derwowusste

Subinacl - ein Security-Dino spackt auf Win11

Kurze Info für Admins, die wie ich gerne auf altbekannte Kommandozeilentools zurückgreifen, um simple Jobs möglichst kompakt zu bearbeiten.

Ich hatte mir einen Befehl beiseite gelegt, mit dem man Überwachungseinträge auf Dateien/Ordner schreiben kann. Zum Beispiel möchte ich auf einer Freigabe für die Gruppe "jeder"/"everyone" jeglichen Schreibzugriff protokollieren. So in etwa:
subinacl /file "\\server\share" /sgrant=everyone=W  
Das Tool subinacl.exe von Anno 2004 ist von Microsoft, aber schon lange bei MS nicht mehr runterladbar. Hier gibt es das noch: der-windows-papst.de/wp-content/uploads/2020/09/subinacl.zip

Was ist mir nun aufgefallen: führe ich das Kommando gegen eine lokale Datei auf Win11 aus, läuft das immer korrekt.
Führe ich es jedoch gegen eine Freigabe aus (getestet gegen Server 2019 1809, siehe obige Syntax), gibt es wie erwartet zurück
Done: 1, Modified 1, Failed 0, Syntax errors 0
aber funktioniert dennoch nicht ->Es wurde schlicht kein Überwachungseintrag gesetzt.
Führt man es jedoch ein zweites Mal aus, dann läuft es! Auch bei allen folgenden Malen! Wie irre ist das denn bitte?
Wer dafür eine plausible Erklärung hat, bekommt die goldene Ananas.

Wer also in seinen Skripten diesen Dino noch mit durchziehen will, der muss, wenn es um Überwachungseinträge für Freigaben entfernter Server geht, allen Ernstes das selbe Kommando 2x abschicken, damit es läuft face-smile
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673706

Url: https://administrator.de/info/subinacl-windows-ueberwachung-administrator-673706.html

Ausgedruckt am: 18.07.2025 um 00:07 Uhr

MysticFoxDE
MysticFoxDE 05.07.2025 um 08:33:54 Uhr
Moin @DerWoWusste,

Wer also in seinen Skripten diesen Dino noch mit durchziehen will, der muss, wenn es um Überwachungseinträge für Freigaben entfernter Server geht, allen Ernstes das selbe Kommando 2x abschicken, damit es läuft face-smile

das ist nicht nur bei dem Subinacl-Dino so.

Ich habe nun schon bei einigen Hyper-V 2025 Cluster Installationen, die Failover-Cluster-Rolle immer ein zweites Mal installieren müssen, damit sie dann auch wirklich da war. 😔😭

Hast du subinacl auch mit erhöhten Rechten ausgeführt?

Gruss Alex
DerWoWusste
DerWoWusste 05.07.2025, aktualisiert am 07.07.2025 um 09:34:28 Uhr
Man braucht keine Elevation für Aktionen auf entfernten Servern. Aktionen auf remote laufen in domains immer elevated, wenn ein Konto sie ausführt, das remote Admin ist.
DerWoWusste
DerWoWusste 07.07.2025 um 10:25:33 Uhr
LOL.

Ich habe versucht zu ergründen, seit wann das nicht mehr auf Anhieb klappt - liegt es evtl. gar nicht an Windows 11, sondern an der Serverseite? Es sieht so aus, denn wenn ich das Kommando gegen einen Linux SMB-Server laufen lasse, dann klappt es auch von Win11 aus immer auf Anhieb.
Also: witziger Bug in jedem Fall.