dirmhirn
Goto Top

Geerbte Berechtigungen werden nicht automatisch aktualisiert, wenn Sie Ordner verschieben

Hi!

Habe zu dem Thema schon einmal recherchiert:
Rechtevererbung erzwingen w2k8r2

Den Schlüssel MoveSecurityAttributes habe ich auf Server und Client testweise gesetzt, auch die Hotfixes und Updates habe ich installiert. zB hier http://support.microsoft.com/kb/2617058/en-us

Windows 2008 R2
\\fileserver\share\Ordner_A
\\fileserver\share\Ordner_B

Kopier ich einen Ordner von Ordner_A nach _B, werden die vererbten Rechte erst aktualisiert wenn man die Rechte von Ordner_B ändert/bzw neu abspeichert. Also wenn ich zb eine zusätzliche Gruppe zu _B hinzufüge, wird bei dem kopierten Ordner auch die Gruppe _A durch _B ersetzt.

jetzt ist mir aber aufgefallen, dass es mit dem Domainadmin funktioniert - egal auf welchem Client - mit oder ohne Hotfix.

gebe ich einem User Vollzugriff auf den Ordner, funktioniert es wieder nicht!

Nach diesem Artikel:
http://support.microsoft.com/kb/320246/en-us
ist das Verhalten so gewünscht, aber ist es wirklich sinnvoll alle paar Wochen die Shares neu zu "bügeln"?

zb haben wir einen Ordner in den alle Scanner scannen, kopiert ein User die Datei dann in einen anderen Ordner, hat noch immer die scan_gruppe darauf Zugriff. Ist bei den Scanns jetzt egal, da dort eh alle drinnen sind. Aber kopiert ein User etwas aus einem Bereich auf den ein anderer keinen Zugriff hat, sieht der andere die Datei nicht...

wenn ich es richtig verstanden habe, soll das ein Art "Schutz" sein, dass verschobene Daten nicht zufällig von unberechtigten gelesen werden - aber wenn ich die Dateien kopiere...

Sieht das noch jemand als Problem und hat es schon gelöst?

sg Dirm

Content-ID: 232192

Url: https://administrator.de/forum/geerbte-berechtigungen-werden-nicht-automatisch-aktualisiert-wenn-sie-ordner-verschieben-232192.html

Ausgedruckt am: 27.12.2024 um 20:12 Uhr

emeriks
emeriks 10.03.2014 aktualisiert um 16:18:02 Uhr
Goto Top
Hi,
ich fürchte, Du verwirrst Du selbst, weil Du verschieben und kopieren hier vermischst.

Der o.g. Hotfix ist "gegen" den Standard, dass beim Verschieben einer Datei oder Order innerhalb des selben NTFS-Laufwerks die ACL nicht neu geschrieben wird, sprich, dass dieser ausgehebelt wird. Also dann werden auch beim Verschieben im selben Laufwerk die Berechtigungen dem neuen Stammordner angepasst.

Beim Kopieren ändert der o.g. Hotfix aber überhaupt nix. Also ja, beim Kopieren erhält die Kopie immer eine neuen ACL gemäß der ACL des neuen Stammordners, auch wenn der kopierende Benutzer keinen Vollzugriff auf den Zielordner hat Wenn er Schreibrechte für den Zielordner hat, dann kann er dort die Kopie erstellen. Weil er dann Besitzer dieser Kopie ist, hat er für die Kopie im ersten Augenblick Vollzugriff. dadurch kann auch die ACL neu geschrieben werden. Anschließend kann es u.U. sein, dass auch der kopierende Benutzer keinen Zugriff auf die Kopie mehr hat.

E.

Edit: habe noch mal Rächtschraibung korrigiert.
Dirmhirn
Dirmhirn 10.03.2014 um 16:20:54 Uhr
Goto Top
Hi!

es geht mir darum, dass die ACLs immer neu geschrieben werden.

d.h. egal ob die Datei verschoben oder kopiert wird, sie soll die Rechte des neuen Ordners vererbt bekommen.

sg Dirm
emeriks
emeriks 10.03.2014 um 16:24:15 Uhr
Goto Top
Ja, wie gesagt, beim Kopieren ist es immer so.

Beim Verschieben: Du hast den o.g. Hotfix also installiert, den Regkey gesetzt, und es funktioniert trotzdem nicht?

E.
Dirmhirn
Dirmhirn 10.03.2014 um 17:16:46 Uhr
Goto Top
Zitat von @emeriks:

Ja, wie gesagt, beim Kopieren ist es immer so.

Beim Verschieben: Du hast den o.g. Hotfix also installiert, den Regkey gesetzt, und es funktioniert trotzdem nicht?
ja habe ich und ja es funktioniert nicht.
ich werd's morgen noch einmal testen - vll muss noch was sickern ^^

sg Dirm
emeriks
emeriks 11.03.2014 um 09:28:40 Uhr
Goto Top
Hast Du die Kiste nach dem Patch schon mal durchgestartet?
Dirmhirn
Dirmhirn 11.03.2014 um 11:45:28 Uhr
Goto Top
bin einen Schritt weiter face-smile
wenn ich dem User Share Permission: Full Control gebe, dann funktioniert es. Egal ob mit oder ohne Regkey.
Aber jetzt habe ich das Problem, dass der User in Unterordnern die Berechtigungen ändern kann. Auch wenn ich ihm per NTFS Permissions das Recht Change Permissions entziehe.

nur die explizit gesetzten Rechte auf _A und _B kann ich nicht entfernen. Aber bei einem Unterordner die Vererbung unterbrechen und beliebige setzten.
explizite Rechte auf _A und _B: Change - files, this folder, subfolders

sg Dirm
emeriks
emeriks 12.03.2014 um 23:23:20 Uhr
Goto Top
Zitat von @Dirmhirn:

bin einen Schritt weiter face-smile
wenn ich dem User Share Permission: Full Control gebe, dann funktioniert es. Egal ob mit oder ohne Regkey.
Ich vergebe in 99,99% aller Fälle in den Freigabe-Berechtigungen immer "Vollzugriff" für "Jeder". Und in den NTFS-Berechtigungen schränke ich dann auf das Erforderliche ein.

Aber jetzt habe ich das Problem, dass der User in Unterordnern die Berechtigungen ändern kann. Auch wenn ich ihm per NTFS
Permissions das Recht Change Permissions entziehe.
Jetzt verbreitest Du aber Gerüchte! face-wink

Wenn einem User im NTFS Rechte fehlen, dann kann er in der Freigabe haben was er will, er kann das fehlende NTFS-Recht nicht anwenden.
Wenn er also etwas kann, dann hat er entweder direkt oder über eine seiner Gruppen dieses Recht erteilt bekommen. Oder er ist Besitzer der betreffenden Datei.

Du kannst Dir über die Eigenschaften einer Datei --> Sicherheit --> Erweitert --> "Effektive Berechtigungen" eben letztere für einen Benutzer oder einer Gruppe anzeigen lassen. Wenn Du das nicht lokal auf dem Server sondern von Netzwerk über die Freigabe machst, dann werden dabei auch die Freigabe-Berechtigungen berücksichtigt.

Schau mal.
Dirmhirn
Dirmhirn 13.03.2014 um 10:10:36 Uhr
Goto Top
Zitat von @emeriks:

> Aber jetzt habe ich das Problem, dass der User in Unterordnern die Berechtigungen ändern kann. Auch wenn ich ihm per
NTFS
> Permissions das Recht Change Permissions entziehe.
Jetzt verbreitest Du aber Gerüchte! face-wink

...das kommt daher weil der User Besitzer des Ordners ist... das habe ich nicht bedacht face-confused

ok, damit bin ich wieder am Anfang face-big-smile

werde wieder Patch und Regkey testen - vll funktioniert's ja jetzt doch wieder damit und dann richtig...

Danke für deine Inputs.

sg Dirm
UnbekannterNR1
UnbekannterNR1 13.01.2015 aktualisiert um 13:01:04 Uhr
Goto Top
Hi Dirm,
ich habe irgendwie genau das gleich Problem bei uns. Kann aber leider das Hotfix auch nicht installieren bekomme immer den Fehler:
MSI (c) (3C:94) [11:31:52:011]: Produkt: Microsoft Fix it 50852 -- Dieses Microsoft-Fix it kann nicht
ausgeführt werden, da für den Computer ein Microsoft-Download bzw. ein Microsoft-Update erforderlich ist.

Ich habe Win 7 64 Bit ? bzw. Server 2008 R2

Hast schon Fortschritte gemacht?
Dirmhirn
Dirmhirn 13.01.2015 um 13:03:20 Uhr
Goto Top
Hi Philipl,

nein, ich hab das Thema nicht merh verfolgt.
Es gibt eh den PLan ein Skript für die Rechte zu erstellen und dann kann man die eh immer wieder "drübermachen".

sg Dirm