wolkenloser
15.01.2019
view4043
view2
0
Goto Top

Ordnerberechtigung mit remove-NTFSrights komplett entfernen und neu zuweisen

gelöstFrageMicrosoftWindows Server
Hallo,
ich möchte gerne das anlegen eines Neuen Users per Script steuern.

Bei unserem Fileserver ist es üblich das es einen USER Ordner gibt unter dem jedes AD Konto einen persönlichen Ordner hat.
Aus Gründen die ich jetzt nicht ändern kann ist es bei einem neuen Benutzer notwendig, die Vererbung aufzubrechen und die Berechtigungen lediglich auf den Administrator und den Benutzer zu beschränken.
Weiterhin wird dem Benutzer das Recht "löschen" des kompletten Ordners entzogen.
So ist halt sichergestellt, das die Zugriffe auf die Persönlichen Ordner wirklich nur für die User (und den Administrator) selber erlaubt sind .

Ich habe das mal auf meiner Festplatte "nachgebaut"

Auf dem Fileserver sieht die Berechtigung nach dem ersten Anlegen des Ordners etwa so aus:
Aus Datenschutz hab ich hier noch weitere Konten ausgeblendet.


PS C:\Windows\system32> Get-NTFSAccess -Path \\server1\User\$user


    Path: \\server1\User\phm4284 (Inheritance enabled)


Account                             Access Rights             Applies to                Type                      IsInherited               InheritedFrom            
-------                             -------------             ----------                ----                      -----------               -------------            
VORDEFINIERT\Administratoren        FullControl               ThisFolderOnly            Allow                     True                      UNC\server1\User       
ERSTELLER-BESITZER                  GenericAll                SubfoldersAndFilesOnly    Allow                     True                      UNC\server1\User       
NT-AUTORITÄT\SYSTEM                 FullControl               ThisFolderSubfoldersAn... Allow                     True                      UNC\server1\User       
VORDEFINIERT\Administratoren        FullControl               SubfoldersAndFilesOnly    Allow                     True                      UNC\server1\User       
VORDEFINIERT\Benutzer               ReadAndExecute, Synchr... ThisFolderSubfoldersAn... Allow                     True                      UNC\server1\User       
VORDEFINIERT\Benutzer               CreateFiles, CreateDir... ThisFolderAndSubfolders   Allow                     True                      UNC\server1\User       
S-1-5-21-2891205156-2951430792-2... FullControl               ThisFolderSubfoldersAn... Allow                     True                      UNC\server1\User

Bis jetzt mach ich das so, das funktioniert.

Remove-NTFSAccess -Account  NT-AUTORITÄT\SYSTEM           -AccessRights  FullControl -Path \\server1\User\$user  
Remove-NTFSAccess -Account  VORDEFINIERT\Administratoren  -AccessRights  FullControl -Path \\server1\User\$user  
Remove-NTFSAccess -Account  VORDEFINIERT\Benutzer         -AccessRights  FullControl, ReadAndExecute, Synchronize, CreateFiles, CreateDirectories  -Path \\server1\User\$user



Gibt es die Möglichkeit alle Berechtigungen mit einem Befehl zu entfernen ?
Meine Bisherigen Versuche funktionieren nur wenn ich das für jeden der unterschiedlichen Benutzer einzeln mache.
Daüber Hinaus kann ich das Recht was hier mit GenericAll angezeigt wird nicht entfernen.
Da kommt immer ein Fehler.
Zudem ist da noch eine Verwaiste SID drin, die würde ich auch gerne entfernen.
Und Wie gesagt: möchlichst mit einem Befehl alle Berechtigungen entfernen.

Den Besitzt des Ordners habe ich als Admin, ja immer, also kann ich anschließend meine Rechte wie gewünscht hinzufügen:
$identity="DOMÄNE\" + $user  

Add-NTFSAccess -Account DOMÄNE\Domänen-Admins -AccessRights FullControl  -Path \\server1\User\$user 
Add-NTFSAccess -Account $identity -AccessRights Delete -AccessType Deny -AppliesTo ThisFolderOnly  -Path \\server1\User\$user 
Add-NTFSAccess -Account $identity -AccessRights Modify -AccessType Allow  -AppliesTo ThisFolderSubfoldersAndFiles  -Path \\server1\User\$user 
Remove-NTFSAccess -Account  ERSTELLER-BESITZER  -AccessRights GenericAll -AppliesTo SubfoldersAndFilesOnly  -Path \\server1\User\$user


Kann jemand das Problem nachvollziehen ?


Gruß
Wolke
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 398260

Url: https://administrator.de/contentid/398260

Ausgedruckt am: 26.11.2024 um 22:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
emeriks
Lösung emeriks 15.01.2019 aktualisiert um 09:46:26 Uhr
Goto Top
Hi,
einfacher wäre es doch, die ACL komplett neu zu schreiben.
z.B. mit CACLS und ohne Schalter "/E".

E.

CACLS \\server1\Users$\User1 /T /G DOMÄNE\Domänen-Admins:F DOMÄNE\User1:F
wolkenloser
wolkenloser 15.01.2019 um 21:47:24 Uhr
Goto Top
Danke, Super Tip

ein
ICACLS "\\server\User\$user" /inheritance:r

Macht genau das was ich wollte (Alle User und Rechte entfernen)
Der Rest war dann einfach wie oben beschrieben

Gruß
Wolke
gelöstFrageMicrosoftWindows Server
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 KommentareStefanKittelWarum machen Leute eigentlich einen Job von dem sie keine Ahnung haben?StefanKittel - 17 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 16 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareCoreknabePCIe x8 problemlos in x16?Coreknabe - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareRalBloHausverkabelung Teil 2RalBlo - 12 Kommentare