Geerbte Berechtigungen werden nicht automatisch aktualisiert, wenn Sie Ordner verschieben
Hi!
Habe zu dem Thema schon einmal recherchiert:
Rechtevererbung erzwingen w2k8r2
Den Schlüssel MoveSecurityAttributes habe ich auf Server und Client testweise gesetzt, auch die Hotfixes und Updates habe ich installiert. zB hier http://support.microsoft.com/kb/2617058/en-us
Windows 2008 R2
\\fileserver\share\Ordner_A
\\fileserver\share\Ordner_B
Kopier ich einen Ordner von Ordner_A nach _B, werden die vererbten Rechte erst aktualisiert wenn man die Rechte von Ordner_B ändert/bzw neu abspeichert. Also wenn ich zb eine zusätzliche Gruppe zu _B hinzufüge, wird bei dem kopierten Ordner auch die Gruppe _A durch _B ersetzt.
jetzt ist mir aber aufgefallen, dass es mit dem Domainadmin funktioniert - egal auf welchem Client - mit oder ohne Hotfix.
gebe ich einem User Vollzugriff auf den Ordner, funktioniert es wieder nicht!
Nach diesem Artikel:
http://support.microsoft.com/kb/320246/en-us
ist das Verhalten so gewünscht, aber ist es wirklich sinnvoll alle paar Wochen die Shares neu zu "bügeln"?
zb haben wir einen Ordner in den alle Scanner scannen, kopiert ein User die Datei dann in einen anderen Ordner, hat noch immer die scan_gruppe darauf Zugriff. Ist bei den Scanns jetzt egal, da dort eh alle drinnen sind. Aber kopiert ein User etwas aus einem Bereich auf den ein anderer keinen Zugriff hat, sieht der andere die Datei nicht...
wenn ich es richtig verstanden habe, soll das ein Art "Schutz" sein, dass verschobene Daten nicht zufällig von unberechtigten gelesen werden - aber wenn ich die Dateien kopiere...
Sieht das noch jemand als Problem und hat es schon gelöst?
sg Dirm
Habe zu dem Thema schon einmal recherchiert:
Rechtevererbung erzwingen w2k8r2
Den Schlüssel MoveSecurityAttributes habe ich auf Server und Client testweise gesetzt, auch die Hotfixes und Updates habe ich installiert. zB hier http://support.microsoft.com/kb/2617058/en-us
Windows 2008 R2
\\fileserver\share\Ordner_A
\\fileserver\share\Ordner_B
Kopier ich einen Ordner von Ordner_A nach _B, werden die vererbten Rechte erst aktualisiert wenn man die Rechte von Ordner_B ändert/bzw neu abspeichert. Also wenn ich zb eine zusätzliche Gruppe zu _B hinzufüge, wird bei dem kopierten Ordner auch die Gruppe _A durch _B ersetzt.
jetzt ist mir aber aufgefallen, dass es mit dem Domainadmin funktioniert - egal auf welchem Client - mit oder ohne Hotfix.
gebe ich einem User Vollzugriff auf den Ordner, funktioniert es wieder nicht!
Nach diesem Artikel:
http://support.microsoft.com/kb/320246/en-us
ist das Verhalten so gewünscht, aber ist es wirklich sinnvoll alle paar Wochen die Shares neu zu "bügeln"?
zb haben wir einen Ordner in den alle Scanner scannen, kopiert ein User die Datei dann in einen anderen Ordner, hat noch immer die scan_gruppe darauf Zugriff. Ist bei den Scanns jetzt egal, da dort eh alle drinnen sind. Aber kopiert ein User etwas aus einem Bereich auf den ein anderer keinen Zugriff hat, sieht der andere die Datei nicht...
wenn ich es richtig verstanden habe, soll das ein Art "Schutz" sein, dass verschobene Daten nicht zufällig von unberechtigten gelesen werden - aber wenn ich die Dateien kopiere...
Sieht das noch jemand als Problem und hat es schon gelöst?
sg Dirm
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 232192
Url: https://administrator.de/forum/geerbte-berechtigungen-werden-nicht-automatisch-aktualisiert-wenn-sie-ordner-verschieben-232192.html
Ausgedruckt am: 27.12.2024 um 20:12 Uhr
10 Kommentare
Neuester Kommentar
Hi,
ich fürchte, Du verwirrst Du selbst, weil Du verschieben und kopieren hier vermischst.
Der o.g. Hotfix ist "gegen" den Standard, dass beim Verschieben einer Datei oder Order innerhalb des selben NTFS-Laufwerks die ACL nicht neu geschrieben wird, sprich, dass dieser ausgehebelt wird. Also dann werden auch beim Verschieben im selben Laufwerk die Berechtigungen dem neuen Stammordner angepasst.
Beim Kopieren ändert der o.g. Hotfix aber überhaupt nix. Also ja, beim Kopieren erhält die Kopie immer eine neuen ACL gemäß der ACL des neuen Stammordners, auch wenn der kopierende Benutzer keinen Vollzugriff auf den Zielordner hat Wenn er Schreibrechte für den Zielordner hat, dann kann er dort die Kopie erstellen. Weil er dann Besitzer dieser Kopie ist, hat er für die Kopie im ersten Augenblick Vollzugriff. dadurch kann auch die ACL neu geschrieben werden. Anschließend kann es u.U. sein, dass auch der kopierende Benutzer keinen Zugriff auf die Kopie mehr hat.
E.
Edit: habe noch mal Rächtschraibung korrigiert.
ich fürchte, Du verwirrst Du selbst, weil Du verschieben und kopieren hier vermischst.
Der o.g. Hotfix ist "gegen" den Standard, dass beim Verschieben einer Datei oder Order innerhalb des selben NTFS-Laufwerks die ACL nicht neu geschrieben wird, sprich, dass dieser ausgehebelt wird. Also dann werden auch beim Verschieben im selben Laufwerk die Berechtigungen dem neuen Stammordner angepasst.
Beim Kopieren ändert der o.g. Hotfix aber überhaupt nix. Also ja, beim Kopieren erhält die Kopie immer eine neuen ACL gemäß der ACL des neuen Stammordners, auch wenn der kopierende Benutzer keinen Vollzugriff auf den Zielordner hat Wenn er Schreibrechte für den Zielordner hat, dann kann er dort die Kopie erstellen. Weil er dann Besitzer dieser Kopie ist, hat er für die Kopie im ersten Augenblick Vollzugriff. dadurch kann auch die ACL neu geschrieben werden. Anschließend kann es u.U. sein, dass auch der kopierende Benutzer keinen Zugriff auf die Kopie mehr hat.
E.
Edit: habe noch mal Rächtschraibung korrigiert.
Zitat von @Dirmhirn:
bin einen Schritt weiter
wenn ich dem User Share Permission: Full Control gebe, dann funktioniert es. Egal ob mit oder ohne Regkey.
Ich vergebe in 99,99% aller Fälle in den Freigabe-Berechtigungen immer "Vollzugriff" für "Jeder". Und in den NTFS-Berechtigungen schränke ich dann auf das Erforderliche ein.bin einen Schritt weiter
wenn ich dem User Share Permission: Full Control gebe, dann funktioniert es. Egal ob mit oder ohne Regkey.
Aber jetzt habe ich das Problem, dass der User in Unterordnern die Berechtigungen ändern kann. Auch wenn ich ihm per NTFS
Permissions das Recht Change Permissions entziehe.
Jetzt verbreitest Du aber Gerüchte! Permissions das Recht Change Permissions entziehe.
Wenn einem User im NTFS Rechte fehlen, dann kann er in der Freigabe haben was er will, er kann das fehlende NTFS-Recht nicht anwenden.
Wenn er also etwas kann, dann hat er entweder direkt oder über eine seiner Gruppen dieses Recht erteilt bekommen. Oder er ist Besitzer der betreffenden Datei.
Du kannst Dir über die Eigenschaften einer Datei --> Sicherheit --> Erweitert --> "Effektive Berechtigungen" eben letztere für einen Benutzer oder einer Gruppe anzeigen lassen. Wenn Du das nicht lokal auf dem Server sondern von Netzwerk über die Freigabe machst, dann werden dabei auch die Freigabe-Berechtigungen berücksichtigt.
Schau mal.
Hi Dirm,
ich habe irgendwie genau das gleich Problem bei uns. Kann aber leider das Hotfix auch nicht installieren bekomme immer den Fehler:
MSI (c) (3C:94) [11:31:52:011]: Produkt: Microsoft Fix it 50852 -- Dieses Microsoft-Fix it kann nicht
ausgeführt werden, da für den Computer ein Microsoft-Download bzw. ein Microsoft-Update erforderlich ist.
Ich habe Win 7 64 Bit ? bzw. Server 2008 R2
Hast schon Fortschritte gemacht?
ich habe irgendwie genau das gleich Problem bei uns. Kann aber leider das Hotfix auch nicht installieren bekomme immer den Fehler:
MSI (c) (3C:94) [11:31:52:011]: Produkt: Microsoft Fix it 50852 -- Dieses Microsoft-Fix it kann nicht
ausgeführt werden, da für den Computer ein Microsoft-Download bzw. ein Microsoft-Update erforderlich ist.
Ich habe Win 7 64 Bit ? bzw. Server 2008 R2
Hast schon Fortschritte gemacht?