stoepsu77

Fileserver Ordnerstruktur mit Berechtigungsgruppen für User

Hallo zusammen

Dieses Problem scheint nicht lösbar oder doch?

Windows Server 2025
Client Geräte Win10 22H2

In unserer Fileserverstruktur haben wir die einzelnen Bereiche jeweils mit einer Sicherheitsgruppe für die Zugriffsrechte der User versehen.
Die Zugriffsrechte sind sicher korrekt und wurden vom alten Fileserver (Server 2012) übernommen.
Auf dem alten Fileserver hatte auch alles noch sauber funktioniert.
Scheinbar gab es ab Server 2016 in Bezug Zugriffsrechte Veränderungen, die ich einfach nicht aufgelöst bekomme.

Wenn ein User mit Benutzerrechten in einer solchen Gruppe eine Datei von z.B. einem Ordner (ABC) zu einem anderen Ordner (DEF) mit unterschiedlichen Berechtigungsrechten kopiert, erbt die Datei die neuen Rechte es neuen Ordners (DEF) . Alles also Korrekt.
Wenn der Benutzer aber eine Datei verschiebt, werden die Rechte des Ordner ABC beibehalten und nicht die Rechte vom Ordner DEF vergeben. Was natürlich falsch ist.
Somit kann ein User, der nur im Ordner DEF Zugriffsrechte hat aber im ABC nicht, die Dateien nicht sehen, weil diese die Rechte von ABC behalten haben.
Dieses falsche verhalten passiert nur beim verschieben von Daten und nur, wenn es sich um einen Benutzer auf einem Clientgerät handelt.
Melde ich mich als Admin auf dem Client-Gerät an und verschiebe eien Datei von z.B. ABC nach DEF, haben die Dateien die richtigen rechte vererbt bekommen.
Wie gesagt, das war bei Server 2012 alles noch kein Problem.

Hat irgendjemand Erfahrungen gemacht, die mir weiterhelfen?
Scheinbar ist das Verhalten heute so, dass nicht mehr Copy+Delete beim Verschieben gemacht wird sondern nur der Pfad umgeschrieben wird uns somit das ganze System nicht mehr funktioniert beim verschieben.

Gibt es für Server 2025 oder die ClientGeräte einen Regeintrag den man ändern kann, damit das wieder nach der alten Regel funktioniert? Oder sonst irgendeine Lösung?

Wie macht ihr das heute bei einer grösseren Umgebung und einer Ordnerstruktur?

Danke für jeden Tipp.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672699

Url: https://administrator.de/forum/fileserver-ordnerstruktur-mit-berechtigungsgruppen-fuer-user-672699.html

Ausgedruckt am: 01.05.2025 um 16:05 Uhr

radiogugu
radiogugu 01.05.2025 um 14:58:34 Uhr
Goto Top
Mahlzeit.

Es gibt einen älteren Artikel seitens Microsoft, welcher diese Thematik behandelt.

https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...

NTFS hat sich mit den neueren Versionen der Server Betriebssysteme entsprechend auch etwas weiterentwickelt.

Gruß
Marc
stoepsu77
stoepsu77 01.05.2025 um 15:17:40 Uhr
Goto Top
Danke Marc
leider gilt das nur für Windows xp und Server 2003.
Bis Server2012 war es ja auch kein Thema

Ich kann einfach nicht verstehen, wenn sich die Verarbeitung doch so dermassen geändert ab Server 2016, warum das Verschieben von Dateien auf dem Server direkt oder auch auf dem Client als Administrator reibungslos funktioniert.
Hier werden die Berechtigungen vom übergeordneten Ordner sauber übernommen.
Nur wenn ein User mit Benutzerrechten das selbe macht auf dem ClientGerät bleiben die Berechtigungen des alten Ordner.

Klar hab ich auf dem Server oder als Admin auf dem Client höhere Rechte, aber das kann doch nicht die antwort sein, warum sich das so verhält.

Wie habt ihr das Problem gelöst?
Danek
CamelCase
CamelCase 01.05.2025 aktualisiert um 15:36:44 Uhr
Goto Top
Moin,

früher war das so, dass beim Verschieben auf dem gleichen Volume die alten Berechtigungen bestehen blieben. Das sollte sich mit Windows Vista/Server 2008 geändert haben. Helfen kann dennoch der (eigentlich obsolete) Reg-Eintrag MoveSecurityAttributes unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

Siehe z.B.

https://www.windowsphoneinfo.com/threads/movesecurityattributes-for-serv ...

Es kann auch helfen, die Berechtigung im Zielordner für den Nutzer von Modify auf FullAccess zu ändern. Damit hat er auch das Recht, Berechtigungen zu setzen.
UnbekannterNR1
UnbekannterNR1 01.05.2025 um 15:39:03 Uhr
Goto Top
Da gab es schon ähnliche Beiträge zu. Eine gute Lösung habe ich noch nicht gesehen, aber:

Du könntest mal deine Freigabeberechtigungen prüfen, wenn die Rechte auch beim Verschieben neu gesetzt werden sollen ist Vollzugriff erforderlich (nach meiner Erfahrung). Hat aber auch den Nachteil, dass Benutzer selber Berechtigungen setzen können, was wieder zu neuen Problemen führen kann.
stoepsu77
stoepsu77 01.05.2025 um 16:03:50 Uhr
Goto Top
Hallo CamelCase

Der Reg.Eintrag brint nichts. Das hab ich schon ausprobiert.
Volle Berechtigungen für den user auf den Ordnern bringt leider ebenfalls nichts. Hab ich auch ausprobiert.

Das einzige wäre den Usern Admin rechte zu geben, was ja absolut sinnlos ist, da es beim Admin ja funktioniert.
nEmEsIs
nEmEsIs 01.05.2025 aktualisiert um 16:13:36 Uhr
Goto Top
Hi

ich habe den Umstand, dass die Permissions mit verschoben folgendermaßen behoben:

 function Permission-ACLRefresher
{
#Windows Standardfreigaben sollen ausgefiltert werden
$filter = "Type = 0 And Description != 'Default Share' And " + "Name != 'ADMIN$' And Name != 'IPC$' And Name  != 'print$'   
#And Name  != 'UserData$' And Name  != 'Profile$' And Name  != 'ProfilContainers$' And Name  != 'OfficeContainers$'" 

#Freigaben einlesen ohne die rausgefilterten
$CompanyShares = Get-WmiObject -Class Win32_Share -Filter $filter

ForEach ($Share in $CompanyShares)

    {
        $SharePath =$Share.Path

        Get-ChildItem -LiteralPath $Sharepath -Recurse -Force | select Name, Fullname | ForEach-Object -Process {
        $_.FullName;
        $ACL = Get-Acl -LiteralPath $_.FullName;
        Set-Acl -LiteralPath $_.FullName -AclObject $ACL
        }

    }

}

Permission-ACLRefresher

 

Das läuft als Scheduled Task regelmäßig über das Filesystem auf dem Fileserver.
Somit werden auch Defekte ACLs repariert und werden regelmäßig aktualisiert.

Oder etwas kürzer
icacls [ORDNER] /reset /t /c /q

Mit freundlichen Grüßen Nemesis