Fileserver - Massenänderung ACL
Moin Leute,
wir haben ein kleines Dillemma mit den Berechtigungen nach dem Umzug des Fileservers. Kurz zum Hintergrund...
Der alte Fileserver war eine mittlere Katastrophe was die Berechtigungen angeht. Zum Teil über AD-Gruppen gesteuert, mal nur Lesen mal Ändern und dann mal wieder Vollzugriff. Zwischendurch auch individuelle User auf Ordner direkt berechtigt und mittendrin auf Ebene 2 oder 3 auch mal die Vererbung ausgeschaltet und ganz andere Berechtigungen...
Wir haben nun ein neues Konzept entwickelt und umgesetzt. Eine Art Berechtigungsrollen. Dies funktioniert auch recht gut aber es gibt ein entscheidendes ABER!
Wenn in Ordner A100 und B200 die Gruppe "Chefs" Änderungsrechte haben aber die Gruppe "Knechte" nur auf B200 und nun von A100 nach B200 ein Ordner oder eine Datei mittels "Ausschneiden/Einfügen" oder via Drag&Drop verschoben wird, dann werden die ACL mit verschoben, so dass die "Knechte" den Ordner/Datei nicht sehen/zugreifen können (ABE ist aktiviert).
Aktuell müssen wir dann die ACLs bereinigen, kann aber nicht die Lösung sein. Also gesucht und gefunden im Internet: https://docs.microsoft.com/en-us/answers/questions/101102/server-2019-fi ...
So weit so gut, die Registry-Anpassung ist kein Thema aber wie ändere ich bei 15k Ordnern und 148k Dateien 375 lokale NTFS Gruppen? Die Antwort geht in Richtung PowerShell Skript. Leider bin ich da kein Profi drin.
Es geht eigentlich darum, bei jedem Ordner und Datei rekursiv die Berechtigung für Gruppen, die im Namen "Ändern" enthalten, die Berechtigung "Berechtigungen ändern" zu vergeben. Hat da jemand eine Idee?
wir haben ein kleines Dillemma mit den Berechtigungen nach dem Umzug des Fileservers. Kurz zum Hintergrund...
Der alte Fileserver war eine mittlere Katastrophe was die Berechtigungen angeht. Zum Teil über AD-Gruppen gesteuert, mal nur Lesen mal Ändern und dann mal wieder Vollzugriff. Zwischendurch auch individuelle User auf Ordner direkt berechtigt und mittendrin auf Ebene 2 oder 3 auch mal die Vererbung ausgeschaltet und ganz andere Berechtigungen...
Wir haben nun ein neues Konzept entwickelt und umgesetzt. Eine Art Berechtigungsrollen. Dies funktioniert auch recht gut aber es gibt ein entscheidendes ABER!
Wenn in Ordner A100 und B200 die Gruppe "Chefs" Änderungsrechte haben aber die Gruppe "Knechte" nur auf B200 und nun von A100 nach B200 ein Ordner oder eine Datei mittels "Ausschneiden/Einfügen" oder via Drag&Drop verschoben wird, dann werden die ACL mit verschoben, so dass die "Knechte" den Ordner/Datei nicht sehen/zugreifen können (ABE ist aktiviert).
Aktuell müssen wir dann die ACLs bereinigen, kann aber nicht die Lösung sein. Also gesucht und gefunden im Internet: https://docs.microsoft.com/en-us/answers/questions/101102/server-2019-fi ...
So weit so gut, die Registry-Anpassung ist kein Thema aber wie ändere ich bei 15k Ordnern und 148k Dateien 375 lokale NTFS Gruppen? Die Antwort geht in Richtung PowerShell Skript. Leider bin ich da kein Profi drin.
Es geht eigentlich darum, bei jedem Ordner und Datei rekursiv die Berechtigung für Gruppen, die im Namen "Ändern" enthalten, die Berechtigung "Berechtigungen ändern" zu vergeben. Hat da jemand eine Idee?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1889445801
Url: https://administrator.de/forum/fileserver-massenaenderung-acl-1889445801.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
6 Kommentare
Neuester Kommentar
Hi,
so auf die Schnelle:
Ein PowerShell-Script, welches rekursiv
Das wird dann dauern. Über WE laufen lassen. Vorher an Test-Struktur testen!
PS "als Administrator" laufen lassen.
E.
Edit:
Oder schau mal bei SetACL, ob da was passendes bei ist.
so auf die Schnelle:
Ein PowerShell-Script, welches rekursiv
- von allen Ordnern die ACL abfragt
- für jede ACL
- sich selbst zum Besitzer der ACL machen
- wenn die Vererbung nicht deaktiviert ist, dann
- Vererbung deaktivieren -- dabei alle vererbten ACE entfernen lassen
- Vererbung wieder aktivieren
Das wird dann dauern. Über WE laufen lassen. Vorher an Test-Struktur testen!
PS "als Administrator" laufen lassen.
E.
Edit:
Oder schau mal bei SetACL, ob da was passendes bei ist.
Und wie soll man das durchsetzen?
Kann man nicht. Allenfalls gibt es ein Tool "Drag&Drop-Interceptor", was eine voreinstellbare Warnung ausgibt.Bei uns haben es die Leute nach einer Weile verstanden. Zuerst kam es natürlich dazu, dass Leute es vergessen haben, wir Admins an den ACLs berichtigen mussten und sie darauf hingewiesen haben.
https://web.archive.org/web/20160807155742/http://www.sw2go.nl/DDInterce ... (falls Interesse besteht)