Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ordnerberechtigung mit remove-NTFSrights komplett entfernen und neu zuweisen

Mitglied: wolkenloser

wolkenloser (Level 1) - Jetzt verbinden

15.01.2019 um 09:23 Uhr, 345 Aufrufe, 2 Kommentare

Hallo,
ich möchte gerne das anlegen eines Neuen Users per Script steuern.

Bei unserem Fileserver ist es üblich das es einen USER Ordner gibt unter dem jedes AD Konto einen persönlichen Ordner hat.
Aus Gründen die ich jetzt nicht ändern kann ist es bei einem neuen Benutzer notwendig, die Vererbung aufzubrechen und die Berechtigungen lediglich auf den Administrator und den Benutzer zu beschränken.
Weiterhin wird dem Benutzer das Recht "löschen" des kompletten Ordners entzogen.
So ist halt sichergestellt, das die Zugriffe auf die Persönlichen Ordner wirklich nur für die User (und den Administrator) selber erlaubt sind .

Ich habe das mal auf meiner Festplatte "nachgebaut"

Auf dem Fileserver sieht die Berechtigung nach dem ersten Anlegen des Ordners etwa so aus:
Aus Datenschutz hab ich hier noch weitere Konten ausgeblendet.


01.
PS C:\Windows\system32> Get-NTFSAccess -Path \\server1\User\$user
02.

03.

04.
    Path: \\server1\User\phm4284 (Inheritance enabled)
05.

06.

07.
Account                             Access Rights             Applies to                Type                      IsInherited               InheritedFrom            
08.
-------                             -------------             ----------                ----                      -----------               -------------            
09.
VORDEFINIERT\Administratoren        FullControl               ThisFolderOnly            Allow                     True                      UNC\server1\User       
10.
ERSTELLER-BESITZER                  GenericAll                SubfoldersAndFilesOnly    Allow                     True                      UNC\server1\User       
11.
NT-AUTORITÄT\SYSTEM                 FullControl               ThisFolderSubfoldersAn... Allow                     True                      UNC\server1\User       
12.
VORDEFINIERT\Administratoren        FullControl               SubfoldersAndFilesOnly    Allow                     True                      UNC\server1\User       
13.
VORDEFINIERT\Benutzer               ReadAndExecute, Synchr... ThisFolderSubfoldersAn... Allow                     True                      UNC\server1\User       
14.
VORDEFINIERT\Benutzer               CreateFiles, CreateDir... ThisFolderAndSubfolders   Allow                     True                      UNC\server1\User       
15.
S-1-5-21-2891205156-2951430792-2... FullControl               ThisFolderSubfoldersAn... Allow                     True                      UNC\server1\User  
Bis jetzt mach ich das so, das funktioniert.

01.
Remove-NTFSAccess -Account  NT-AUTORITÄT\SYSTEM           -AccessRights  FullControl -Path \\server1\User\$user  
02.
Remove-NTFSAccess -Account  VORDEFINIERT\Administratoren  -AccessRights  FullControl -Path \\server1\User\$user  
03.
Remove-NTFSAccess -Account  VORDEFINIERT\Benutzer         -AccessRights  FullControl, ReadAndExecute, Synchronize, CreateFiles, CreateDirectories  -Path \\server1\User\$user  



Gibt es die Möglichkeit alle Berechtigungen mit einem Befehl zu entfernen ?
Meine Bisherigen Versuche funktionieren nur wenn ich das für jeden der unterschiedlichen Benutzer einzeln mache.
Daüber Hinaus kann ich das Recht was hier mit GenericAll angezeigt wird nicht entfernen.
Da kommt immer ein Fehler.
Zudem ist da noch eine Verwaiste SID drin, die würde ich auch gerne entfernen.
Und Wie gesagt: möchlichst mit einem Befehl alle Berechtigungen entfernen.

Den Besitzt des Ordners habe ich als Admin, ja immer, also kann ich anschließend meine Rechte wie gewünscht hinzufügen:
01.
$identity="DOMÄNE\" + $user
02.

03.
Add-NTFSAccess -Account DOMÄNE\Domänen-Admins -AccessRights FullControl  -Path \\server1\User\$user 
04.
Add-NTFSAccess -Account $identity -AccessRights Delete -AccessType Deny -AppliesTo ThisFolderOnly  -Path \\server1\User\$user 
05.
Add-NTFSAccess -Account $identity -AccessRights Modify -AccessType Allow  -AppliesTo ThisFolderSubfoldersAndFiles  -Path \\server1\User\$user 
06.
Remove-NTFSAccess -Account  ERSTELLER-BESITZER  -AccessRights GenericAll -AppliesTo SubfoldersAndFilesOnly  -Path \\server1\User\$user  

Kann jemand das Problem nachvollziehen ?


Gruß
Wolke
Mitglied: emeriks
LÖSUNG 15.01.2019, aktualisiert um 09:46 Uhr
Hi,
einfacher wäre es doch, die ACL komplett neu zu schreiben.
z.B. mit CACLS und ohne Schalter "/E".

E.

01.
CACLS \\server1\Users$\User1 /T /G DOMÄNE\Domänen-Admins:F DOMÄNE\User1:F
Bitte warten ..
Mitglied: wolkenloser
15.01.2019 um 21:47 Uhr
Danke, Super Tip

ein
01.
ICACLS "\\server\User\$user" /inheritance:r
Macht genau das was ich wollte (Alle User und Rechte entfernen)
Der Rest war dann einfach wie oben beschrieben

Gruß
Wolke
Bitte warten ..
Ähnliche Inhalte
Windows Installation
Pc KOMPLETT neu aufsetzten
Frage von StixXxWindows Installation9 Kommentare

Hey Leute Ich habe vor mein gaming Rechner komplett platt zu machen sprich, alle Festplatten auf null setzten und ...

Outlook & Mail

EMails werden nach 3 Monaten entfern - Einstellung

Frage von staybbOutlook & Mail5 Kommentare

Hallo, ich habe bei einem Postfach das Problem, dass in Outlook alle Mails älter wie 3 Jahre verscheinden und ...

Router & Routing

Ip6tables sperrt komplett

gelöst Frage von ketanest112Router & Routing4 Kommentare

Hallo zusammen, ich habe schon ein wenig recherchiert, aber nix zur Problemlösung gefunden. Ich habe letztens dann doch auch ...

Microsoft

WSUS komplett zurücksetzen

Frage von thomasreischerMicrosoft7 Kommentare

Guten Abend, da wir seit dem Anniversary Update ständig Probleme mit dem WSUS hatten, habe ich mehrmals versucht diesen ...

Neue Wissensbeiträge
Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 1 TagSicherheits-Tools1 Kommentar

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 2 TagenHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 2 TagenServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 4 TagenHumor (lol)9 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Heiß diskutierte Inhalte
Backup
Veeam Backup Endpoint Free sichert nicht alle Dateien in AppData
gelöst Frage von speedy26gonzalesBackup12 Kommentare

Hallo, ich sollte ein paar Dateien in C:\Users\xyc\AppData\Local\Microsoft\Outlook wieder herstellen. Auf dem Benutzerkonto ist in Outlook ein IMAP Konto ...

Server
Ein Server ins Haus stellen. Was brauche ich dafür?
Frage von JoschiTomServer10 Kommentare

Hallo Community, ich spiele mit dem Gedanken eine Server mir zu holen. Was brauche ich dafür? Und wie sind ...

Windows 10
Windows 10 Backup auf Netzwerk Storage
Frage von Futschel2608Windows 1010 Kommentare

Hallo geehrte Mitstreiter Innen, Wir wollen in unserer Windows 10 Domäne den Einzelnen Usern ermöglichen ihre Desktop PC's zusichern. ...

Batch & Shell
Mittels SED Text ersetzen in Anführungszeichen
gelöst Frage von nekronBatch & Shell9 Kommentare

Moin … bin nicht wirklich der SED/regex Mensch, vielleicht kann mir jemand auf die Schnelle Helfen :) ich habe ...