Fileserver Ordnerstruktur mit Berechtigungsgruppen für User
Hallo zusammen
Dieses Problem scheint nicht lösbar oder doch?
Windows Server 2025
Client Geräte Win10 22H2
In unserer Fileserverstruktur haben wir die einzelnen Bereiche jeweils mit einer Sicherheitsgruppe für die Zugriffsrechte der User versehen.
Die Zugriffsrechte sind sicher korrekt und wurden vom alten Fileserver (Server 2012) übernommen.
Auf dem alten Fileserver hatte auch alles noch sauber funktioniert.
Scheinbar gab es ab Server 2016 in Bezug Zugriffsrechte Veränderungen, die ich einfach nicht aufgelöst bekomme.
Wenn ein User mit Benutzerrechten in einer solchen Gruppe eine Datei von z.B. einem Ordner (ABC) zu einem anderen Ordner (DEF) mit unterschiedlichen Berechtigungsrechten kopiert, erbt die Datei die neuen Rechte es neuen Ordners (DEF) . Alles also Korrekt.
Wenn der Benutzer aber eine Datei verschiebt, werden die Rechte des Ordner ABC beibehalten und nicht die Rechte vom Ordner DEF vergeben. Was natürlich falsch ist.
Somit kann ein User, der nur im Ordner DEF Zugriffsrechte hat aber im ABC nicht, die Dateien nicht sehen, weil diese die Rechte von ABC behalten haben.
Dieses falsche verhalten passiert nur beim verschieben von Daten und nur, wenn es sich um einen Benutzer auf einem Clientgerät handelt.
Melde ich mich als Admin auf dem Client-Gerät an und verschiebe eien Datei von z.B. ABC nach DEF, haben die Dateien die richtigen rechte vererbt bekommen.
Wie gesagt, das war bei Server 2012 alles noch kein Problem.
Hat irgendjemand Erfahrungen gemacht, die mir weiterhelfen?
Scheinbar ist das Verhalten heute so, dass nicht mehr Copy+Delete beim Verschieben gemacht wird sondern nur der Pfad umgeschrieben wird uns somit das ganze System nicht mehr funktioniert beim verschieben.
Gibt es für Server 2025 oder die ClientGeräte einen Regeintrag den man ändern kann, damit das wieder nach der alten Regel funktioniert? Oder sonst irgendeine Lösung?
Wie macht ihr das heute bei einer grösseren Umgebung und einer Ordnerstruktur?
Danke für jeden Tipp.
Dieses Problem scheint nicht lösbar oder doch?
Windows Server 2025
Client Geräte Win10 22H2
In unserer Fileserverstruktur haben wir die einzelnen Bereiche jeweils mit einer Sicherheitsgruppe für die Zugriffsrechte der User versehen.
Die Zugriffsrechte sind sicher korrekt und wurden vom alten Fileserver (Server 2012) übernommen.
Auf dem alten Fileserver hatte auch alles noch sauber funktioniert.
Scheinbar gab es ab Server 2016 in Bezug Zugriffsrechte Veränderungen, die ich einfach nicht aufgelöst bekomme.
Wenn ein User mit Benutzerrechten in einer solchen Gruppe eine Datei von z.B. einem Ordner (ABC) zu einem anderen Ordner (DEF) mit unterschiedlichen Berechtigungsrechten kopiert, erbt die Datei die neuen Rechte es neuen Ordners (DEF) . Alles also Korrekt.
Wenn der Benutzer aber eine Datei verschiebt, werden die Rechte des Ordner ABC beibehalten und nicht die Rechte vom Ordner DEF vergeben. Was natürlich falsch ist.
Somit kann ein User, der nur im Ordner DEF Zugriffsrechte hat aber im ABC nicht, die Dateien nicht sehen, weil diese die Rechte von ABC behalten haben.
Dieses falsche verhalten passiert nur beim verschieben von Daten und nur, wenn es sich um einen Benutzer auf einem Clientgerät handelt.
Melde ich mich als Admin auf dem Client-Gerät an und verschiebe eien Datei von z.B. ABC nach DEF, haben die Dateien die richtigen rechte vererbt bekommen.
Wie gesagt, das war bei Server 2012 alles noch kein Problem.
Hat irgendjemand Erfahrungen gemacht, die mir weiterhelfen?
Scheinbar ist das Verhalten heute so, dass nicht mehr Copy+Delete beim Verschieben gemacht wird sondern nur der Pfad umgeschrieben wird uns somit das ganze System nicht mehr funktioniert beim verschieben.
Gibt es für Server 2025 oder die ClientGeräte einen Regeintrag den man ändern kann, damit das wieder nach der alten Regel funktioniert? Oder sonst irgendeine Lösung?
Wie macht ihr das heute bei einer grösseren Umgebung und einer Ordnerstruktur?
Danke für jeden Tipp.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672699
Url: https://administrator.de/forum/fileserver-ordnerstruktur-mit-berechtigungsgruppen-fuer-user-672699.html
Ausgedruckt am: 26.05.2025 um 02:05 Uhr
13 Kommentare
Neuester Kommentar
Mahlzeit.
Es gibt einen älteren Artikel seitens Microsoft, welcher diese Thematik behandelt.
https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...
NTFS hat sich mit den neueren Versionen der Server Betriebssysteme entsprechend auch etwas weiterentwickelt.
Gruß
Marc
Es gibt einen älteren Artikel seitens Microsoft, welcher diese Thematik behandelt.
https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...
NTFS hat sich mit den neueren Versionen der Server Betriebssysteme entsprechend auch etwas weiterentwickelt.
Gruß
Marc
Danke Marc
leider gilt das nur für Windows xp und Server 2003.
Bis Server2012 war es ja auch kein Thema
Ich kann einfach nicht verstehen, wenn sich die Verarbeitung doch so dermassen geändert ab Server 2016, warum das Verschieben von Dateien auf dem Server direkt oder auch auf dem Client als Administrator reibungslos funktioniert.
Hier werden die Berechtigungen vom übergeordneten Ordner sauber übernommen.
Nur wenn ein User mit Benutzerrechten das selbe macht auf dem ClientGerät bleiben die Berechtigungen des alten Ordner.
Klar hab ich auf dem Server oder als Admin auf dem Client höhere Rechte, aber das kann doch nicht die antwort sein, warum sich das so verhält.
Wie habt ihr das Problem gelöst?
Danek
leider gilt das nur für Windows xp und Server 2003.
Bis Server2012 war es ja auch kein Thema
Ich kann einfach nicht verstehen, wenn sich die Verarbeitung doch so dermassen geändert ab Server 2016, warum das Verschieben von Dateien auf dem Server direkt oder auch auf dem Client als Administrator reibungslos funktioniert.
Hier werden die Berechtigungen vom übergeordneten Ordner sauber übernommen.
Nur wenn ein User mit Benutzerrechten das selbe macht auf dem ClientGerät bleiben die Berechtigungen des alten Ordner.
Klar hab ich auf dem Server oder als Admin auf dem Client höhere Rechte, aber das kann doch nicht die antwort sein, warum sich das so verhält.
Wie habt ihr das Problem gelöst?
Danek
Moin,
früher war das so, dass beim Verschieben auf dem gleichen Volume die alten Berechtigungen bestehen blieben. Das sollte sich mit Windows Vista/Server 2008 geändert haben. Helfen kann dennoch der (eigentlich obsolete) Reg-Eintrag MoveSecurityAttributes unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Siehe z.B.
https://www.windowsphoneinfo.com/threads/movesecurityattributes-for-serv ...
Es kann auch helfen, die Berechtigung im Zielordner für den Nutzer von Modify auf FullAccess zu ändern. Damit hat er auch das Recht, Berechtigungen zu setzen.
früher war das so, dass beim Verschieben auf dem gleichen Volume die alten Berechtigungen bestehen blieben. Das sollte sich mit Windows Vista/Server 2008 geändert haben. Helfen kann dennoch der (eigentlich obsolete) Reg-Eintrag MoveSecurityAttributes unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Siehe z.B.
https://www.windowsphoneinfo.com/threads/movesecurityattributes-for-serv ...
Es kann auch helfen, die Berechtigung im Zielordner für den Nutzer von Modify auf FullAccess zu ändern. Damit hat er auch das Recht, Berechtigungen zu setzen.
Da gab es schon ähnliche Beiträge zu. Eine gute Lösung habe ich noch nicht gesehen, aber:
Du könntest mal deine Freigabeberechtigungen prüfen, wenn die Rechte auch beim Verschieben neu gesetzt werden sollen ist Vollzugriff erforderlich (nach meiner Erfahrung). Hat aber auch den Nachteil, dass Benutzer selber Berechtigungen setzen können, was wieder zu neuen Problemen führen kann.
Du könntest mal deine Freigabeberechtigungen prüfen, wenn die Rechte auch beim Verschieben neu gesetzt werden sollen ist Vollzugriff erforderlich (nach meiner Erfahrung). Hat aber auch den Nachteil, dass Benutzer selber Berechtigungen setzen können, was wieder zu neuen Problemen führen kann.
Hallo CamelCase
Der Reg.Eintrag brint nichts. Das hab ich schon ausprobiert.
Volle Berechtigungen für den user auf den Ordnern bringt leider ebenfalls nichts. Hab ich auch ausprobiert.
Das einzige wäre den Usern Admin rechte zu geben, was ja absolut sinnlos ist, da es beim Admin ja funktioniert.
Der Reg.Eintrag brint nichts. Das hab ich schon ausprobiert.
Volle Berechtigungen für den user auf den Ordnern bringt leider ebenfalls nichts. Hab ich auch ausprobiert.
Das einzige wäre den Usern Admin rechte zu geben, was ja absolut sinnlos ist, da es beim Admin ja funktioniert.
Hi
ich habe den Umstand, dass die Permissions mit verschoben folgendermaßen behoben:
Das läuft als Scheduled Task regelmäßig über das Filesystem auf dem Fileserver.
Somit werden auch Defekte ACLs repariert und werden regelmäßig aktualisiert.
Oder etwas kürzer
icacls [ORDNER] /reset /t /c /q
Mit freundlichen Grüßen Nemesis
ich habe den Umstand, dass die Permissions mit verschoben folgendermaßen behoben:
function Permission-ACLRefresher
{
#Windows Standardfreigaben sollen ausgefiltert werden
$filter = "Type = 0 And Description != 'Default Share' And " + "Name != 'ADMIN$' And Name != 'IPC$' And Name != 'print$'
#And Name != 'UserData$' And Name != 'Profile$' And Name != 'ProfilContainers$' And Name != 'OfficeContainers$'"
#Freigaben einlesen ohne die rausgefilterten
$CompanyShares = Get-WmiObject -Class Win32_Share -Filter $filter
ForEach ($Share in $CompanyShares)
{
$SharePath =$Share.Path
Get-ChildItem -LiteralPath $Sharepath -Recurse -Force | select Name, Fullname | ForEach-Object -Process {
$_.FullName;
$ACL = Get-Acl -LiteralPath $_.FullName;
Set-Acl -LiteralPath $_.FullName -AclObject $ACL
}
}
}
Permission-ACLRefresher
Das läuft als Scheduled Task regelmäßig über das Filesystem auf dem Fileserver.
Somit werden auch Defekte ACLs repariert und werden regelmäßig aktualisiert.
Oder etwas kürzer
icacls [ORDNER] /reset /t /c /q
Mit freundlichen Grüßen Nemesis
3
Hallo nEmEsIs
Danke für dein Script.
Wie oft lässt du den Aufgabenplaner mit dem Task laufen?
Wie viele Daten in etwa umfasst dein Fileserver und wie lange ca. braucht dein Task?
Ich möchte so ein bisschen abschätzen können, was das bei uns bedeuten würde.
Mein neuer Fielserver hat im Moment noch keine Daten und ist erst im Aufbau. Soll dann später den Server 2012 ablösen. Ich werde zum starten in etwa mit 4 Terra starten.
Danke
Danke für dein Script.
Wie oft lässt du den Aufgabenplaner mit dem Task laufen?
Wie viele Daten in etwa umfasst dein Fileserver und wie lange ca. braucht dein Task?
Ich möchte so ein bisschen abschätzen können, was das bei uns bedeuten würde.
Mein neuer Fielserver hat im Moment noch keine Daten und ist erst im Aufbau. Soll dann später den Server 2012 ablösen. Ich werde zum starten in etwa mit 4 Terra starten.
Danke
Moin,
https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...
Oben war anderer Wert beschrieben.
https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...
Oben war anderer Wert beschrieben.
Sorry, das ist genau das selbe. Das nutzt nichts
1
Hi
Das Skript läuft je nach Hardware vom SAN/SSD/NVME Ordnern, Berechtigungen Dateianzahl etc. Unterschiedlich schnell.
Wenn du aber in
Set-Acl -LiteralPath $_.FullName -AclObject $ACL ein -Whatif
Anhängst kannst du es ja messen ohne etwas zu verändern
Mit freundlichen Grüßen Nemesis
Das Skript läuft je nach Hardware vom SAN/SSD/NVME Ordnern, Berechtigungen Dateianzahl etc. Unterschiedlich schnell.
Wenn du aber in
Set-Acl -LiteralPath $_.FullName -AclObject $ACL ein -Whatif
Anhängst kannst du es ja messen ohne etwas zu verändern
Mit freundlichen Grüßen Nemesis
kannst du es ja messen ohne etwas zu verändern
Measure-Command ist dein Freund
Measure-Command { Set-Acl -LiteralPath $_.FullName -AclObject $ACL -Whatif }
Danke Leute. Ich schaue mir das gerne an.
Hallo Leute
Die Lösung ist, es genau so zu machen wie bis anhin.
Ich hatte bei mir, auf der obersten Eben meiner Struktur, dem user keinen Vollzugriff gegebn.
Er hatte da nur Lesen, Ändern.
Nach der Richtigstellung funktioniert die Vererbung auch mit verschieben von Dateien innerhalb zweier unterschiedlich berechtigen Ordner auf dem selben Volumen.
Die Lösung ist, es genau so zu machen wie bis anhin.
Ich hatte bei mir, auf der obersten Eben meiner Struktur, dem user keinen Vollzugriff gegebn.
Er hatte da nur Lesen, Ändern.
Nach der Richtigstellung funktioniert die Vererbung auch mit verschieben von Dateien innerhalb zweier unterschiedlich berechtigen Ordner auf dem selben Volumen.
