Zugriffsberechtigungen bei mehreren Ordner auf Server per Script setzen
Hallo zusammen
Ich muss die persönlichen Laufwerke meiner Benutzer von einem auf einen anderen Server umziehen.
Die entsprechenden Ordner (die Ordner haben die gleichen Namen wie der Windowsanmeldename) wurden bereits auf dem Filer erstellt, nur die Berechtigungen konnten nicht übernommen werden.
Ich muss jetzt also für jeden Ordner auf den Filer die Berechtigungen so setzen, dass nur der entsprechende Benutzer und das Backupkonto darauf zugreifen kann.
Da ich natürlich nicht jeden Ordner einzeln anpacken möchte, würde ich das gerne per script erledigen.
Es sollen also z.B. der neue Ordner "petermueller" wo im Moment der Administrator der Domänen-Admin und "Jeder" zugriff drauf hat, so die Berechtigungen geändert werden, dass dort nur der User "petermueller" und das Konto "Backup" Zugriff drauf bekommen sollen.
Da ich mit Scripts überhaupt nicht auskenne, wäre es gut, wenn mir das jemand eine Idee geben könnte mit welchen Mitteln/Befehlen ich das evtl. erledigen könnte.
Danke
Die entsprechenden Ordner (die Ordner haben die gleichen Namen wie der Windowsanmeldename) wurden bereits auf dem Filer erstellt, nur die Berechtigungen konnten nicht übernommen werden.
Ich muss jetzt also für jeden Ordner auf den Filer die Berechtigungen so setzen, dass nur der entsprechende Benutzer und das Backupkonto darauf zugreifen kann.
Da ich natürlich nicht jeden Ordner einzeln anpacken möchte, würde ich das gerne per script erledigen.
Es sollen also z.B. der neue Ordner "petermueller" wo im Moment der Administrator der Domänen-Admin und "Jeder" zugriff drauf hat, so die Berechtigungen geändert werden, dass dort nur der User "petermueller" und das Konto "Backup" Zugriff drauf bekommen sollen.
Da ich mit Scripts überhaupt nicht auskenne, wäre es gut, wenn mir das jemand eine Idee geben könnte mit welchen Mitteln/Befehlen ich das evtl. erledigen könnte.
Danke
17 Antworten
- LÖSUNG Flo985 schreibt am 17.08.2011 um 15:47:29 Uhr
- LÖSUNG LittleFlame schreibt am 17.08.2011 um 15:48:46 Uhr
- LÖSUNG kebeil schreibt am 17.08.2011 um 15:54:18 Uhr
- LÖSUNG LittleFlame schreibt am 17.08.2011 um 16:04:51 Uhr
- LÖSUNG kebeil schreibt am 17.08.2011 um 15:54:18 Uhr
- LÖSUNG bastla schreibt am 17.08.2011 um 15:57:57 Uhr
- LÖSUNG kebeil schreibt am 17.08.2011 um 16:06:26 Uhr
- LÖSUNG bastla schreibt am 17.08.2011 um 16:10:39 Uhr
- LÖSUNG kebeil schreibt am 17.08.2011 um 16:06:26 Uhr
- LÖSUNG Metzger-MCP schreibt am 17.08.2011 um 16:16:33 Uhr
- LÖSUNG kebeil schreibt am 17.08.2011 um 16:33:59 Uhr
- LÖSUNG Metzger-MCP schreibt am 17.08.2011 um 16:39:07 Uhr
- LÖSUNG kebeil schreibt am 18.08.2011 um 11:39:01 Uhr
- LÖSUNG Metzger-MCP schreibt am 18.08.2011 um 13:13:24 Uhr
- LÖSUNG kebeil schreibt am 18.08.2011 um 13:22:56 Uhr
- LÖSUNG bastla schreibt am 18.08.2011 um 15:38:05 Uhr
- LÖSUNG kebeil schreibt am 18.08.2011 um 17:01:57 Uhr
- LÖSUNG bastla schreibt am 18.08.2011 um 17:30:50 Uhr
- LÖSUNG Metzger-MCP schreibt am 18.08.2011 um 18:20:28 Uhr
- LÖSUNG kebeil schreibt am 18.08.2011 um 17:01:57 Uhr
- LÖSUNG bastla schreibt am 18.08.2011 um 15:38:05 Uhr
- LÖSUNG kebeil schreibt am 18.08.2011 um 13:22:56 Uhr
- LÖSUNG Metzger-MCP schreibt am 18.08.2011 um 13:13:24 Uhr
- LÖSUNG kebeil schreibt am 18.08.2011 um 11:39:01 Uhr
- LÖSUNG Metzger-MCP schreibt am 17.08.2011 um 16:39:07 Uhr
- LÖSUNG kebeil schreibt am 17.08.2011 um 16:33:59 Uhr
LÖSUNG 17.08.2011 um 15:47 Uhr
LÖSUNG 17.08.2011 um 15:48 Uhr
Hallo kebeil,
Du hast geschrieben, dass du die Userlaufwerke umziehst.
Wenn die spätere Ordnerstruktur ab einer gewissen "Tiefe" die gleiche wie auf dem alten Server ist und die Berechtigungen auf dem alten Server stimmen, dann lässt sich das alles mit Robocopy erledigen. Damit kannst du dann entweder Daten&Berechtigungen kopieren, oder eben nur die Daten/Berechtigungen.
Informier dich mal drüber. Ist eigentlich recht intuitiv.
Grüße,
LF
Du hast geschrieben, dass du die Userlaufwerke umziehst.
Wenn die spätere Ordnerstruktur ab einer gewissen "Tiefe" die gleiche wie auf dem alten Server ist und die Berechtigungen auf dem alten Server stimmen, dann lässt sich das alles mit Robocopy erledigen. Damit kannst du dann entweder Daten&Berechtigungen kopieren, oder eben nur die Daten/Berechtigungen.
Informier dich mal drüber. Ist eigentlich recht intuitiv.
Grüße,
LF
LÖSUNG 17.08.2011 um 15:54 Uhr
Zitat von @LittleFlame:
Hallo kebeil,
Du hast geschrieben, dass du die Userlaufwerke umziehst.
Wenn die spätere Ordnerstruktur ab einer gewissen "Tiefe" die gleiche wie auf dem alten Server ist und die
Berechtigungen auf dem alten Server stimmen, dann lässt sich das alles mit Robocopy erledigen. Damit kannst du dann entweder
Daten&Berechtigungen kopieren, oder eben nur die Daten/Berechtigungen.
Informier dich mal drüber. Ist eigentlich recht intuitiv.
Grüße,
LF
Hallo kebeil,
Du hast geschrieben, dass du die Userlaufwerke umziehst.
Wenn die spätere Ordnerstruktur ab einer gewissen "Tiefe" die gleiche wie auf dem alten Server ist und die
Berechtigungen auf dem alten Server stimmen, dann lässt sich das alles mit Robocopy erledigen. Damit kannst du dann entweder
Daten&Berechtigungen kopieren, oder eben nur die Daten/Berechtigungen.
Informier dich mal drüber. Ist eigentlich recht intuitiv.
Grüße,
LF
Mit robocopy wurde es gemacht, aber da von einer UrUrUralt Sambaversion herauskopiert wurde, gingen dabei die Berechtigungen verloren.
Es sind knapp 60 Ordner!
LÖSUNG 17.08.2011, aktualisiert 18.10.2012
LÖSUNG 17.08.2011 um 16:04 Uhr
Kannst du mal den Befehl posten, mit dem das ganze umgezogen wurde?
Du sagst selbst, dass du keine Ahnung von Scripts hast, deshalb möchte ich nur sichergehen, dass der Parameter /COPYALL (oder Varianten von /COPY:DATSOU) gesetzt ist. Wenn dem natürlich so war, dann habe ich nichts gesagt und du musst wirklich nach einer anderen Lösung mit Hilfe eines Scripts suchen.
Du sagst selbst, dass du keine Ahnung von Scripts hast, deshalb möchte ich nur sichergehen, dass der Parameter /COPYALL (oder Varianten von /COPY:DATSOU) gesetzt ist. Wenn dem natürlich so war, dann habe ich nichts gesagt und du musst wirklich nach einer anderen Lösung mit Hilfe eines Scripts suchen.
LÖSUNG 17.08.2011 um 16:06 Uhr
LÖSUNG 17.08.2011 um 16:10 Uhr
LÖSUNG 17.08.2011 um 16:16 Uhr
Eine weiter Lösung wäre, die Daten aus der letzten ( funktionierenden ) Datensicherung herraus, in den neuen Bereiche zurück zu sichern.
Das hatte ich bei einer 2k3 - 2k8 Migration auch so gemacht ... ( übers Wochenende )
Allerdings kommt das auch immer auf die zuvor gemachten Leistungen an, wenn alle Daten schon da sind ...
MFG Uwe
Das hatte ich bei einer 2k3 - 2k8 Migration auch so gemacht ... ( übers Wochenende )
Allerdings kommt das auch immer auf die zuvor gemachten Leistungen an, wenn alle Daten schon da sind ...
MFG Uwe
LÖSUNG 17.08.2011 um 16:33 Uhr
Zitat von @Metzger-MCP:
Eine weiter Lösung wäre, die Daten aus der letzten ( funktionierenden ) Datensicherung herraus, in den neuen Bereiche
zurück zu sichern.
Das hatte ich bei einer 2k3 - 2k8 Migration auch so gemacht ... ( übers Wochenende )
Allerdings kommt das auch immer auf die zuvor gemachten Leistungen an, wenn alle Daten schon da sind ...
MFG Uwe
Eine weiter Lösung wäre, die Daten aus der letzten ( funktionierenden ) Datensicherung herraus, in den neuen Bereiche
zurück zu sichern.
Das hatte ich bei einer 2k3 - 2k8 Migration auch so gemacht ... ( übers Wochenende )
Allerdings kommt das auch immer auf die zuvor gemachten Leistungen an, wenn alle Daten schon da sind ...
MFG Uwe
Danke für den Tipp, aber ich werde die Lösung von bastla probieren. Die scheint am schnellsten zu funktionieren.
LÖSUNG 17.08.2011 um 16:39 Uhr
Zitat von @kebeil:
Danke für den Tipp, aber ich werde die Lösung von bastla probieren. Die scheint am schnellsten zu funktionieren.
Danke für den Tipp, aber ich werde die Lösung von bastla probieren. Die scheint am schnellsten zu funktionieren.
Kein Thema, es gibt immer unterschiedliche Möglichkeiten.
MFG Uwe
LÖSUNG 18.08.2011 um 11:39 Uhr
Hmm, wenn ich das ausführe
for /f %%i in ('dir \\filer\homes$\test\ /b /ad') do cacls \\filer\homes$\test\%%i /T /E /G %%i:F /D everyone
Dann kommt folgendes raus:
C:\test>cacls \\filer\homes$\test\peter /T /E /G peter:F /D everyone
Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
Ich hab es als Admin ausgeführt. Weiß jemand warum es nicht klappt? Was mache ich falsch?
for /f %%i in ('dir \\filer\homes$\test\ /b /ad') do cacls \\filer\homes$\test\%%i /T /E /G %%i:F /D everyone
Dann kommt folgendes raus:
C:\test>cacls \\filer\homes$\test\peter /T /E /G peter:F /D everyone
Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
Ich hab es als Admin ausgeführt. Weiß jemand warum es nicht klappt? Was mache ich falsch?
LÖSUNG 18.08.2011 um 13:13 Uhr
Zitat von @kebeil:
Hmm, wenn ich das ausführe
for /f %%i in ('dir \\filer\homes$\test\ /b /ad') do cacls \\filer\homes$\test\%%i /T /E /G %%i:F /D everyone
Hmm, wenn ich das ausführe
for /f %%i in ('dir \\filer\homes$\test\ /b /ad') do cacls \\filer\homes$\test\%%i /T /E /G %%i:F /D everyone
Denke du hast ein Deutsches BS -> daher muß everyone in jeder geändern, aber Vorsicht
/D xyz ist blöd -> setzt die Berechtigungen von xyz auf verweigern, ( verweigern mache ich immer sehr sehr ungerne )
Da Verweigern stärker als Gewähren ist, wäre das sogar ganz blöd bei der Gruppe Jeder :P -> da hilft dann nämlich nur ne komplette NTFS Berechtigungsvererbung wieder weiter die alles überschreibt ;)
MFG Uwe
LÖSUNG 18.08.2011 um 13:22 Uhr
Zitat von @Metzger-MCP:
> Zitat von @kebeil:
> ----
> Hmm, wenn ich das ausführe
> for /f %%i in ('dir \\filer\homes$\test\ /b /ad') do cacls \\filer\homes$\test\%%i /T /E /G %%i:F /D everyone
Denke du hast ein Deutsches BS -> daher muß everyone in jeder geändern, aber Vorsicht
/D xyz ist blöd -> setzt Die Berechtigungen von xyz auf verweigern, ( mache ich immer ungerne )
Da Verweigern stärker als Gewähren ist, wäre das sogar ganz blöd bei der Gruppe Jeder :P -> da hilft dann
nämlich nur ne komplette NTFS Berechtigungsvererbung wieder weiter die alles überschreibt ;)
MFG Uwe
> Zitat von @kebeil:
> ----
> Hmm, wenn ich das ausführe
> for /f %%i in ('dir \\filer\homes$\test\ /b /ad') do cacls \\filer\homes$\test\%%i /T /E /G %%i:F /D everyone
Denke du hast ein Deutsches BS -> daher muß everyone in jeder geändern, aber Vorsicht
/D xyz ist blöd -> setzt Die Berechtigungen von xyz auf verweigern, ( mache ich immer ungerne )
Da Verweigern stärker als Gewähren ist, wäre das sogar ganz blöd bei der Gruppe Jeder :P -> da hilft dann
nämlich nur ne komplette NTFS Berechtigungsvererbung wieder weiter die alles überschreibt ;)
MFG Uwe
Eigentlich wollte ich Jeder löschen, aber da hab ich in der hilfe von cacls nichts gefunden. Oder ist das der Schalter /R ?
Und wenn ich Jeder eintrage in das script bekomme ich die gleiche Fehlermeldung.
LÖSUNG 18.08.2011 um 15:38 Uhr
Hallo kebeil!
Im Zweifelsfall tendiere ich dazu, die Berechtigungen komplett neu zu setzen (insbes, wenn es ohnehin nur um wenige Benutzer / Gruppen geht) - kannst Du (ohne "/E") nach "/G" alle in einem Befehl angeben ...
... ansonsten wäre tatsächlich "/R Jeder" für das Entfernen der Gruppe zu verwenden.
Grüße
bastla
Im Zweifelsfall tendiere ich dazu, die Berechtigungen komplett neu zu setzen (insbes, wenn es ohnehin nur um wenige Benutzer / Gruppen geht) - kannst Du (ohne "/E") nach "/G" alle in einem Befehl angeben ...
... ansonsten wäre tatsächlich "/R Jeder" für das Entfernen der Gruppe zu verwenden.
Grüße
bastla
LÖSUNG 18.08.2011 um 17:01 Uhr
LÖSUNG 18.08.2011 um 17:30 Uhr
Hallo kebeil!
Grüße
bastla
Den Besitzer kann man mit cacls nicht ändern, oder?
Jein - soferne Du einen 2008er Server verwendest, kannst Du den Besitzer per "icacls" setzen; ansonsten SubInACL ("takeown" wirst Du vermutlich nicht verwenden wollen, da damit nur eine Besitzübernahme möglich ist) oder SetACL (siehe dafür Beispiel 1.12) ...Grüße
bastla
LÖSUNG 18.08.2011 um 18:20 Uhr
Zitat von @kebeil:
Klar dass das nicht klappen konnte, wenn es die Nutzer nicht in der AD gibt. Aber da denkt man ja beim Testen nicht ungedingt
Klar dass das nicht klappen konnte, wenn es die Nutzer nicht in der AD gibt. Aber da denkt man ja beim Testen nicht ungedingt
:kicher: das nennt man Betriebsblindheit ups ich wars nicht :kicher:
;) Mfg Uwe