NTFS Sicherheitsberechtigung beim verschieben

Einfaches Problem:
Habe eine Netzwerkfreigabe wo die Ordner über die Active Directory Benutzergruppen berechtigt sind. Beispiel Versand, Konstruktion, Verwaltung...
Jeder kann in seinem Ordner mit seinen Rechten arbeiten. Das klappt.

Problem ist jetzt folgendes: Gruppe Verwaltung hat auch Berechtigungen für die Freigabe Versand. Verschiebt "die Verwaltung" nun Ihre Dateien in "den Versand" wird die NTFS Berechtigung der Verwaltung übernommen, aber der Versand kann die Dateien nun nicht mehr (im eigenen Versandordner) öffnen da die Berechtigung für Versand fehlt. Würde man die Dateien kopieren, funktionieren die Berechtigungen wie gewollt.

Wie bekomme ich das hin das beim verschieben nicht die "originalen" Berechtigungen übernommen werden, sondern die "Zielberechtigungen" neu vererbt werden? Die Personen arbeiten viel per Drag'n'Drop im Explorer - kopieren und löschen ist keine gute Lösung.

Gruß, Markus

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 507683

Url: https://administrator.de/contentid/507683

Ausgedruckt am: 24.11.2024 um 04:11 Uhr

10 Kommentare

Neuester Kommentar

Alter Hut
Geerbte Berechtigungen werden nicht automatisch aktualisiert, wenn Sie Ordner verschieben
Rechtevererbung erzwingen w2k8r2
NTFS Rechte beim verschieben ändern
Ohne Kopieren geht das nur mit Vollzugriff in den Share-ACLs.

In den Microsoft Anleitungen steht drin:
"Note: The MoveSecurityAttributes registry value only applies to Windows XP and to Windows Server 2003. The value does not affect Windows 2000."

Kann ich das heute noch bedenkenlos machen auf 2016/2019?

Zitat von @123290:

In den Microsoft Anleitungen steht drin:
"Note: The MoveSecurityAttributes registry value only applies to Windows XP and to Windows Server 2003. The value does not affect Windows 2000."
Kann ich das heute noch bedenkenlos machen auf 2016/2019?

Das mit den Keys solltest du eigentlich überlesen! Das bringt nichts. Die anderen Hinweise aber schon.
Also entweder kopieren oder die Share ACLs auf Vollzugriff (mit allen Vor und Nachteilen) stellen. So its your choice!

Vollzugriff ist leider keine Lösung für mich in dieser Umgebung. Heißt ich muss denen jetzt beibringen das die kopieren und löschen müssen statt Drag'n'Drop. Alternative Lösung? Total Commander so? Irgendetwas was die NTFS Berechtigung "on the fly" killen kann?

Zitat von @123290:

Vollzugriff ist leider keine Lösung für mich in dieser Umgebung. Heißt ich muss denen jetzt beibringen das die kopieren und löschen müssen statt Drag'n'Drop. Alternative Lösung?

Beim ziehen einfach STRG gedrückt halten.

Irgendetwas was die NTFS Berechtigung "on the fly" killen kann?

Ein PS Skript das bei jeder Änderung auf dem Share automatisch die Berechtigungen mit icacls resettet.
Mit nem Filesystemwatcher einfach automatisierbar.

Zitat von @141575:

Irgendetwas was die NTFS Berechtigung "on the fly" killen kann?

Ein PS Skript das bei jeder Änderung auf dem Share automatisch die Berechtigungen mit icacls resettet.
Mit nem Filesystemwatcher einfach automatisierbar.

Gibt es irgendwo schon eine gute Anleitung für icacls wo ich nicht jeden Ordner einzeln in dem Skript anlegen muss? Oder generell wenigtens ein Beispiel Skript?

icacls [ORDNER] /reset /t /c /q

Solange Du die NTFS-Berechtigungen im Griff hast, sind die Share-Berechtigungen doch ziemlich egal? Bei uns stehen die Shares alle auf Vollzugriff, dafür sind die per NTFS vergebenen Rechte auf Dateisystemebene entsprechend restriktiv. Warum sollte man Rechte für die selben Inhalte an 2 versch. Stellen (Share und NTFS) bearbeiten und pflegen müssen? Muß man eben nicht. NTFS ist mehr als ausreichend, und zudem bedeutend genauer und granularer und bietet Vererbung.

Viele Grüße

von

departure69

Zitat von @departure69:

Solange Du die NTFS-Berechtigungen im Griff hast, sind die Share-Berechtigungen doch ziemlich egal? Bei uns stehen die Shares alle auf Vollzugriff, dafür sind die per NTFS vergebenen Rechte auf Dateisystemebene entsprechend restriktiv.

Hallo zusammen,

ich hoffe ich werde nicht gesteinigt wenn ich das zwei Jahre alte Thema wieder ausgrabe. Es ist jedoch so, das es genau 1:1 darum geht und die Informationen, so wie ich sie sehe, noch aktuell sind.

Ihr schreibt das dieses Problem nicht auftritt, wenn man im Share-ACL volle Berechtigung erteilt und dann per NTFS die rechte einschränkt. Genau das habe ich. Es geht aber nicht.

Name    ScopeName AccountName AccessControlType AccessRight
----    --------- ----------- ----------------- -----------
Freigabe *         Jeder       Allow             Full

In den einzelnen Ordnern habe ich dann eine normale Schreibberechtigung gesetzt, ohne "Berechtigungen ändern"/"Besitz übernehmen" und das nur die Unterordner/Dateien gelöscht werden können, aber nicht der Stammordner. Also kein Zauberwerk.

Trifft das dann dennoch darauf zu? Finde das verhalten sehr ungewöhnlich. Wenn ja, habt ihr Empfehlungen wie man icacls auf neue Dateien/Ordner automatisch anwenden kann?

danke für jede Hilfe, bis dahin,
Andre

@Andre02:

Hallo.

Es geht aber nicht

Was genau geht denn nicht?

Bist Du bei der Vererbung korrekt vorgegangen?

Bei uns hier sieht ein Standard-Schreibrecht - ohne "Ausführen-Recht", die User sollen bspw. von ihrem User-Home aus auf dem Fileserver keine *.exe-Files ausführen können - folgendermaßen aus (auf Share-Ebene, wie gesagt, Vollzugriff):