123290
Oct 23, 2019 at 06:46:42 (UTC)
9648
10
0
NTFS Sicherheitsberechtigung beim verschieben
Einfaches Problem:
Habe eine Netzwerkfreigabe wo die Ordner über die Active Directory Benutzergruppen berechtigt sind. Beispiel Versand, Konstruktion, Verwaltung...
Jeder kann in seinem Ordner mit seinen Rechten arbeiten. Das klappt.
Problem ist jetzt folgendes: Gruppe Verwaltung hat auch Berechtigungen für die Freigabe Versand. Verschiebt "die Verwaltung" nun Ihre Dateien in "den Versand" wird die NTFS Berechtigung der Verwaltung übernommen, aber der Versand kann die Dateien nun nicht mehr (im eigenen Versandordner) öffnen da die Berechtigung für Versand fehlt. Würde man die Dateien kopieren, funktionieren die Berechtigungen wie gewollt.
Wie bekomme ich das hin das beim verschieben nicht die "originalen" Berechtigungen übernommen werden, sondern die "Zielberechtigungen" neu vererbt werden? Die Personen arbeiten viel per Drag'n'Drop im Explorer - kopieren und löschen ist keine gute Lösung.
Gruß, Markus
Habe eine Netzwerkfreigabe wo die Ordner über die Active Directory Benutzergruppen berechtigt sind. Beispiel Versand, Konstruktion, Verwaltung...
Jeder kann in seinem Ordner mit seinen Rechten arbeiten. Das klappt.
Problem ist jetzt folgendes: Gruppe Verwaltung hat auch Berechtigungen für die Freigabe Versand. Verschiebt "die Verwaltung" nun Ihre Dateien in "den Versand" wird die NTFS Berechtigung der Verwaltung übernommen, aber der Versand kann die Dateien nun nicht mehr (im eigenen Versandordner) öffnen da die Berechtigung für Versand fehlt. Würde man die Dateien kopieren, funktionieren die Berechtigungen wie gewollt.
Wie bekomme ich das hin das beim verschieben nicht die "originalen" Berechtigungen übernommen werden, sondern die "Zielberechtigungen" neu vererbt werden? Die Personen arbeiten viel per Drag'n'Drop im Explorer - kopieren und löschen ist keine gute Lösung.
Gruß, Markus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 507683
Url: https://administrator.de/contentid/507683
Printed on: April 20, 2024 at 02:04 o'clock
10 Comments
Latest comment
Alter Hut
Geerbte Berechtigungen werden nicht automatisch aktualisiert, wenn Sie Ordner verschieben
Rechtevererbung erzwingen w2k8r2
NTFS Rechte beim verschieben ändern
Ohne Kopieren geht das nur mit Vollzugriff in den Share-ACLs.
Geerbte Berechtigungen werden nicht automatisch aktualisiert, wenn Sie Ordner verschieben
Rechtevererbung erzwingen w2k8r2
NTFS Rechte beim verschieben ändern
Ohne Kopieren geht das nur mit Vollzugriff in den Share-ACLs.
In den Microsoft Anleitungen steht drin:
"Note: The MoveSecurityAttributes registry value only applies to Windows XP and to Windows Server 2003. The value does not affect Windows 2000."
Kann ich das heute noch bedenkenlos machen auf 2016/2019?
"Note: The MoveSecurityAttributes registry value only applies to Windows XP and to Windows Server 2003. The value does not affect Windows 2000."
Kann ich das heute noch bedenkenlos machen auf 2016/2019?
Zitat von @123290:
In den Microsoft Anleitungen steht drin:
"Note: The MoveSecurityAttributes registry value only applies to Windows XP and to Windows Server 2003. The value does not affect Windows 2000."
Kann ich das heute noch bedenkenlos machen auf 2016/2019?
Das mit den Keys solltest du eigentlich überlesen! Das bringt nichts. Die anderen Hinweise aber schon.In den Microsoft Anleitungen steht drin:
"Note: The MoveSecurityAttributes registry value only applies to Windows XP and to Windows Server 2003. The value does not affect Windows 2000."
Kann ich das heute noch bedenkenlos machen auf 2016/2019?
Also entweder kopieren oder die Share ACLs auf Vollzugriff (mit allen Vor und Nachteilen) stellen. So its your choice!
Vollzugriff ist leider keine Lösung für mich in dieser Umgebung. Heißt ich muss denen jetzt beibringen das die kopieren und löschen müssen statt Drag'n'Drop. Alternative Lösung? Total Commander so? Irgendetwas was die NTFS Berechtigung "on the fly" killen kann?
Zitat von @123290:
Vollzugriff ist leider keine Lösung für mich in dieser Umgebung. Heißt ich muss denen jetzt beibringen das die kopieren und löschen müssen statt Drag'n'Drop. Alternative Lösung?
Beim ziehen einfach STRG gedrückt halten.Vollzugriff ist leider keine Lösung für mich in dieser Umgebung. Heißt ich muss denen jetzt beibringen das die kopieren und löschen müssen statt Drag'n'Drop. Alternative Lösung?
Irgendetwas was die NTFS Berechtigung "on the fly" killen kann?
Ein PS Skript das bei jeder Änderung auf dem Share automatisch die Berechtigungen mit icacls resettet.Mit nem Filesystemwatcher einfach automatisierbar.
Zitat von @141575:
Irgendetwas was die NTFS Berechtigung "on the fly" killen kann?
Ein PS Skript das bei jeder Änderung auf dem Share automatisch die Berechtigungen mit icacls resettet.Mit nem Filesystemwatcher einfach automatisierbar.
Gibt es irgendwo schon eine gute Anleitung für icacls wo ich nicht jeden Ordner einzeln in dem Skript anlegen muss? Oder generell wenigtens ein Beispiel Skript?
icacls [ORDNER] /reset /t /c /q
1
Zitat von @123290:
Vollzugriff ist leider keine Lösung für mich in dieser Umgebung. Heißt ich muss denen jetzt beibringen das die kopieren und löschen müssen statt Drag'n'Drop. Alternative Lösung? Total Commander so? Irgendetwas was die NTFS Berechtigung "on the fly" killen kann?
Vollzugriff ist leider keine Lösung für mich in dieser Umgebung. Heißt ich muss denen jetzt beibringen das die kopieren und löschen müssen statt Drag'n'Drop. Alternative Lösung? Total Commander so? Irgendetwas was die NTFS Berechtigung "on the fly" killen kann?
Solange Du die NTFS-Berechtigungen im Griff hast, sind die Share-Berechtigungen doch ziemlich egal? Bei uns stehen die Shares alle auf Vollzugriff, dafür sind die per NTFS vergebenen Rechte auf Dateisystemebene entsprechend restriktiv. Warum sollte man Rechte für die selben Inhalte an 2 versch. Stellen (Share und NTFS) bearbeiten und pflegen müssen? Muß man eben nicht. NTFS ist mehr als ausreichend, und zudem bedeutend genauer und granularer und bietet Vererbung.
Viele Grüße
von
departure69
Zitat von @departure69:
Solange Du die NTFS-Berechtigungen im Griff hast, sind die Share-Berechtigungen doch ziemlich egal? Bei uns stehen die Shares alle auf Vollzugriff, dafür sind die per NTFS vergebenen Rechte auf Dateisystemebene entsprechend restriktiv.
Solange Du die NTFS-Berechtigungen im Griff hast, sind die Share-Berechtigungen doch ziemlich egal? Bei uns stehen die Shares alle auf Vollzugriff, dafür sind die per NTFS vergebenen Rechte auf Dateisystemebene entsprechend restriktiv.
Hallo zusammen,
ich hoffe ich werde nicht gesteinigt wenn ich das zwei Jahre alte Thema wieder ausgrabe. Es ist jedoch so, das es genau 1:1 darum geht und die Informationen, so wie ich sie sehe, noch aktuell sind.
Ihr schreibt das dieses Problem nicht auftritt, wenn man im Share-ACL volle Berechtigung erteilt und dann per NTFS die rechte einschränkt. Genau das habe ich. Es geht aber nicht.
Name ScopeName AccountName AccessControlType AccessRight
---- --------- ----------- ----------------- -----------
Freigabe * Jeder Allow FullIn den einzelnen Ordnern habe ich dann eine normale Schreibberechtigung gesetzt, ohne "Berechtigungen ändern"/"Besitz übernehmen" und das nur die Unterordner/Dateien gelöscht werden können, aber nicht der Stammordner. Also kein Zauberwerk.
Trifft das dann dennoch darauf zu? Finde das verhalten sehr ungewöhnlich. Wenn ja, habt ihr Empfehlungen wie man icacls auf neue Dateien/Ordner automatisch anwenden kann?
danke für jede Hilfe, bis dahin,
Andre
@Andre02:
Hallo.
Was genau geht denn nicht?
Bist Du bei der Vererbung korrekt vorgegangen?
Bei uns hier sieht ein Standard-Schreibrecht - ohne "Ausführen-Recht", die User sollen bspw. von ihrem User-Home aus auf dem Fileserver keine *.exe-Files ausführen können - folgendermaßen aus (auf Share-Ebene, wie gesagt, Vollzugriff):
Viele Grüße
von
departure69
Hallo.
Es geht aber nicht
Was genau geht denn nicht?
Bist Du bei der Vererbung korrekt vorgegangen?
Bei uns hier sieht ein Standard-Schreibrecht - ohne "Ausführen-Recht", die User sollen bspw. von ihrem User-Home aus auf dem Fileserver keine *.exe-Files ausführen können - folgendermaßen aus (auf Share-Ebene, wie gesagt, Vollzugriff):
Viele Grüße
von
departure69
