bionicwave
Goto Top

Problem mit dem richtigen setzen von ACL-Rechten auf einem Ordner.

Hallo,

ich habe folgende Ordner

G:\Auftrag
G:\Auftrag\Kunde
G:\Auftrag\Intern

a) Den Ordner "Auftrag" und alle Unterordner von "Auftrag" (also nur "Kunde" und "Intern")soll die Benutzergruppe "grp-daten" NICHT ändern dürfen.

b) Auf alle Ordner und Dateien unterhalb der beiden Ordner "Kunde" und "Intern" sollen die Benutzer vollen Zugriff erhalten.
Das gilt sowohl für vorhandene, als auch für in Zukunft erstellte Dateien und Ordner gelten.

Ich habe die Vererbung von Rechten für jeden einzelnen dieser Ordner aufgehoben und verteile die Rechte je Ordner.

a) Ich habe ich der "grp-daten" das Recht "Lesen" mit "Nur diesen Ordner" auf den Pfad "G:\Auftrag\Kunde" gegeben.
b) Zusätzlich habe ich der Gruppe "grp-daten" das Recht "Vollzugriff" mit "Nur Unterordner und Dateien" auf den gleichen Pfad gegeben.

Leider funktionierte das aber so nicht. Solange das Recht "Lesen" auf "Nur diesen Ordner" gesetzt ist, kann ich keine Ordner oder Dateien erstellen.
Nehme ich das Recht "Lesen" weg und lasse der Gruppe den Vollzugriff auf "Nur Unterordner und Dateien", dann kann ich den Ordner zwar nicht umbenennen, ich kann den Ordner aber seltsamerweise löschen!?!


Wie muss ich vorgehen damit der Ordner selbst nicht gelöscht/verändert werden kann, aber man Vollzugriff auf die Unterordner und Dateien erhält?

Vielen Dank für Eure Hilfe.

Content-ID: 194057

Url: https://administrator.de/forum/problem-mit-dem-richtigen-setzen-von-acl-rechten-auf-einem-ordner-194057.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

Dirmhirn
Dirmhirn 11.11.2012 um 12:33:13 Uhr
Goto Top
HI!

G:\Auftrag - > grp-daten - lesen - ggf. "Nur dieser Ordner"
G:\Auftrag\Kunde - > grp-daten - lesen & schreiben
G:\Auftrag\Intern - > grp-daten - lesen & schreiben

das passt nicht?
für die Unterordner von Kunden und Intern musst natürlich vererben.

ahja und am Share selbst hat der User lses & schreib rechte?

sg Dirm
BionicWave
BionicWave 12.11.2012 aktualisiert um 10:19:46 Uhr
Goto Top
So in etwa hab ich mir das auch Gedacht.
Es funktioniert leider so nicht.

Auf dem Share hat "Jeder"->"Vollzugriff".

Ich habe alle Berechtigungen entfernt und dann folgende Berchtigungen zu "G:\Auftrag" hinzugefügt:
- Administrator Vollzugriff
- grp-daten Lesen

Im Grunde hat die Vererbung aber keinen Sinn, da ich diese schon auf der nächster Ebene (G:\Auftrag\Kunde)
unterbrechen muss, da sonst die Vererbung auf die Unterordner von "Kunde" weiterwirken würde.
Das würde dann nur Leserechte bewirken.

Trotzdem habe ich testweise beides ausprobiert. Sowohl mit als auch ohne Vererbung gearbeitet.
Das Ergebnis ist immer das gleiche: Ich kann unterhalb von "Kunde" nichts machen (Keine Ordner anlegen oder verändern).

Ich habe es jetzt ans Laufen bekommen, allerdings werd ich aus dem Prinzip nicht ganz schlauh.
Egal: Folgende Rechte müssen gesetzt werden, damit ich das erreiche was ich möchte:

"G:\Auftrag"
- Administrator Vollzugriff
- System Vollzugriff
- Gruppe-Daten Lesen

"G:\Auftrag\Kunde"
- Administrator Vollzugriff Allow (geerbt)
- System Vollzugriff Allow (geerbt)
- Gruppe-Daten Lesen Allow (geerbt)
- Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)
- Gruppe-Daten Löschen Deny (Nur dieser Ordner) (nicht geerbt

Dies bewirkt, dass ich den Ordner "Kunde" nicht verändern/verschieben kann, aber eben auch nicht "löschen" kann.
Alles darunter ist frei verfügbar/veränderbar.

Warum die logische Lösung mit "Gruppe-Daten" und Vollzugrif auf "Nur Unterordner und Dateien" nicht funktioniert, weiss ich nicht.
Die logische Lösung funktioniert nur wenn ich sie auf "Diesen Ordner, Unterordner und Dateien" anwende.
Dann kann ich den Ordner "Kunde" nicht bearbeiten oder verschieben, ABER ich kann den Ordner löschen?!?
Dirmhirn
Dirmhirn 12.11.2012 um 11:40:27 Uhr
Goto Top
HI!

Vererbung war eh für die Unterordner gemeint nicht Auftrag -> Kunden.

das mit dem Löschen muss ich auch probieren - vll geht das bei mir auch, hatte eigentlich angenommen, sobald ich nicht schreiben kann, kann ich auch nicht löschen ... hmmm ...

Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)
hast du schon probiert, das Recht "Löschen" zu entfernen, dafür "Unterodrner und Dateien löschen"(hab hier eng. "Delete subfolders and files") zu geben

nicht bearbeiten oder verschieben, ABER ich kann den Ordner löschen?!?
würde das irgendwie Sinn machen? hmmm die Frage ist auch, könnte man es so einrichten, dass der User bearbeiten & löschen kann?

sg Dirm
PS: bin erst morgen wieder im Büro, falls du dich wunderst wieso ich nichts selber probiere face-wink
BionicWave
BionicWave 12.11.2012 um 15:00:04 Uhr
Goto Top
Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)

Ich Dämel: soll natürlich heissen "Vollzugriff", nicht "Schreiben".


hast du schon probiert, das Recht "Löschen" zu entfernen, dafür "Unterodrner und Dateien löschen"(hab hier eng. "Delete >subfolders and files") zu geben

Das war mein erster Ansatz, klingt ja auch vollkommen logisch.
Habe nur "Lesen" auf "nur diesen Ordner" und "Vollzugriff" auf "Nur Unterordner". Funkt aber nicht.
Effekt dabei ist: Kein Bearbeiten im Unterordner möglich.
Sobald ich das Recht "Lesen" auf "Nur diesen Ordner" wegnehme, kann ich im Unterordner löschen und erstellen wie ich will.
Nebeneffekt ist: Ich kann den Hauptordner jetzt löschen.
Dirmhirn
Dirmhirn 12.11.2012 um 16:43:10 Uhr
Goto Top
Hi!

Habe nur "Lesen" auf "nur diesen Ordner" und "Vollzugriff" auf "Nur Unterordner". Funkt aber nicht.
na, geh auf erweitert und editier dort die Rechte - eh dort wo du Nur Unterordner, Dieser Ordner und Unterordner, ... einstellen kannst.
dort kannst du die Rechte ja auch detailierter vergeben. da kannst statt "Löschen" eben "Nur Unterodrner und Dateien löschen" (order so irgendwie muss auf deutsch heißen) wählen.

bei der Rechte übersicht steht dann nicht mehr Lesen oder schreiben sondern "Spezial"

sg Dirm
BionicWave
BionicWave 13.11.2012 um 17:10:30 Uhr
Goto Top
na, geh auf erweitert und editier dort die Rechte - eh dort wo du Nur Unterordner,
Dieser Ordner und Unterordner, ... einstellen kannst.

Da arbeite ich doch schon die ganze Zeit face-smile

Aber hab schon verstanden. Man weiss ja nie face-smile

Also, wenn ich "Nur dieser Ordner" nehme und die Gruppe-Daten einmal mit speziellen Rechten ausstatte, dann bekomme ich es so hin (also Ordner selbst kann nicht gelöscht/geändert werden, Unterordner und Dateien können erstellt werden).

Allerdings gilt das dann nur für die nächste Ebene. Darunter hat man dann wieder nur Leserechte.

Ich hatte das nicht erwähnt, aber ich wollte das man ab diesem Ordner für alle Unter- und Unter-Unter-Ordner Vollzugriff erhält.
Ich wollte ausserdem ein Deny umgehen.

Das scheint mit einer Kombination aus
"Gruppe-Daten" -> vollzugriff auf Unterordner
"Gruppe-Daten -> spezielle Berchtigungen (ohne Löschen) auf nur diesen Ordner
zu funktionieren ohne das ich ein Deny benötige.

Die möglichen Kombinationen von Rechten und Containern auf den diese Rechte angewendet werden sind halt manchmal etwas verwirrend.
Beispiel: "Nur auf diesen Ordner" wende ich "Erstellen von Unterordnern" an.
In diesem Fall kann man einen Ordner erstellen, allerdings werden nur die Rechte weitergegeben die bereits vererbt wurden, oder die sich auf "Unterordner" beziehen.
Deswegen muss ich die Gruppe-Daten ein zweites mal hinzufügen, womit ich dann den Vollzugriff auf die Unterordner vererbe.

Das ganze schien also nur ein Fehler zu sein. Ist aber in wirklichkeit eine Verquickung von unterschiedlich vererbten Rechten aus 2 Ebenen von Ordnern gewesen.
Dirmhirn
Dirmhirn 23.11.2012 um 17:50:26 Uhr
Goto Top
HI!

so jetzt habe ich das endlich selbst getestet:

G:\Auftrag - > grp-daten - lesen - "Nur dieser Ordner"
G:\Auftrag\Kunde - > grp-daten - lesen & schreiben ohne Löschen, dafür "Dateien und UNterordner löschen" -> Dieser Ordner, Unterordner und Dateien

G:\Auftrag\Kunde sollte so aussehen:
6fade1fbe4a8f9f755237eaa373d9099
oben Fehlt Fullacecess und unten Take ownership & write permissions - alle deaktiviert ...

so kann die Gruppe grp-daten in G:\Auftrag lesen (wenn ABE aktiviert, nur die Ordner auf die sie auch rechte hat)
und in G:\Auftrag\Kunde schreiben, löschen , was auch immer
ABER NICHT G:\Auftrag\Kunde

Unterordner können gelöscht, erstellt ... werden.

sg Dirm