NTFS-Rechte: Löschen eines einzelnen Unterordners verhindern
Moin!
Ich habe einen Ordner "Automarken". In diesem befinden sich die Unterordner: "BMW", "Audi", "Ford" und "Toyota". Meine Benutzer haben Modify-Rechte für den Ordner "Automarken" und alle seiner Unterordner, sprich, sie dürfen auch Unterordner nach Belieben löschen.
Den Ordner "Ford" möchte ich nun schützen. Dieser soll nicht gelöscht werden von den Benutzern. Ich habe gelernt, dass Verweigern-Rechte immer vor Zulassen-Rechte stehen. Also dachte ich mir, setze ich in die ACL des Ordners "Ford" den folgenden Eintrag: Jeder, Verweigern, Löschen, Nur dieser Ordner. Dennoch kann jeder diesen Ordner löschen. Wieso ist das so, kann mir das einer erklären?
Danke und Grüße
Peperonico
Ich habe einen Ordner "Automarken". In diesem befinden sich die Unterordner: "BMW", "Audi", "Ford" und "Toyota". Meine Benutzer haben Modify-Rechte für den Ordner "Automarken" und alle seiner Unterordner, sprich, sie dürfen auch Unterordner nach Belieben löschen.
Den Ordner "Ford" möchte ich nun schützen. Dieser soll nicht gelöscht werden von den Benutzern. Ich habe gelernt, dass Verweigern-Rechte immer vor Zulassen-Rechte stehen. Also dachte ich mir, setze ich in die ACL des Ordners "Ford" den folgenden Eintrag: Jeder, Verweigern, Löschen, Nur dieser Ordner. Dennoch kann jeder diesen Ordner löschen. Wieso ist das so, kann mir das einer erklären?
Danke und Grüße
Peperonico
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 279540
Url: https://administrator.de/contentid/279540
Ausgedruckt am: 08.11.2024 um 11:11 Uhr
12 Kommentare
Neuester Kommentar
Solange die User auf den Ordner Automarken Ändern Rechte haben, kannst Du das Löschen nicht wirksam verhindern, egal was Du am Ordner Ford auch anstellst.
(OK, das ist nur zu 99% richtig, da der Explorer versucht rekursiv zu löschen, verhindern Dateien/Ordner im Ordner Ford, die der User nicht löschen darf das Löschen des Ordners, aber nicht das Löschen von Dateien im Ordner, die der User wieder ändern darf, daher ist das keine sinnvolle Vorgehensweise).
(OK, das ist nur zu 99% richtig, da der Explorer versucht rekursiv zu löschen, verhindern Dateien/Ordner im Ordner Ford, die der User nicht löschen darf das Löschen des Ordners, aber nicht das Löschen von Dateien im Ordner, die der User wieder ändern darf, daher ist das keine sinnvolle Vorgehensweise).
Das einzige Problem dabei ist, das wenn jemand versucht den Ordner zu Löschen und der Explorer beim rekursiv durchgehen zuerst löschbare Dateien erwischt, dann werden die gelöscht, bis er an die Datei ohne Rechte kommt und dann erst bleibt er hängen.
Es ist also nicht zu 100% sichergestellt, daß nicht Inhalte beim Versuch gelöscht werden.
Es ist also nicht zu 100% sichergestellt, daß nicht Inhalte beim Versuch gelöscht werden.
Zitat von @LosPollos:
Allerdings kann der Benutzer so nun nicht mehr auf den Ordner zugreifen. Oder hat das bei dir in dieser Konfiguration auch geklappt?
Doch, sicher geht das noch, es wird ja nur das Löschen verhindert, alle anderen Rechte bleiben ja durch die Vererbung erhalten !Allerdings kann der Benutzer so nun nicht mehr auf den Ordner zugreifen. Oder hat das bei dir in dieser Konfiguration auch geklappt?
Da kann nur bei dir was durcheinander gekommen sein oder du hast da einen Knoten im Gedankengang und machst an einer Stelle etwas falsch.
Ich habe es nochmals nachgestellt, es kommt auf die Rechte im Automarken Ordner an (Zumindestens bei mir, Win 8.1)
Wenn der User, der versucht zu löschen, Vollzugriff auf den Automarken Ordner hat, dann wird das Löschen verweigern auf dem Unterordner ignoriert.
Wenn der User nur Ändern Rechte auf den Automarken-Ordner hat, dann funktioniert das Löschen verweigern.
Vollzugriff:
Ohne Vollzugriff:
Wenn der User, der versucht zu löschen, Vollzugriff auf den Automarken Ordner hat, dann wird das Löschen verweigern auf dem Unterordner ignoriert.
Wenn der User nur Ändern Rechte auf den Automarken-Ordner hat, dann funktioniert das Löschen verweigern.
Vollzugriff:
D:\>icacls d:\Automarken
d:\Automarken Jeder:(OI)(CI)(F)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
D:\>icacls d:\Automarken\Ford
d:\Automarken\Ford Jeder:(DENY)(D)
Jeder:(I)(OI)(CI)(F)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
D:\>rmdir d:\Automarken\Ford
Ohne Vollzugriff:
D:\>icacls d:\Automarken
d:\Automarken Jeder:(OI)(CI)(M)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
D:\>icacls d:\Automarken\Ford
d:\Automarken\Ford Jeder:(DENY)(D)
Jeder:(I)(OI)(CI)(M)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
D:\>rmdir d:\Automarken\Ford
Zugriff verweigert
Hallo,
ich hab auch das Problem, daß Benutzer öfter schon versehentlich Ordner verschoben haben.
Vermutlich ist es egal ob ich verhindern will, daß jemand aus Versehen (Drag und Drop) einen Ordner verschiebt oder ob ich verhindern möchte daß jemand so einen Ordner aus Versehen löscht. Der Ordner ansich braucht den Schutz daß er nicht verschoben oder gelöscht werden kann.
Ich hab mir die Infos hier mal durchgelesen, ich habe auch einen Hauptordner wie hier beschrieben, der heisst "Projekte", darin liegen die Unterordner
namens "Siemens", "Bosch", "Bauknecht" usw usw. Diese Unterordner möchte ich schützen damit die keiner verschieben oder löschen kann.
Der Hauptordner Projekte ist so eingestellt daß in der Domäne manche User die zu bestimmten Gruppen gehören Änderungsrechte haben und andere von anderen Gruppen nur Leserechte. Vollzugriff hat ausser die User die in Admingruppe sind keiner. Ich kann also die Ordner Bosch usw so einstellen wie es AndreasHoster beschrieben hat, aber ich kann das doch nicht bei allen Ordnern manuell machen, es geht hier um hunderte Ordner unterhalb des Ordners Projekte.
Gibt es denn keine Möglichkeit diese, ich sag jetzt mal 100 Ordner zu markieren und sie als "schreibgeschützt" zu markieren ohne deren Inhalt zu verändern oder die Attribute des jeweiligen Inhalts??
btw, wenn ein neuer Ordner unterhalb Projekte angelegt wird sollte der halt auch automatisch den Schutz erhalten wie die "alten" Ordner.
Danke!
ich hab auch das Problem, daß Benutzer öfter schon versehentlich Ordner verschoben haben.
Vermutlich ist es egal ob ich verhindern will, daß jemand aus Versehen (Drag und Drop) einen Ordner verschiebt oder ob ich verhindern möchte daß jemand so einen Ordner aus Versehen löscht. Der Ordner ansich braucht den Schutz daß er nicht verschoben oder gelöscht werden kann.
Ich hab mir die Infos hier mal durchgelesen, ich habe auch einen Hauptordner wie hier beschrieben, der heisst "Projekte", darin liegen die Unterordner
namens "Siemens", "Bosch", "Bauknecht" usw usw. Diese Unterordner möchte ich schützen damit die keiner verschieben oder löschen kann.
Der Hauptordner Projekte ist so eingestellt daß in der Domäne manche User die zu bestimmten Gruppen gehören Änderungsrechte haben und andere von anderen Gruppen nur Leserechte. Vollzugriff hat ausser die User die in Admingruppe sind keiner. Ich kann also die Ordner Bosch usw so einstellen wie es AndreasHoster beschrieben hat, aber ich kann das doch nicht bei allen Ordnern manuell machen, es geht hier um hunderte Ordner unterhalb des Ordners Projekte.
Gibt es denn keine Möglichkeit diese, ich sag jetzt mal 100 Ordner zu markieren und sie als "schreibgeschützt" zu markieren ohne deren Inhalt zu verändern oder die Attribute des jeweiligen Inhalts??
btw, wenn ein neuer Ordner unterhalb Projekte angelegt wird sollte der halt auch automatisch den Schutz erhalten wie die "alten" Ordner.
Danke!