Parallele Ordnerstruktur mit speziellen Berechtigungen auf gewisse Unterordner - ist das sinnvoll bzw. vernünftig umsetzbar?
Hallo!
In meiner Firma haben sich unsere Büroleute eine neue Ordnerstruktur für die Geschäftsprojekte einfallen lassen. Und ich habe sie erst mal machen lassen, ohne etwaige Konsequenzen zu bedenken. Und nun hab ich den Salat.
Die neue Struktur sieht nun so aus, dass sämtliche Projekte-Ordner parallel liegen, jedes Projekt hat eine bestimmte Struktur an Unterordner, die in jedem Projekt gleich ist, dafür gibt es natürlich eine Musterstruktur. Auf den Inhalt einer dieser Unterordner soll aber nur eine bestimmte Gruppe Schreib- und Änderungsrechte haben, die anderen nur Leserechte.
Der Fileserver ist ein Windows 2003 SP2.
Nun, um die Rechte zu setzen wäre ein Kommandozeilentool gut, um die Rechtevergabe in einem Rutsch für alle bereits bestehenden Projektordner zu machen. Soweit ich recherchiert habe, kann man das mit cacls oder icacls bewerkstelligen. Das hab ich zwar noch nicht verwendet, wird aber nicht das Problem sein, so hoffe ich.
Meine Frage ist, ob eine solche parallele Struktur mit den speziellen Rechten auf Unterordner überhaupt sinnvoll bzw. vernünftig ist, natürlich auf die Verwaltung betreffend, oder ob da noch mehr Hürden oder Fallen lauern.
Eine Herausforderung, die ich noch nicht lösen konnte, ist auch das Kopieren der Musterstruktur um daraus ein neues Projekt zu erstellen. Das sollen die Büroleute selbst machen können, als mit deren Account.
Ich habe das mit robocopy und xcopy versucht, um die entsprechenden Berechtigungen mitzukopieren, bekomme aber "FEHLER: Sie verfügen nicht über Benutzerrechte zum Verwalten von Überwachungsprotokollen." bzw. "Zugriff verweigert".
Quellordner und Zielordner liegen auf demselben NTFS Volume in einem freigegebenen Verzeichnis. Auf das Verzeichnis oberhalb von Quelle und Ziel habe ich Vollzugriff, der nach unten vererbt wird, ebenso habe ich die auf die Freigabe Vollzugriff.
Hat jemand eine Idee, woran das Kopieren scheitert?
Grüße
In meiner Firma haben sich unsere Büroleute eine neue Ordnerstruktur für die Geschäftsprojekte einfallen lassen. Und ich habe sie erst mal machen lassen, ohne etwaige Konsequenzen zu bedenken. Und nun hab ich den Salat.
Die neue Struktur sieht nun so aus, dass sämtliche Projekte-Ordner parallel liegen, jedes Projekt hat eine bestimmte Struktur an Unterordner, die in jedem Projekt gleich ist, dafür gibt es natürlich eine Musterstruktur. Auf den Inhalt einer dieser Unterordner soll aber nur eine bestimmte Gruppe Schreib- und Änderungsrechte haben, die anderen nur Leserechte.
Der Fileserver ist ein Windows 2003 SP2.
Nun, um die Rechte zu setzen wäre ein Kommandozeilentool gut, um die Rechtevergabe in einem Rutsch für alle bereits bestehenden Projektordner zu machen. Soweit ich recherchiert habe, kann man das mit cacls oder icacls bewerkstelligen. Das hab ich zwar noch nicht verwendet, wird aber nicht das Problem sein, so hoffe ich.
Meine Frage ist, ob eine solche parallele Struktur mit den speziellen Rechten auf Unterordner überhaupt sinnvoll bzw. vernünftig ist, natürlich auf die Verwaltung betreffend, oder ob da noch mehr Hürden oder Fallen lauern.
Eine Herausforderung, die ich noch nicht lösen konnte, ist auch das Kopieren der Musterstruktur um daraus ein neues Projekt zu erstellen. Das sollen die Büroleute selbst machen können, als mit deren Account.
Ich habe das mit robocopy und xcopy versucht, um die entsprechenden Berechtigungen mitzukopieren, bekomme aber "FEHLER: Sie verfügen nicht über Benutzerrechte zum Verwalten von Überwachungsprotokollen." bzw. "Zugriff verweigert".
robocopy Quellordner Zielordner /E /COPYALL
xcopy Quellordner \* Zielordner \* /O /X/E /H /K
xcopy Quellordner \* Zielordner \* /O /X/E /H /K
Quellordner und Zielordner liegen auf demselben NTFS Volume in einem freigegebenen Verzeichnis. Auf das Verzeichnis oberhalb von Quelle und Ziel habe ich Vollzugriff, der nach unten vererbt wird, ebenso habe ich die auf die Freigabe Vollzugriff.
Hat jemand eine Idee, woran das Kopieren scheitert?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284388
Url: https://administrator.de/contentid/284388
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Das ist dein Werkzeug
Lass dir nochmals das Wort Überwachungsprotokollen und auch Zugriff verweigert auf deiner Zunge vergehen und stell das in Bezug zu deinen Rechten oder die Rechte welche dann z.B. Robocopy oder xCopy bekommt.
Batch Datei?
Gestartet als?
Hat Robocopy oder xCopy überhaupt das Recht dort wirksam zu werden?
Sicher das eure NTS Rechte in der Quelle sauber gesetzt sind?
Auszug aus https://support.microsoft.com/en-us/kb/310316
Gruß,
Peter
Das ist dein Werkzeug
überhaupt sinnvoll bzw. vernünftig ist
Da wir weder eure Büroorganisation noch eure Firmenorganisation noch deren Projekte oder deren laufzeiten noch deren Inhalte oder sonst etwas wissen, wie soll da unsere Frau Müller dann sagen das Organisation dann passt? Wie? Selbst ELO oder leitz kann dir nicht mehr als Leere Ordnerrückenschilder geben. Das werdet ihr schon selbst wisssen müssen ob das in 2 Jahren noch Hand und Fuss hat...Hat jemand eine Idee, woran das Kopieren scheitert?
Du meinst damit dein erhaltenes"FEHLER: Sie verfügen nicht über Benutzerrechte zum Verwalten von Überwachungsprotokollen." bzw. "Zugriff verweigert"
Batch Datei?
Gestartet als?
Hat Robocopy oder xCopy überhaupt das Recht dort wirksam zu werden?
Sicher das eure NTS Rechte in der Quelle sauber gesetzt sind?
Auszug aus https://support.microsoft.com/en-us/kb/310316
By default, an object inherits permissions from its parent object, either at the time of creation or when it is copied or moved to its parent folder. The only exception to this rule occurs when you move an object to a different folder on the same volume. In this case, the original permissions are retained.
Gruß,
Peter
Hi,
wir haben bei uns beinahe identische Anforderung. Bloß dass hier keine Überwachungen im Einsatz sind.
Wir haben 2 Mitarbeiter (Nicht-Admins), welche für den gesamten Ordner verantwortlich sind. Deshalb haben sie dort auch Vollzugriff.
Wir haben denen einen Vorlage-Ordner erstellt, mit einer vordefinierten Unterstruktur, in welcher auch vordefinierte NTFS-Berechtigungen vergebe sind.
Dann haben wir denen noch ein primitives VBscript erstellt, mit welchem sie diesen Vorlage-Ordner kopieren können. Das Script haben wir zusammen mit der Robocopy.exe in die Wurzel jenes Stammordners gelegt.
Andere Benutzer haben nicht das Recht, unterhalb des Stamms Ordner oder Dateien anzulegen. Damit können sie das Script zwar starten, aber es passiert nichts.
Falls Interesse, hier das Script. Du musst bloß "00 Vorlage Kundenordner" entsprechend ersetzen.
E.
wir haben bei uns beinahe identische Anforderung. Bloß dass hier keine Überwachungen im Einsatz sind.
Wir haben 2 Mitarbeiter (Nicht-Admins), welche für den gesamten Ordner verantwortlich sind. Deshalb haben sie dort auch Vollzugriff.
Wir haben denen einen Vorlage-Ordner erstellt, mit einer vordefinierten Unterstruktur, in welcher auch vordefinierte NTFS-Berechtigungen vergebe sind.
Dann haben wir denen noch ein primitives VBscript erstellt, mit welchem sie diesen Vorlage-Ordner kopieren können. Das Script haben wir zusammen mit der Robocopy.exe in die Wurzel jenes Stammordners gelegt.
Andere Benutzer haben nicht das Recht, unterhalb des Stamms Ordner oder Dateien anzulegen. Damit können sie das Script zwar starten, aber es passiert nichts.
Falls Interesse, hier das Script. Du musst bloß "00 Vorlage Kundenordner" entsprechend ersetzen.
On Error Resume Next
Dim FSO, WshShell, BaseDir
Dim NeuerOrdner
Set FSO = CreateObject("Scripting.FileSystemObject")
Set WshShell = CreateObject("Wscript.Shell")
BaseDir = Replace(WScript.ScriptFullName, WScript.ScriptName, "")
NeuerOrdner = "Neuer Kundenordner"
Do
NeuerOrdner = InputBox("Geben Sie den Namen des neuen Kundenordners an.", "Ordnername?", NeuerOrdner)
If NeuerOrdner = "" Then
WScript.Quit
ElseIf Not FSO.FolderExists(BaseDir & NeuerOrdner) Then
Exit Do
End If
MsgBox "Dieser Ordner existiert bereits!", vbExclamation, "Fehler"
Loop
WshShell.Run """" & BaseDir & "robocopy.exe"" """ & BaseDir & "00 Vorlage Kundenordner"" """ & BaseDir & NeuerOrdner & """ /MIR /COPY:DATS /R:1 /W:1",0,True
If Not FSO.FolderExists(BaseDir & NeuerOrdner) Then
MsgBox "Der neue Ordner konnte nicht erstellt werden!" & vbNewLine & vbNewLine & _
"Ordnername: " & NeuerOrdner, vbExclamation, "Fehler"
End If
E.
Dummer Weise funktioniert bei mir die Sache mit robocopy aber nicht, weil sich dieser an fehlenden Rechten stört (bei Vollzugriff).
Wie @Pjordorf schon geschrieben hat: "Überwachung" ist der Hinweis. Ich nehme an, es geht hier um NTFS-Überwachungen.Es gibt ein Privileg "Verwalten von Überwachungs- und Sicherheitsprotokollen". Dieses hat standardmäßig nur die Gruppe "Administratoren". Wenn Du also willst, dass ein Benutzer (trotz Vollzugriff) die komplette ACL kopieren kann während diese auch Überwachungseinträge enthält, dann benötigt er dieses Privileg. Und zwar sowohl auf dem Fileserver, wo die Daten liegen, als auch auf dem Computer, wo der Benutzer das Robocopy ausführt.
Dieses Privileg kannst Du entweder manuell über "Lokale Sicherheitsrichtlinie" oder via GPO auf den betreffenden Computern konfigurieren. Aber pass bei GPO auf! Diese Einstellung ist nicht additiv sondern überschreibt die lokalen Einstellung komplett mit denen aus der GPO. Sprich, Du darfst in der GPO die Administratoren nicht vergessen!
Edit: habe nochmal aktualisiert