Lokale NAS-User via Skripting ansprechen - NTFS Struktur

Moin liebe Kommunity.

Ich habe eine Frage bezüglich lokaler User eines Endgerätes (in diesem Fall einer Synology NAS).

Aufgrund einer bevorstehenden großen Umstellung im Hause, muss ich über lokale User der NAS arbeiten, um einen möglichst reibungslosen Übergang zu schaffen.
Die NAS wird als File-Server verwendet und die ganzen Daten sind logischerweise mit einer NTFS-Struktur versehen. Diese Struktur möchte ich jetzt rudimentär mit lokalen Usern der NAS nachbilden. Dafür habe ich eine .bat geschrieben, in der ich mich icacls bediene. Auf dieser Weise verwalte ich die NTFS im allgemeinen auch (die Erfahrung zeigte also, dass die .bat grundsätzlich funktioniert).

Nun ist aber das Problem, die lokalen User der NAS sind der Domäne natürlich nicht bekannt, also auch nicht meinem Rechner. Hatte gehofft, dass die klare SID dies umgehen könne, jedoch zeigte ein Test, dass dem leider nicht so ist.

icacls "Z:\Pfad\Ordner" /grant "S-*-*-**-**********-**********-*********-******:(RX)"  

Dies war mein Test, mit dem Ergebnis:

S-*-*-**-**********-**********-*********-******: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.

Dies war die Fehlermeldung.

Die [Edit]̶b̶̶e̶̶i̶̶d̶̶e̶̶n̶[/Edit] SID[Edit]̶s̶[/Edit] [Edit]̶s̶̶i̶̶n̶̶d̶[/Edit] [ist ein] lokale[r] User der NAS, [den] ich mir zuvor aus einem anderen Ordner ausgelesen habe und genau zuordnen konnte.

Jetzt die Frage: Gibt es eine Möglichkeit, via Skript mittels der SID-Kennung, die lokalen User der NAS in die NTFS-Struktur aufzunehmen, um ein händisches Eintragen zu umgehen?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 485469

Url: https://administrator.de/contentid/485469

Ausgedruckt am: 17.11.2024 um 09:11 Uhr

7 Kommentare

Neuester Kommentar

Hi,
wenn die SID's bekannt sind, dann sollte das am einfachsten per PoserShell zu erledigen sein.

E.

Edit:
Hier nur mal ein Beispiel (erster Treffer bei Google)
https://blog.netwrix.com/2018/04/18/how-to-manage-file-system-acls-with- ...

Edit 2:
Andererseits sollte das aich mit icacls oder cacls funktionieren, wenn Du den Benutzer angibts als "nasname\benutzername".

Danke für deine schnelle Antwort,

aber leider schaft die PowerShell auch nicht, mit der SID eines Lokalen users eines anderen Gerätes zu arbeiten. Hier der ausgegebene Fehler:

Ausnahme beim Aufrufen von "SetAccessRule" mit 1 Argument(en):  "Manche oder alle Identitätsverweise konnten nicht übersetzt werden."  

Dabei ist es egal, ob ich den User-Namen verwende, oder die SID des Users.

Zitat von @emeriks:

Edit 2:
Andererseits sollte das aich mit icacls oder cacls funktionieren, wenn Du den Benutzer angibts als "nasname\benutzername".

Funktioniert leider nicht, gibt er immer an, dass er den Benutzer nicht finden kann. Hatte eigentlich auch gedacht, wenn ich "nasname\benutzername" verwende, oder die direkte SID, dass ich damit die entsprechenden lokalen User ansprechen kann. Jedoch findet er die entsprechenden User dabei nicht.

Betrifft die Umstellung eure gesamte Domain-Strultur oder nur das AD? Warum die NAS nicht in die Domain einbinden und anschließend die Domain-User verwenden? Die Umstellung sollte dann eigentlich auch das NAS betreffen.

https://www.synology.com/de-de/knowledgebase/DSM/tutorial/Management/How ...

Es wird parallel eine neue Domain hochgezogen, derzeit arbeiten alle über die Domain-User, aber wir können nicht von heut auf morgen alle auf die neue Domain umstellen, daher der Umweg über die NAS-User.
Es werden schrittweise die User zur neuen domain überführt, die erhalten dann über die NAS-User ihren Zugriff, bis alle überführt wurden, dann wird die NAS in die neue Domain überführt, womit anschließend wieder alle über die Domain-User arbeiten können.

Hast Du Subinacl schon mal versucht? Das tauscht direkt die einzelnen ACE in den ACLs aus.

Klasse, das Tool kannte ich noch gar nicht. Bringt genau das, was ich will. Jetzt muss ich das nur noch meinem Script anpassen.

Vielen dank für deine Hilfe