10
Geerbte Berechtigungen werden nicht automatisch aktualisiert, wenn Sie Ordner verschieben
Hi!
Habe zu dem Thema schon einmal recherchiert:
Rechtevererbung erzwingen w2k8r2
Den Schlüssel MoveSecurityAttributes habe ich auf Server und Client testweise gesetzt, auch die Hotfixes und Updates habe ich installiert. zB hier http://support.microsoft.com/kb/2617058/en-us
Windows 2008 R2
\\fileserver\share\Ordner_A
\\fileserver\share\Ordner_B
Kopier ich einen Ordner von Ordner_A nach _B, werden die vererbten Rechte erst aktualisiert wenn man die Rechte von Ordner_B ändert/bzw neu abspeichert. Also wenn ich zb eine zusätzliche Gruppe zu _B hinzufüge, wird bei dem kopierten Ordner auch die Gruppe _A durch _B ersetzt.
jetzt ist mir aber aufgefallen, dass es mit dem Domainadmin funktioniert - egal auf welchem Client - mit oder ohne Hotfix.
gebe ich einem User Vollzugriff auf den Ordner, funktioniert es wieder nicht!
Nach diesem Artikel:
http://support.microsoft.com/kb/320246/en-us
ist das Verhalten so gewünscht, aber ist es wirklich sinnvoll alle paar Wochen die Shares neu zu "bügeln"?
zb haben wir einen Ordner in den alle Scanner scannen, kopiert ein User die Datei dann in einen anderen Ordner, hat noch immer die scan_gruppe darauf Zugriff. Ist bei den Scanns jetzt egal, da dort eh alle drinnen sind. Aber kopiert ein User etwas aus einem Bereich auf den ein anderer keinen Zugriff hat, sieht der andere die Datei nicht...
wenn ich es richtig verstanden habe, soll das ein Art "Schutz" sein, dass verschobene Daten nicht zufällig von unberechtigten gelesen werden - aber wenn ich die Dateien kopiere...
Sieht das noch jemand als Problem und hat es schon gelöst?
sg Dirm
Habe zu dem Thema schon einmal recherchiert:
Rechtevererbung erzwingen w2k8r2
Den Schlüssel MoveSecurityAttributes habe ich auf Server und Client testweise gesetzt, auch die Hotfixes und Updates habe ich installiert. zB hier http://support.microsoft.com/kb/2617058/en-us
Windows 2008 R2
\\fileserver\share\Ordner_A
\\fileserver\share\Ordner_B
Kopier ich einen Ordner von Ordner_A nach _B, werden die vererbten Rechte erst aktualisiert wenn man die Rechte von Ordner_B ändert/bzw neu abspeichert. Also wenn ich zb eine zusätzliche Gruppe zu _B hinzufüge, wird bei dem kopierten Ordner auch die Gruppe _A durch _B ersetzt.
jetzt ist mir aber aufgefallen, dass es mit dem Domainadmin funktioniert - egal auf welchem Client - mit oder ohne Hotfix.
gebe ich einem User Vollzugriff auf den Ordner, funktioniert es wieder nicht!
Nach diesem Artikel:
http://support.microsoft.com/kb/320246/en-us
ist das Verhalten so gewünscht, aber ist es wirklich sinnvoll alle paar Wochen die Shares neu zu "bügeln"?
zb haben wir einen Ordner in den alle Scanner scannen, kopiert ein User die Datei dann in einen anderen Ordner, hat noch immer die scan_gruppe darauf Zugriff. Ist bei den Scanns jetzt egal, da dort eh alle drinnen sind. Aber kopiert ein User etwas aus einem Bereich auf den ein anderer keinen Zugriff hat, sieht der andere die Datei nicht...
wenn ich es richtig verstanden habe, soll das ein Art "Schutz" sein, dass verschobene Daten nicht zufällig von unberechtigten gelesen werden - aber wenn ich die Dateien kopiere...
Sieht das noch jemand als Problem und hat es schon gelöst?
sg Dirm
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 232192
Url: https://administrator.de/contentid/232192
Ausgedruckt am: 24.11.2024 um 07:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
ich fürchte, Du verwirrst Du selbst, weil Du verschieben und kopieren hier vermischst.
Der o.g. Hotfix ist "gegen" den Standard, dass beim Verschieben einer Datei oder Order innerhalb des selben NTFS-Laufwerks die ACL nicht neu geschrieben wird, sprich, dass dieser ausgehebelt wird. Also dann werden auch beim Verschieben im selben Laufwerk die Berechtigungen dem neuen Stammordner angepasst.
Beim Kopieren ändert der o.g. Hotfix aber überhaupt nix. Also ja, beim Kopieren erhält die Kopie immer eine neuen ACL gemäß der ACL des neuen Stammordners, auch wenn der kopierende Benutzer keinen Vollzugriff auf den Zielordner hat Wenn er Schreibrechte für den Zielordner hat, dann kann er dort die Kopie erstellen. Weil er dann Besitzer dieser Kopie ist, hat er für die Kopie im ersten Augenblick Vollzugriff. dadurch kann auch die ACL neu geschrieben werden. Anschließend kann es u.U. sein, dass auch der kopierende Benutzer keinen Zugriff auf die Kopie mehr hat.
E.
Edit: habe noch mal Rächtschraibung korrigiert.
ich fürchte, Du verwirrst Du selbst, weil Du verschieben und kopieren hier vermischst.
Der o.g. Hotfix ist "gegen" den Standard, dass beim Verschieben einer Datei oder Order innerhalb des selben NTFS-Laufwerks die ACL nicht neu geschrieben wird, sprich, dass dieser ausgehebelt wird. Also dann werden auch beim Verschieben im selben Laufwerk die Berechtigungen dem neuen Stammordner angepasst.
Beim Kopieren ändert der o.g. Hotfix aber überhaupt nix. Also ja, beim Kopieren erhält die Kopie immer eine neuen ACL gemäß der ACL des neuen Stammordners, auch wenn der kopierende Benutzer keinen Vollzugriff auf den Zielordner hat Wenn er Schreibrechte für den Zielordner hat, dann kann er dort die Kopie erstellen. Weil er dann Besitzer dieser Kopie ist, hat er für die Kopie im ersten Augenblick Vollzugriff. dadurch kann auch die ACL neu geschrieben werden. Anschließend kann es u.U. sein, dass auch der kopierende Benutzer keinen Zugriff auf die Kopie mehr hat.
E.
Edit: habe noch mal Rächtschraibung korrigiert.
Hi!
es geht mir darum, dass die ACLs immer neu geschrieben werden.
d.h. egal ob die Datei verschoben oder kopiert wird, sie soll die Rechte des neuen Ordners vererbt bekommen.
sg Dirm
es geht mir darum, dass die ACLs immer neu geschrieben werden.
d.h. egal ob die Datei verschoben oder kopiert wird, sie soll die Rechte des neuen Ordners vererbt bekommen.
sg Dirm
Ja, wie gesagt, beim Kopieren ist es immer so.
Beim Verschieben: Du hast den o.g. Hotfix also installiert, den Regkey gesetzt, und es funktioniert trotzdem nicht?
E.
Beim Verschieben: Du hast den o.g. Hotfix also installiert, den Regkey gesetzt, und es funktioniert trotzdem nicht?
E.
Zitat von @emeriks:
Ja, wie gesagt, beim Kopieren ist es immer so.
Beim Verschieben: Du hast den o.g. Hotfix also installiert, den Regkey gesetzt, und es funktioniert trotzdem nicht?
ja habe ich und ja es funktioniert nicht.Ja, wie gesagt, beim Kopieren ist es immer so.
Beim Verschieben: Du hast den o.g. Hotfix also installiert, den Regkey gesetzt, und es funktioniert trotzdem nicht?
ich werd's morgen noch einmal testen - vll muss noch was sickern ^^
sg Dirm
Hast Du die Kiste nach dem Patch schon mal durchgestartet?
bin einen Schritt weiter 
wenn ich dem User Share Permission: Full Control gebe, dann funktioniert es. Egal ob mit oder ohne Regkey.
Aber jetzt habe ich das Problem, dass der User in Unterordnern die Berechtigungen ändern kann. Auch wenn ich ihm per NTFS Permissions das Recht Change Permissions entziehe.
nur die explizit gesetzten Rechte auf _A und _B kann ich nicht entfernen. Aber bei einem Unterordner die Vererbung unterbrechen und beliebige setzten.
explizite Rechte auf _A und _B: Change - files, this folder, subfolders
sg Dirm
wenn ich dem User Share Permission: Full Control gebe, dann funktioniert es. Egal ob mit oder ohne Regkey.
Aber jetzt habe ich das Problem, dass der User in Unterordnern die Berechtigungen ändern kann. Auch wenn ich ihm per NTFS Permissions das Recht Change Permissions entziehe.
nur die explizit gesetzten Rechte auf _A und _B kann ich nicht entfernen. Aber bei einem Unterordner die Vererbung unterbrechen und beliebige setzten.
explizite Rechte auf _A und _B: Change - files, this folder, subfolders
sg Dirm
Zitat von @Dirmhirn:
bin einen Schritt weiter
wenn ich dem User Share Permission: Full Control gebe, dann funktioniert es. Egal ob mit oder ohne Regkey.
Ich vergebe in 99,99% aller Fälle in den Freigabe-Berechtigungen immer "Vollzugriff" für "Jeder". Und in den NTFS-Berechtigungen schränke ich dann auf das Erforderliche ein.bin einen Schritt weiter
wenn ich dem User Share Permission: Full Control gebe, dann funktioniert es. Egal ob mit oder ohne Regkey.
Aber jetzt habe ich das Problem, dass der User in Unterordnern die Berechtigungen ändern kann. Auch wenn ich ihm per NTFS
Permissions das Recht Change Permissions entziehe.
Jetzt verbreitest Du aber Gerüchte! Permissions das Recht Change Permissions entziehe.
Wenn einem User im NTFS Rechte fehlen, dann kann er in der Freigabe haben was er will, er kann das fehlende NTFS-Recht nicht anwenden.
Wenn er also etwas kann, dann hat er entweder direkt oder über eine seiner Gruppen dieses Recht erteilt bekommen. Oder er ist Besitzer der betreffenden Datei.
Du kannst Dir über die Eigenschaften einer Datei --> Sicherheit --> Erweitert --> "Effektive Berechtigungen" eben letztere für einen Benutzer oder einer Gruppe anzeigen lassen. Wenn Du das nicht lokal auf dem Server sondern von Netzwerk über die Freigabe machst, dann werden dabei auch die Freigabe-Berechtigungen berücksichtigt.
Schau mal.
> Aber jetzt habe ich das Problem, dass der User in Unterordnern die Berechtigungen ändern kann. Auch wenn ich ihm per
NTFS
> Permissions das Recht Change Permissions entziehe.
Jetzt verbreitest Du aber Gerüchte!
NTFS
> Permissions das Recht Change Permissions entziehe.
Jetzt verbreitest Du aber Gerüchte!
...das kommt daher weil der User Besitzer des Ordners ist... das habe ich nicht bedacht
ok, damit bin ich wieder am Anfang
werde wieder Patch und Regkey testen - vll funktioniert's ja jetzt doch wieder damit und dann richtig...
Danke für deine Inputs.
sg Dirm
Hi Dirm,
ich habe irgendwie genau das gleich Problem bei uns. Kann aber leider das Hotfix auch nicht installieren bekomme immer den Fehler:
MSI (c) (3C:94) [11:31:52:011]: Produkt: Microsoft Fix it 50852 -- Dieses Microsoft-Fix it kann nicht
ausgeführt werden, da für den Computer ein Microsoft-Download bzw. ein Microsoft-Update erforderlich ist.
Ich habe Win 7 64 Bit ? bzw. Server 2008 R2
Hast schon Fortschritte gemacht?
ich habe irgendwie genau das gleich Problem bei uns. Kann aber leider das Hotfix auch nicht installieren bekomme immer den Fehler:
MSI (c) (3C:94) [11:31:52:011]: Produkt: Microsoft Fix it 50852 -- Dieses Microsoft-Fix it kann nicht
ausgeführt werden, da für den Computer ein Microsoft-Download bzw. ein Microsoft-Update erforderlich ist.
Ich habe Win 7 64 Bit ? bzw. Server 2008 R2
Hast schon Fortschritte gemacht?
1
Hi Philipl,
nein, ich hab das Thema nicht merh verfolgt.
Es gibt eh den PLan ein Skript für die Rechte zu erstellen und dann kann man die eh immer wieder "drübermachen".
sg Dirm
nein, ich hab das Thema nicht merh verfolgt.
Es gibt eh den PLan ein Skript für die Rechte zu erstellen und dann kann man die eh immer wieder "drübermachen".
sg Dirm
