12
NTFS-Rechte: Löschen eines einzelnen Unterordners verhindern
Moin!
Ich habe einen Ordner "Automarken". In diesem befinden sich die Unterordner: "BMW", "Audi", "Ford" und "Toyota". Meine Benutzer haben Modify-Rechte für den Ordner "Automarken" und alle seiner Unterordner, sprich, sie dürfen auch Unterordner nach Belieben löschen.
Den Ordner "Ford" möchte ich nun schützen. Dieser soll nicht gelöscht werden von den Benutzern. Ich habe gelernt, dass Verweigern-Rechte immer vor Zulassen-Rechte stehen. Also dachte ich mir, setze ich in die ACL des Ordners "Ford" den folgenden Eintrag: Jeder, Verweigern, Löschen, Nur dieser Ordner. Dennoch kann jeder diesen Ordner löschen. Wieso ist das so, kann mir das einer erklären?
Danke und Grüße
Peperonico
Ich habe einen Ordner "Automarken". In diesem befinden sich die Unterordner: "BMW", "Audi", "Ford" und "Toyota". Meine Benutzer haben Modify-Rechte für den Ordner "Automarken" und alle seiner Unterordner, sprich, sie dürfen auch Unterordner nach Belieben löschen.
Den Ordner "Ford" möchte ich nun schützen. Dieser soll nicht gelöscht werden von den Benutzern. Ich habe gelernt, dass Verweigern-Rechte immer vor Zulassen-Rechte stehen. Also dachte ich mir, setze ich in die ACL des Ordners "Ford" den folgenden Eintrag: Jeder, Verweigern, Löschen, Nur dieser Ordner. Dennoch kann jeder diesen Ordner löschen. Wieso ist das so, kann mir das einer erklären?
Danke und Grüße
Peperonico
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 279540
Url: https://administrator.de/contentid/279540
Ausgedruckt am: 08.11.2024 um 11:11 Uhr
12 Kommentare
Neuester Kommentar
nimm die Vererbten berechtigungen aus dem Ford ordner raus und nehm den mitarbeitern die lösch und änderberechtigung, das sollte eigentlich klappen
Weil Löschen keine Operation auf der Datei/Ordner selber ist, sondern eine Operation auf das Verzeichnis, welches die Datei enthält.
Wenn die Leute Modify Rechte im Ordner Automarken haben, dürfen Sie darin enthaltene Dateien/Ordner löschen.
Wenn die Leute Modify Rechte im Ordner Automarken haben, dürfen Sie darin enthaltene Dateien/Ordner löschen.
1
Danke für den Tipp. Ich habe veruscht, dies folgendermaßen umzusetzen:
1. Vererbung in "Ford" ausschalten.
2. Die Ändern-Rechte für die Benutzergruppe auf "Nur Unterordner und Dateien" ändern.
Dann kann ich "Ford" nicht mehr löschen. Blöd ist nur, dass ich dann den Ordner nicht mal mehr öffnen kann. Also habe ich noch einen Schritt durchgeführt:
3. Lese-Rechte für die Benutzergruppe setzen und auf "Nur dieser Ordner" stellen.
Jetzt kann ich wieder auf den Ordner zugreifen. Problem: nun lässt sich auch der Ordner wieder löschen.
Es verwirrt mich..
1. Vererbung in "Ford" ausschalten.
2. Die Ändern-Rechte für die Benutzergruppe auf "Nur Unterordner und Dateien" ändern.
Dann kann ich "Ford" nicht mehr löschen. Blöd ist nur, dass ich dann den Ordner nicht mal mehr öffnen kann. Also habe ich noch einen Schritt durchgeführt:
3. Lese-Rechte für die Benutzergruppe setzen und auf "Nur dieser Ordner" stellen.
Jetzt kann ich wieder auf den Ordner zugreifen. Problem: nun lässt sich auch der Ordner wieder löschen.
Es verwirrt mich..
Solange die User auf den Ordner Automarken Ändern Rechte haben, kannst Du das Löschen nicht wirksam verhindern, egal was Du am Ordner Ford auch anstellst.
(OK, das ist nur zu 99% richtig, da der Explorer versucht rekursiv zu löschen, verhindern Dateien/Ordner im Ordner Ford, die der User nicht löschen darf das Löschen des Ordners, aber nicht das Löschen von Dateien im Ordner, die der User wieder ändern darf, daher ist das keine sinnvolle Vorgehensweise).
(OK, das ist nur zu 99% richtig, da der Explorer versucht rekursiv zu löschen, verhindern Dateien/Ordner im Ordner Ford, die der User nicht löschen darf das Löschen des Ordners, aber nicht das Löschen von Dateien im Ordner, die der User wieder ändern darf, daher ist das keine sinnvolle Vorgehensweise).
1
Das musste ich gerade mal durchspielen..
Ich hab die Vererbung in "Ford" wieder eingeschaltet. Dann habe ich eine Textdatei im Ordner "Ford" erstellt und sämtliche Berechtigungen, außer natürlich für die Administratoren, aus der Datei entfernt. Und siehe da: "Ford" ging nicht mehr zu löschen. Sehr unsauber gelöst, sehr geehrter Herr Microsoft!
Danke Andreas, hat mir sehr geholfen, die Sachlage zu verstehen.
Ich hab die Vererbung in "Ford" wieder eingeschaltet. Dann habe ich eine Textdatei im Ordner "Ford" erstellt und sämtliche Berechtigungen, außer natürlich für die Administratoren, aus der Datei entfernt. Und siehe da: "Ford" ging nicht mehr zu löschen. Sehr unsauber gelöst, sehr geehrter Herr Microsoft!
Danke Andreas, hat mir sehr geholfen, die Sachlage zu verstehen.
Das einzige Problem dabei ist, das wenn jemand versucht den Ordner zu Löschen und der Explorer beim rekursiv durchgehen zuerst löschbare Dateien erwischt, dann werden die gelöscht, bis er an die Datei ohne Rechte kommt und dann erst bleibt er hängen.
Es ist also nicht zu 100% sichergestellt, daß nicht Inhalte beim Versuch gelöscht werden.
Es ist also nicht zu 100% sichergestellt, daß nicht Inhalte beim Versuch gelöscht werden.
Moin zusammen,
Ich kann euer Verhalten hier überhaupt nicht nachvollziehen. Das gewünschte Verweigern des Löschens auf den Ordner funktioniert einwandfrei auf allen meinen Maschinen.
Gruß jodel32
Ich kann euer Verhalten hier überhaupt nicht nachvollziehen. Das gewünschte Verweigern des Löschens auf den Ordner funktioniert einwandfrei auf allen meinen Maschinen.
Gruß jodel32
Ja, das Löschen kann man so verhindern, das ist richtig. Allerdings kann der Benutzer so nun nicht mehr auf den Ordner zugreifen. Oder hat das bei dir in dieser Konfiguration auch geklappt?
Zitat von @LosPollos:
Allerdings kann der Benutzer so nun nicht mehr auf den Ordner zugreifen. Oder hat das bei dir in dieser Konfiguration auch geklappt?
Doch, sicher geht das noch, es wird ja nur das Löschen verhindert, alle anderen Rechte bleiben ja durch die Vererbung erhalten !Allerdings kann der Benutzer so nun nicht mehr auf den Ordner zugreifen. Oder hat das bei dir in dieser Konfiguration auch geklappt?
Da kann nur bei dir was durcheinander gekommen sein oder du hast da einen Knoten im Gedankengang und machst an einer Stelle etwas falsch.
Stimmt, jetzt habe ich es auch noch mal ausprobiert:
Der gravierende Unterschied, den ich vergaß zu Beginn zu erwähnen: Ich habe nicht die "normalen" Ändern-Rechte genommen, sondern den Haken bei "Löschen" entfernt und den bei "Unterordner und Dateien löschen" hinzugefügt. Ist das Häckchen wie in den Standard-Rechten bei den Domänen-Benutzern nur bei "Löschen", dann klappt es tatsächlich so, wie du es sagtest und "Ford" lässt sich nicht mehr löschen.
Problem hierbei ist dann nur, dass sich der Ordner "Automarken" plötzlich löschen lässt. Dies lässt sich zwar widerum per Löschverweigerung für Jeden auf diesen Ordner unterbinden, aber das kann doch auch nicht das Gelbe vom Ei sein.
Ich will doch nur alle Ordner, auf die ich explizite Rechte setze, vor Löschen schützen und den Usern innerhalb der Ordner freie Hand geben..
Der gravierende Unterschied, den ich vergaß zu Beginn zu erwähnen: Ich habe nicht die "normalen" Ändern-Rechte genommen, sondern den Haken bei "Löschen" entfernt und den bei "Unterordner und Dateien löschen" hinzugefügt. Ist das Häckchen wie in den Standard-Rechten bei den Domänen-Benutzern nur bei "Löschen", dann klappt es tatsächlich so, wie du es sagtest und "Ford" lässt sich nicht mehr löschen.
Problem hierbei ist dann nur, dass sich der Ordner "Automarken" plötzlich löschen lässt. Dies lässt sich zwar widerum per Löschverweigerung für Jeden auf diesen Ordner unterbinden, aber das kann doch auch nicht das Gelbe vom Ei sein.
Ich will doch nur alle Ordner, auf die ich explizite Rechte setze, vor Löschen schützen und den Usern innerhalb der Ordner freie Hand geben..
Ich habe es nochmals nachgestellt, es kommt auf die Rechte im Automarken Ordner an (Zumindestens bei mir, Win 8.1)
Wenn der User, der versucht zu löschen, Vollzugriff auf den Automarken Ordner hat, dann wird das Löschen verweigern auf dem Unterordner ignoriert.
Wenn der User nur Ändern Rechte auf den Automarken-Ordner hat, dann funktioniert das Löschen verweigern.
Vollzugriff:
Ohne Vollzugriff:
Wenn der User, der versucht zu löschen, Vollzugriff auf den Automarken Ordner hat, dann wird das Löschen verweigern auf dem Unterordner ignoriert.
Wenn der User nur Ändern Rechte auf den Automarken-Ordner hat, dann funktioniert das Löschen verweigern.
Vollzugriff:
D:\>icacls d:\Automarken
d:\Automarken Jeder:(OI)(CI)(F)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
D:\>icacls d:\Automarken\Ford
d:\Automarken\Ford Jeder:(DENY)(D)
Jeder:(I)(OI)(CI)(F)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
D:\>rmdir d:\Automarken\FordOhne Vollzugriff:
D:\>icacls d:\Automarken
d:\Automarken Jeder:(OI)(CI)(M)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
D:\>icacls d:\Automarken\Ford
d:\Automarken\Ford Jeder:(DENY)(D)
Jeder:(I)(OI)(CI)(M)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
D:\>rmdir d:\Automarken\Ford
Zugriff verweigert
Hallo,
ich hab auch das Problem, daß Benutzer öfter schon versehentlich Ordner verschoben haben.
Vermutlich ist es egal ob ich verhindern will, daß jemand aus Versehen (Drag und Drop) einen Ordner verschiebt oder ob ich verhindern möchte daß jemand so einen Ordner aus Versehen löscht. Der Ordner ansich braucht den Schutz daß er nicht verschoben oder gelöscht werden kann.
Ich hab mir die Infos hier mal durchgelesen, ich habe auch einen Hauptordner wie hier beschrieben, der heisst "Projekte", darin liegen die Unterordner
namens "Siemens", "Bosch", "Bauknecht" usw usw. Diese Unterordner möchte ich schützen damit die keiner verschieben oder löschen kann.
Der Hauptordner Projekte ist so eingestellt daß in der Domäne manche User die zu bestimmten Gruppen gehören Änderungsrechte haben und andere von anderen Gruppen nur Leserechte. Vollzugriff hat ausser die User die in Admingruppe sind keiner. Ich kann also die Ordner Bosch usw so einstellen wie es AndreasHoster beschrieben hat, aber ich kann das doch nicht bei allen Ordnern manuell machen, es geht hier um hunderte Ordner unterhalb des Ordners Projekte.
Gibt es denn keine Möglichkeit diese, ich sag jetzt mal 100 Ordner zu markieren und sie als "schreibgeschützt" zu markieren ohne deren Inhalt zu verändern oder die Attribute des jeweiligen Inhalts??
btw, wenn ein neuer Ordner unterhalb Projekte angelegt wird sollte der halt auch automatisch den Schutz erhalten wie die "alten" Ordner.
Danke!
ich hab auch das Problem, daß Benutzer öfter schon versehentlich Ordner verschoben haben.
Vermutlich ist es egal ob ich verhindern will, daß jemand aus Versehen (Drag und Drop) einen Ordner verschiebt oder ob ich verhindern möchte daß jemand so einen Ordner aus Versehen löscht. Der Ordner ansich braucht den Schutz daß er nicht verschoben oder gelöscht werden kann.
Ich hab mir die Infos hier mal durchgelesen, ich habe auch einen Hauptordner wie hier beschrieben, der heisst "Projekte", darin liegen die Unterordner
namens "Siemens", "Bosch", "Bauknecht" usw usw. Diese Unterordner möchte ich schützen damit die keiner verschieben oder löschen kann.
Der Hauptordner Projekte ist so eingestellt daß in der Domäne manche User die zu bestimmten Gruppen gehören Änderungsrechte haben und andere von anderen Gruppen nur Leserechte. Vollzugriff hat ausser die User die in Admingruppe sind keiner. Ich kann also die Ordner Bosch usw so einstellen wie es AndreasHoster beschrieben hat, aber ich kann das doch nicht bei allen Ordnern manuell machen, es geht hier um hunderte Ordner unterhalb des Ordners Projekte.
Gibt es denn keine Möglichkeit diese, ich sag jetzt mal 100 Ordner zu markieren und sie als "schreibgeschützt" zu markieren ohne deren Inhalt zu verändern oder die Attribute des jeweiligen Inhalts??
btw, wenn ein neuer Ordner unterhalb Projekte angelegt wird sollte der halt auch automatisch den Schutz erhalten wie die "alten" Ordner.
Danke!
