0x32f1
Goto Top

Win 2008 Filesystem-ACL via Script erneuern

Hallo zusammen,

ich stehe aktuell vor folgendem Problem:

Ein Share eines Fileservers (Win 2008, DFS mit aktivierter ABE) wird am Client-PC als Netzlaufwerk eingehängt und stellt somit einen einheitlichen Zugriffspunkt zur Verfügung. Unterhalb befinden sich zahlreiche Ordner, jeweils via ACL beschränkt auf bestimmte Zugriffsgruppen. Also:

\\server\share --> X:
X:\dir1 --> nur Gruppe "dir1"
X:\dir2 --> nur Gruppe "dir2"
X:\dir3 --> nur Gruppe "dir3"

user1 --> Gruppe "dir1" und "dir2"
user2 --> Gruppe "dir2"
user3 --> Gruppe "dir1", "dir2" und "dir3"

Jeder sieht nur das, was er auch sehen soll, soweit ist also alles in Ordnung. Wenn jetzt allerdings "user1" eine von "user3" in "dir1" erzeuge Datei nach "dir2" verschiebt, wird die ACL mit übernommen, sprich: "user2" kann auf die Datei nicht zugreifen.

Abhilfe schafft das vererben der Berechtigungen von "dir2" nach unten, logisch.


Ich habe mir sagen lassen, dass dies Verhalten "normal" sei und sich auch nicht ändern ließe. Stimmt also mit dem überein, was ich selbst so finden konnte. Daraus entsteht für mich die Notwendigkeit, in regelmäßigen Abständen die ACL scriptgesteuert zu erneuern. Die Idee wäre hier: CACLS.

Mit CACLS lässt sich allerdings pro Aufruf nur eine Gruppe mitgeben, sodass ich über einige Ordner vier oder fünfmal "Bügeln" müsste, bis die ACL wieder stimmt. Via Windows GUI sieht das scheinbar anders aus: gewünschte Änderungen durchführen und in einem Rutsch übernehmen.

Die eigentliche Frage: Besteht (mittels Powershell vielleicht?!) die Möglichkeit, das alles in einem Rutsch (pro Unterverzeichnis) zu erledigen oder muss ich wirklich 3 mal über jeden Ordner und jede Datei somit dreimal anfassen?

Content-Key: 190802

Url: https://administrator.de/contentid/190802

Printed on: July 24, 2024 at 21:07 o'clock

Member: Metzger-MCP
Metzger-MCP Sep 06, 2012 updated at 09:17:15 (UTC)
Goto Top
Moin Moin face-smile

Ich bin der Meinung, das bei "cacls" auch gleichzeitig mehrere User / Gruppen angegeben werden konnten ...
egal

Es gibt aber neue Tools bei ACL Geschichten face-smile

ICACLS

ICACLS wurde aufgebohrt und wenn ich mir die Hilfe anlese
icacls /?
ICACLS name /save aclfile

kannst du sogar Listen erstellen ...

MFG Uwe
Member: 0x32f1
0x32f1 Sep 06, 2012 updated at 11:12:20 (UTC)
Goto Top
Auf den ersten Blick würde ich sagen, dass mein Problem damit gelöst ist.

Vielen Dank!

//EDIT:
Normalerweise sollte es reichen, die Berechtigungen nochmals sauber zu vererben:

icacls \\server\share\dir1\* /reset /t

Berechtigungen liegen auf "dir1"
icacls \\server\share\dir1 /reset /t
(also ohne \*) würde die Berechtigungen von "share" an "dir1" vererben.