viragomann
Goto Top

Parallele Ordnerstruktur mit speziellen Berechtigungen auf gewisse Unterordner - ist das sinnvoll bzw. vernünftig umsetzbar?

Hallo!

In meiner Firma haben sich unsere Büroleute eine neue Ordnerstruktur für die Geschäftsprojekte einfallen lassen. Und ich habe sie erst mal machen lassen, ohne etwaige Konsequenzen zu bedenken. Und nun hab ich den Salat.

Die neue Struktur sieht nun so aus, dass sämtliche Projekte-Ordner parallel liegen, jedes Projekt hat eine bestimmte Struktur an Unterordner, die in jedem Projekt gleich ist, dafür gibt es natürlich eine Musterstruktur. Auf den Inhalt einer dieser Unterordner soll aber nur eine bestimmte Gruppe Schreib- und Änderungsrechte haben, die anderen nur Leserechte.

Der Fileserver ist ein Windows 2003 SP2.
Nun, um die Rechte zu setzen wäre ein Kommandozeilentool gut, um die Rechtevergabe in einem Rutsch für alle bereits bestehenden Projektordner zu machen. Soweit ich recherchiert habe, kann man das mit cacls oder icacls bewerkstelligen. Das hab ich zwar noch nicht verwendet, wird aber nicht das Problem sein, so hoffe ich.

Meine Frage ist, ob eine solche parallele Struktur mit den speziellen Rechten auf Unterordner überhaupt sinnvoll bzw. vernünftig ist, natürlich auf die Verwaltung betreffend, oder ob da noch mehr Hürden oder Fallen lauern.

Eine Herausforderung, die ich noch nicht lösen konnte, ist auch das Kopieren der Musterstruktur um daraus ein neues Projekt zu erstellen. Das sollen die Büroleute selbst machen können, als mit deren Account.
Ich habe das mit robocopy und xcopy versucht, um die entsprechenden Berechtigungen mitzukopieren, bekomme aber "FEHLER: Sie verfügen nicht über Benutzerrechte zum Verwalten von Überwachungsprotokollen." bzw. "Zugriff verweigert".
robocopy Quellordner Zielordner /E /COPYALL
xcopy Quellordner \* Zielordner \* /O /X/E /H /K

Quellordner und Zielordner liegen auf demselben NTFS Volume in einem freigegebenen Verzeichnis. Auf das Verzeichnis oberhalb von Quelle und Ziel habe ich Vollzugriff, der nach unten vererbt wird, ebenso habe ich die auf die Freigabe Vollzugriff.
Hat jemand eine Idee, woran das Kopieren scheitert?

Grüße

Content-ID: 284388

Url: https://administrator.de/contentid/284388

Ausgedruckt am: 21.11.2024 um 16:11 Uhr

Pjordorf
Pjordorf 01.10.2015 um 20:17:05 Uhr
Goto Top
Hallo,

Zitat von @viragomann:
oder icacls bewerkstelligen
Das ist dein Werkzeug

überhaupt sinnvoll bzw. vernünftig ist
Da wir weder eure Büroorganisation noch eure Firmenorganisation noch deren Projekte oder deren laufzeiten noch deren Inhalte oder sonst etwas wissen, wie soll da unsere Frau Müller dann sagen das Organisation dann passt? Wie? Selbst ELO oder leitz kann dir nicht mehr als Leere Ordnerrückenschilder geben. Das werdet ihr schon selbst wisssen müssen ob das in 2 Jahren noch Hand und Fuss hat...

Hat jemand eine Idee, woran das Kopieren scheitert?
Du meinst damit dein erhaltenes
"FEHLER: Sie verfügen nicht über Benutzerrechte zum Verwalten von Überwachungsprotokollen." bzw. "Zugriff verweigert"
Lass dir nochmals das Wort Überwachungsprotokollen und auch Zugriff verweigert auf deiner Zunge vergehen und stell das in Bezug zu deinen Rechten oder die Rechte welche dann z.B. Robocopy oder xCopy bekommt.
Batch Datei?
Gestartet als?
Hat Robocopy oder xCopy überhaupt das Recht dort wirksam zu werden?
Sicher das eure NTS Rechte in der Quelle sauber gesetzt sind?

Auszug aus https://support.microsoft.com/en-us/kb/310316
By default, an object inherits permissions from its parent object, either at the time of creation or when it is copied or moved to its parent folder. The only exception to this rule occurs when you move an object to a different folder on the same volume. In this case, the original permissions are retained.

Gruß,
Peter
emeriks
emeriks 02.10.2015 um 09:39:42 Uhr
Goto Top
Hi,
wir haben bei uns beinahe identische Anforderung. Bloß dass hier keine Überwachungen im Einsatz sind.

Wir haben 2 Mitarbeiter (Nicht-Admins), welche für den gesamten Ordner verantwortlich sind. Deshalb haben sie dort auch Vollzugriff.
Wir haben denen einen Vorlage-Ordner erstellt, mit einer vordefinierten Unterstruktur, in welcher auch vordefinierte NTFS-Berechtigungen vergebe sind.
Dann haben wir denen noch ein primitives VBscript erstellt, mit welchem sie diesen Vorlage-Ordner kopieren können. Das Script haben wir zusammen mit der Robocopy.exe in die Wurzel jenes Stammordners gelegt.
Andere Benutzer haben nicht das Recht, unterhalb des Stamms Ordner oder Dateien anzulegen. Damit können sie das Script zwar starten, aber es passiert nichts.

Falls Interesse, hier das Script. Du musst bloß "00 Vorlage Kundenordner" entsprechend ersetzen.

On Error Resume Next
Dim FSO, WshShell, BaseDir
Dim NeuerOrdner

Set FSO = CreateObject("Scripting.FileSystemObject")  
Set WshShell = CreateObject("Wscript.Shell")  
BaseDir = Replace(WScript.ScriptFullName, WScript.ScriptName, "")  

NeuerOrdner = "Neuer Kundenordner"  
Do
  NeuerOrdner = InputBox("Geben Sie den Namen des neuen Kundenordners an.", "Ordnername?", NeuerOrdner)  
  
  If NeuerOrdner = "" Then  
    WScript.Quit
  ElseIf Not FSO.FolderExists(BaseDir & NeuerOrdner) Then
    Exit Do
  End If
  MsgBox "Dieser Ordner existiert bereits!", vbExclamation, "Fehler"  
Loop 

WshShell.Run """" & BaseDir & "robocopy.exe"" """ & BaseDir & "00 Vorlage Kundenordner"" """ & BaseDir & NeuerOrdner & """ /MIR /COPY:DATS /R:1 /W:1",0,True  

If Not FSO.FolderExists(BaseDir & NeuerOrdner) Then
  MsgBox "Der neue Ordner konnte nicht erstellt werden!" & vbNewLine & vbNewLine & _  
         "Ordnername: " & NeuerOrdner, vbExclamation, "Fehler"  
End If


E.
viragomann
viragomann 02.10.2015 um 15:49:42 Uhr
Goto Top
Zitat von @Pjordorf:
Zitat von @viragomann:
oder icacls bewerkstelligen
Das ist dein Werkzeug
Bastla hat ein so schönes Beispiel mit cacls geliefert: Über CMD Ordner Rechte Vererbung deaktivieren.
Kann icacls das besser?


Zitat von @viragomann:
überhaupt sinnvoll bzw. vernünftig ist
Die Frage nach der Sinnhaftigkeit habe ich auf die Sicht des Server Administrators bezogen.
Für die Anwender passt die Struktur natürlich, die haben sich diese ja diese selbst ausgesucht. Doch wenn es in der Administration damit immer wieder zu Problemen kommen könnte, wäre das ein Argument, die Struktur zu überdenken und abzuändern.


Zitat von @Pjordorf:
Du meinst damit dein erhaltenes
"FEHLER: Sie verfügen nicht über Benutzerrechte zum Verwalten von Überwachungsprotokollen." bzw. "Zugriff verweigert"
Lass dir nochmals das Wort Überwachungsprotokollen und auch Zugriff verweigert auf deiner Zunge vergehen und stell das in Bezug zu deinen Rechten oder die Rechte welche dann z.B. Robocopy oder xCopy bekommt.
Die Fehlermeldung verstehe ich eben nicht. Es ist auf Dateien und Verzeichnisse keine Zugriffsüberwachung aktiviert. Was hat es da mit Überwachungsprotokollen auf sich?

Zitat von @Pjordorf:
Hat Robocopy oder xCopy überhaupt das Recht dort wirksam zu werden?
Sicher das eure NTS Rechte in der Quelle sauber gesetzt sind?
Ich habe robocopy mit meinen Anwenderkonto laufen lassen. Das ist Besitzer des übergeordneten Verzeichnisses und hat darin Vollzugriff, ebenso auf die Freigabe. Es hat damit auch das Recht, Berechtigungen zu ändern.
Ziel wäre es dass sich die Anwender das Musterverzeichnis selbst auf ein neues kopieren und dies zu einem neuen Projektverzeichnis machen können, während die Berechtigungen aus dem Muster erhalten bleiben. Der Gruppe könnte ich da die benötigten Rechte erteilen.

Zitat von @Pjordorf:
Auszug aus https://support.microsoft.com/en-us/kb/310316
By default, an object inherits permissions from its parent object, either at the time of creation or when it is copied or moved to its parent folder. The only exception to this rule occurs when you move an object to a different folder on the same volume. In this case, the original permissions are retained.

Dieses Verhalten ist mir bekannt. Danke.

Grüße
viragomann
viragomann 02.10.2015 um 15:57:27 Uhr
Goto Top
@: emeriks

Wow, danke! Ein fertiges Script. Könnte mir viel Arbeit ersparen.

So wie ich das verstanden habe, läuft das Script unter den Konten der Nutzer, die dort Vollzugriff haben. Gleiches hätte ich auch vorgehabt, hätte es allerdings nur zu einem Shellscript gebracht.
Dummer Weise funktioniert bei mir die Sache mit robocopy aber nicht, weil sich dieser an fehlenden Rechten stört (bei Vollzugriff). Ich werde das bei Gelegenheit noch lokal testen. Mglw. besteht das Problem nur über SMB.

Grüß
emeriks
emeriks 02.10.2015 aktualisiert um 16:27:16 Uhr
Goto Top
Dummer Weise funktioniert bei mir die Sache mit robocopy aber nicht, weil sich dieser an fehlenden Rechten stört (bei Vollzugriff).
Wie @Pjordorf schon geschrieben hat: "Überwachung" ist der Hinweis. Ich nehme an, es geht hier um NTFS-Überwachungen.
Es gibt ein Privileg "Verwalten von Überwachungs- und Sicherheitsprotokollen". Dieses hat standardmäßig nur die Gruppe "Administratoren". Wenn Du also willst, dass ein Benutzer (trotz Vollzugriff) die komplette ACL kopieren kann während diese auch Überwachungseinträge enthält, dann benötigt er dieses Privileg. Und zwar sowohl auf dem Fileserver, wo die Daten liegen, als auch auf dem Computer, wo der Benutzer das Robocopy ausführt.
Dieses Privileg kannst Du entweder manuell über "Lokale Sicherheitsrichtlinie" oder via GPO auf den betreffenden Computern konfigurieren. Aber pass bei GPO auf! Diese Einstellung ist nicht additiv sondern überschreibt die lokalen Einstellung komplett mit denen aus der GPO. Sprich, Du darfst in der GPO die Administratoren nicht vergessen!

Edit: habe nochmal aktualisiert