch mit der Zeit (können wir ein Lied von singen).
sollte man den Leuten einschärfen, nicht zu verschieben, sondern zu kopieren.
Und wie soll man das durchsetzen? Wird immer wieder Personen geben, die etwas bewusst oder unbewusst via Drag&Drop machen. Klar kann man die Kontext-Menüs und Drag&Drop in Windows auf gewisse Art ausschalten, dies ist dann aber systemweit, so dass ich dann nicht mehr lokal auf dem eigenen Desktop etwas hin und her schieben kann.
1Und wie soll man das durchsetzen?
Kann man nicht. Allenfalls gibt es ein Tool "Drag&Drop-Interceptor", was eine voreinstellbare Warnung ausgibt.Bei uns haben es die Leute nach einer Weile verstanden. Zuerst kam es natürlich dazu, dass Leute es vergessen haben, wir Admins an den ACLs berichtigen mussten und sie darauf hingewiesen haben.
https://web.archive.org/web/20160807155742/http://www.sw2go.nl/DDInterce ... (falls Interesse besteht)