lospollos
Goto Top

NTFS-Rechte: Löschen eines einzelnen Unterordners verhindern

Moin!

Ich habe einen Ordner "Automarken". In diesem befinden sich die Unterordner: "BMW", "Audi", "Ford" und "Toyota". Meine Benutzer haben Modify-Rechte für den Ordner "Automarken" und alle seiner Unterordner, sprich, sie dürfen auch Unterordner nach Belieben löschen.

Den Ordner "Ford" möchte ich nun schützen. Dieser soll nicht gelöscht werden von den Benutzern. Ich habe gelernt, dass Verweigern-Rechte immer vor Zulassen-Rechte stehen. Also dachte ich mir, setze ich in die ACL des Ordners "Ford" den folgenden Eintrag: Jeder, Verweigern, Löschen, Nur dieser Ordner. Dennoch kann jeder diesen Ordner löschen. Wieso ist das so, kann mir das einer erklären? face-smile

Danke und Grüße
Peperonico

Content-ID: 279540

Url: https://administrator.de/contentid/279540

Ausgedruckt am: 08.11.2024 um 11:11 Uhr

Tjelvar
Tjelvar 07.08.2015 um 12:52:34 Uhr
Goto Top
nimm die Vererbten berechtigungen aus dem Ford ordner raus und nehm den mitarbeitern die lösch und änderberechtigung, das sollte eigentlich klappen
AndreasHoster
AndreasHoster 07.08.2015 um 12:56:20 Uhr
Goto Top
Weil Löschen keine Operation auf der Datei/Ordner selber ist, sondern eine Operation auf das Verzeichnis, welches die Datei enthält.
Wenn die Leute Modify Rechte im Ordner Automarken haben, dürfen Sie darin enthaltene Dateien/Ordner löschen.
LosPollos
LosPollos 07.08.2015 um 13:49:07 Uhr
Goto Top
Danke für den Tipp. Ich habe veruscht, dies folgendermaßen umzusetzen:

1. Vererbung in "Ford" ausschalten.
2. Die Ändern-Rechte für die Benutzergruppe auf "Nur Unterordner und Dateien" ändern.

Dann kann ich "Ford" nicht mehr löschen. Blöd ist nur, dass ich dann den Ordner nicht mal mehr öffnen kann. Also habe ich noch einen Schritt durchgeführt:

3. Lese-Rechte für die Benutzergruppe setzen und auf "Nur dieser Ordner" stellen.

Jetzt kann ich wieder auf den Ordner zugreifen. Problem: nun lässt sich auch der Ordner wieder löschen.

Es verwirrt mich.. face-smile
AndreasHoster
AndreasHoster 07.08.2015, aktualisiert am 10.08.2015 um 09:51:11 Uhr
Goto Top
Solange die User auf den Ordner Automarken Ändern Rechte haben, kannst Du das Löschen nicht wirksam verhindern, egal was Du am Ordner Ford auch anstellst.
(OK, das ist nur zu 99% richtig, da der Explorer versucht rekursiv zu löschen, verhindern Dateien/Ordner im Ordner Ford, die der User nicht löschen darf das Löschen des Ordners, aber nicht das Löschen von Dateien im Ordner, die der User wieder ändern darf, daher ist das keine sinnvolle Vorgehensweise).
LosPollos
LosPollos 07.08.2015 um 14:44:12 Uhr
Goto Top
Das musste ich gerade mal durchspielen..
Ich hab die Vererbung in "Ford" wieder eingeschaltet. Dann habe ich eine Textdatei im Ordner "Ford" erstellt und sämtliche Berechtigungen, außer natürlich für die Administratoren, aus der Datei entfernt. Und siehe da: "Ford" ging nicht mehr zu löschen. Sehr unsauber gelöst, sehr geehrter Herr Microsoft! face-big-smile

Danke Andreas, hat mir sehr geholfen, die Sachlage zu verstehen.
AndreasHoster
AndreasHoster 07.08.2015 um 15:16:31 Uhr
Goto Top
Das einzige Problem dabei ist, das wenn jemand versucht den Ordner zu Löschen und der Explorer beim rekursiv durchgehen zuerst löschbare Dateien erwischt, dann werden die gelöscht, bis er an die Datei ohne Rechte kommt und dann erst bleibt er hängen.
Es ist also nicht zu 100% sichergestellt, daß nicht Inhalte beim Versuch gelöscht werden.
114757
114757 07.08.2015 aktualisiert um 15:34:52 Uhr
Goto Top
Moin zusammen,
Ich kann euer Verhalten hier überhaupt nicht nachvollziehen. Das gewünschte Verweigern des Löschens auf den Ordner funktioniert einwandfrei auf allen meinen Maschinen.

e83238bc94bcd722c8592bfe60b3382e

Gruß jodel32
LosPollos
LosPollos 07.08.2015 um 18:00:50 Uhr
Goto Top
Ja, das Löschen kann man so verhindern, das ist richtig. Allerdings kann der Benutzer so nun nicht mehr auf den Ordner zugreifen. Oder hat das bei dir in dieser Konfiguration auch geklappt?
114757
114757 07.08.2015 aktualisiert um 18:21:34 Uhr
Goto Top
Zitat von @LosPollos:
Allerdings kann der Benutzer so nun nicht mehr auf den Ordner zugreifen. Oder hat das bei dir in dieser Konfiguration auch geklappt?
Doch, sicher geht das noch, es wird ja nur das Löschen verhindert, alle anderen Rechte bleiben ja durch die Vererbung erhalten !
Da kann nur bei dir was durcheinander gekommen sein oder du hast da einen Knoten im Gedankengang und machst an einer Stelle etwas falsch.
LosPollos
LosPollos 10.08.2015 um 09:16:49 Uhr
Goto Top
Stimmt, jetzt habe ich es auch noch mal ausprobiert:
Der gravierende Unterschied, den ich vergaß zu Beginn zu erwähnen: Ich habe nicht die "normalen" Ändern-Rechte genommen, sondern den Haken bei "Löschen" entfernt und den bei "Unterordner und Dateien löschen" hinzugefügt. Ist das Häckchen wie in den Standard-Rechten bei den Domänen-Benutzern nur bei "Löschen", dann klappt es tatsächlich so, wie du es sagtest und "Ford" lässt sich nicht mehr löschen.

Problem hierbei ist dann nur, dass sich der Ordner "Automarken" plötzlich löschen lässt. Dies lässt sich zwar widerum per Löschverweigerung für Jeden auf diesen Ordner unterbinden, aber das kann doch auch nicht das Gelbe vom Ei sein.
Ich will doch nur alle Ordner, auf die ich explizite Rechte setze, vor Löschen schützen und den Usern innerhalb der Ordner freie Hand geben.. face-smile
AndreasHoster
AndreasHoster 10.08.2015 um 09:47:34 Uhr
Goto Top
Ich habe es nochmals nachgestellt, es kommt auf die Rechte im Automarken Ordner an (Zumindestens bei mir, Win 8.1)
Wenn der User, der versucht zu löschen, Vollzugriff auf den Automarken Ordner hat, dann wird das Löschen verweigern auf dem Unterordner ignoriert.
Wenn der User nur Ändern Rechte auf den Automarken-Ordner hat, dann funktioniert das Löschen verweigern.
Vollzugriff:
D:\>icacls d:\Automarken
d:\Automarken Jeder:(OI)(CI)(F)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

D:\>icacls d:\Automarken\Ford
d:\Automarken\Ford Jeder:(DENY)(D)
                   Jeder:(I)(OI)(CI)(F)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

D:\>rmdir d:\Automarken\Ford

Ohne Vollzugriff:
D:\>icacls d:\Automarken
d:\Automarken Jeder:(OI)(CI)(M)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

D:\>icacls d:\Automarken\Ford
d:\Automarken\Ford Jeder:(DENY)(D)
                   Jeder:(I)(OI)(CI)(M)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

D:\>rmdir d:\Automarken\Ford
Zugriff verweigert
aw-at-wis
aw-at-wis 10.02.2017 um 09:17:58 Uhr
Goto Top
Hallo,
ich hab auch das Problem, daß Benutzer öfter schon versehentlich Ordner verschoben haben.
Vermutlich ist es egal ob ich verhindern will, daß jemand aus Versehen (Drag und Drop) einen Ordner verschiebt oder ob ich verhindern möchte daß jemand so einen Ordner aus Versehen löscht. Der Ordner ansich braucht den Schutz daß er nicht verschoben oder gelöscht werden kann.
Ich hab mir die Infos hier mal durchgelesen, ich habe auch einen Hauptordner wie hier beschrieben, der heisst "Projekte", darin liegen die Unterordner
namens "Siemens", "Bosch", "Bauknecht" usw usw. Diese Unterordner möchte ich schützen damit die keiner verschieben oder löschen kann.

Der Hauptordner Projekte ist so eingestellt daß in der Domäne manche User die zu bestimmten Gruppen gehören Änderungsrechte haben und andere von anderen Gruppen nur Leserechte. Vollzugriff hat ausser die User die in Admingruppe sind keiner. Ich kann also die Ordner Bosch usw so einstellen wie es AndreasHoster beschrieben hat, aber ich kann das doch nicht bei allen Ordnern manuell machen, es geht hier um hunderte Ordner unterhalb des Ordners Projekte.

Gibt es denn keine Möglichkeit diese, ich sag jetzt mal 100 Ordner zu markieren und sie als "schreibgeschützt" zu markieren ohne deren Inhalt zu verändern oder die Attribute des jeweiligen Inhalts??

btw, wenn ein neuer Ordner unterhalb Projekte angelegt wird sollte der halt auch automatisch den Schutz erhalten wie die "alten" Ordner.

Danke!