Mit Setacl.exe Ordnerberechtigung ändern
20.10.2010
14:53:08 Uhr2484 Aufrufe
9 Antworten
14:53:08 Uhr
9 Antworten
Noch nicht bewertet
Hallo ich habe folgendes problem.
Ich habe einen "in Use" und einen "Backup" Ordner.
wenn ich den Ordner "A" von "in Use" auf "Backup" verschiebe, will ich ihm später andere Ordnerberechtigung zuteilen.
Was ich so gelesen habe ist es ideal mit setacl.exe zu arbeiten, leider finde ich die Syntax bisschen kompliziert und blicke da nicht ganz durch...
so viel habe ich schon mal:
setacl.exe -on "d:\Backup\A\" -ot file -actn ace ///Ordner Pfad
-actn clear -clr "dacl,sacl" ///löscht alle Gruppen die auf den Ordner berechtigt sind ?!
-ace "n:administrators;p:full" ///gibt der Gruppe Administrator vollzugriff
was haltet ihr davon, das habe ich jetzt aus mehreren Scripten zusammenkopiert.
Würde das so klappen?
Ich habe einen "in Use" und einen "Backup" Ordner.
wenn ich den Ordner "A" von "in Use" auf "Backup" verschiebe, will ich ihm später andere Ordnerberechtigung zuteilen.
Was ich so gelesen habe ist es ideal mit setacl.exe zu arbeiten, leider finde ich die Syntax bisschen kompliziert und blicke da nicht ganz durch...
so viel habe ich schon mal:
setacl.exe -on "d:\Backup\A\" -ot file -actn ace ///Ordner Pfad
-actn clear -clr "dacl,sacl" ///löscht alle Gruppen die auf den Ordner berechtigt sind ?!
-ace "n:administrators;p:full" ///gibt der Gruppe Administrator vollzugriff
was haltet ihr davon, das habe ich jetzt aus mehreren Scripten zusammenkopiert.
Würde das so klappen?
Gl05e schreibt am 20.10.2010 um 15:37:48 Uhr
HAllo, wenn ich es mit deinem Script ausführe, kommt:
Die Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne konnte nicht hergestellt werden.
kannst du mir evt auf die schnelle auch einen befehl sagen der wo das vererben nach oben verhindert?
Danke
Die Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne konnte nicht hergestellt werden.
kannst du mir evt auf die schnelle auch einen befehl sagen der wo das vererben nach oben verhindert?
Danke
Biber schreibt am 20.10.2010 um 15:52:08 Uhr
Moin Gl05e,
Vor einer guten halben Stunde hattest du nur
Jetzt kommen häppchenweise Klamotten wie...
die wo zielführende Antworten verhindern?
Grüße
Biber
Vor einer guten halben Stunde hattest du nur
Ich habe einen "in Use" und einen "Backup" Ordner.
Jetzt kommen häppchenweise Klamotten wie...
Zitat von Gl05e:
HAllo, wenn ich es mit deinem Script ausführe, kommt:
Die Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne konnte nicht hergestellt werden.
kannst du mir evt auf die schnelle auch einen befehl sagen der wo das vererben nach oben verhindert?
Magst du bastla und uns anderen nicht doch mitteilen, wie die Rechnerumgebung und das Betriebssystem heißen, HAllo, wenn ich es mit deinem Script ausführe, kommt:
Die Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne konnte nicht hergestellt werden.
kannst du mir evt auf die schnelle auch einen befehl sagen der wo das vererben nach oben verhindert?
die wo zielführende Antworten verhindern?
Grüße
Biber
Gl05e schreibt am 20.10.2010 um 16:15:17 Uhr
sorry das ich nur so stichweiße schreib, so jetzt der kpl. Sachverhalt
Ich habe einen Ordner mit den namen Oktober da haben mehrere leute zugriff drauf, einige nur lesen einige auch schreiben.
So am 1.nov wird der Ordner in einen Backup Ordner verschoben da dieser Monat nicht mehr gebraucht wird.
Wenn der Ordner in Backup verschoben wird, will ich ein Script ausführen was bewirkt das alle Gruppen rausgenommen werden, und nur eine Gruppe mit lesen rechten automatisch dazugefügt wird.
Das ist soweit kein problem.
problem ist jetzt nur das es in diesem Oktober Ordner einen Unterordner gibt der Chef heißt, auf diesen Ordner soll auch nur der Chef zugreifen und die anderen Mitarbeiter nicht.
Somit müsste ich irgendwie die vererbung nach oben per Script deaktivieren, alle Gruppen da drin löschen und nur die Gruppe Chefs dort einfügen.
OS Client: XP
OS Server: 2003
auf ca. 20 Rechner soll das ding laufen.
Ich habe einen Ordner mit den namen Oktober da haben mehrere leute zugriff drauf, einige nur lesen einige auch schreiben.
So am 1.nov wird der Ordner in einen Backup Ordner verschoben da dieser Monat nicht mehr gebraucht wird.
Wenn der Ordner in Backup verschoben wird, will ich ein Script ausführen was bewirkt das alle Gruppen rausgenommen werden, und nur eine Gruppe mit lesen rechten automatisch dazugefügt wird.
Das ist soweit kein problem.
problem ist jetzt nur das es in diesem Oktober Ordner einen Unterordner gibt der Chef heißt, auf diesen Ordner soll auch nur der Chef zugreifen und die anderen Mitarbeiter nicht.
Somit müsste ich irgendwie die vererbung nach oben per Script deaktivieren, alle Gruppen da drin löschen und nur die Gruppe Chefs dort einfügen.
OS Client: XP
OS Server: 2003
auf ca. 20 Rechner soll das ding laufen.
bastla schreibt am 20.10.2010 um 17:43:16 Uhr
Hallo Gl05e!
"Vererbung nach oben" hört sich spannend an ...
Du kannst ja die Berechtigungen zunächst für den Ordner "Oktober" und dann zusätzlich für "Oktober\Chef" setzen (wobei der oben angeführte Befehl sämtliche vorhandenen Berechtigungen entfernt, die Vererbung unterbricht und nur die angegebene(n) Gruppe(n) einträgt) ...
Hast Du versucht, die Gruppe inkl Domäne anzugeben, also etwa:
Grüße
bastla
"Vererbung nach oben" hört sich spannend an ...
Du kannst ja die Berechtigungen zunächst für den Ordner "Oktober" und dann zusätzlich für "Oktober\Chef" setzen (wobei der oben angeführte Befehl sämtliche vorhandenen Berechtigungen entfernt, die Vererbung unterbricht und nur die angegebene(n) Gruppe(n) einträgt) ...
Hast Du versucht, die Gruppe inkl Domäne anzugeben, also etwa:
echo j|cacls "d:\Backup\A" /G DOMÄNE\Gruppe:R /Tbastla
Gl05e schreibt am 21.10.2010 um 07:30:59 Uhr
Hi,
also ich habe es jetzt so:
setacl.exe -on "d:\Test\A" -ot file -actn ace -actn clear -clr "dacl,sacl" -ace "n:test_group;p:read_ex" -ace "n:administrators;p:full"
setacl.exe -on "d:\Test\A\B" -ot file -actn ace -actn clear -clr "dacl,sacl" -ace "n:test_group-pl;p:read"
er nimmt den Ordner A ballert alle Berechtigungen raus und setzt nur die ein die ich ihm sag, in diesem fall Test_group sowie administrator
im Ordner B sollte er jetzt nur test_group-pl haben, hat er aber nicht da er noch zusätzlich test_group sowie administrator drin hat, !! das ist mein problem.
mit deinem Befehl echo j|cacls "d:\Backup\A" /G DOMÄNE\Gruppe:R /T gehts ohne probleme
wollte es aber in setact machen da setact eine saubere Fehlermeldung rausspuckt.
Oder ist hier cacls wirklich besser für mich geeignet?
also ich habe es jetzt so:
setacl.exe -on "d:\Test\A" -ot file -actn ace -actn clear -clr "dacl,sacl" -ace "n:test_group;p:read_ex" -ace "n:administrators;p:full"
setacl.exe -on "d:\Test\A\B" -ot file -actn ace -actn clear -clr "dacl,sacl" -ace "n:test_group-pl;p:read"
er nimmt den Ordner A ballert alle Berechtigungen raus und setzt nur die ein die ich ihm sag, in diesem fall Test_group sowie administrator
im Ordner B sollte er jetzt nur test_group-pl haben, hat er aber nicht da er noch zusätzlich test_group sowie administrator drin hat, !! das ist mein problem.
mit deinem Befehl echo j|cacls "d:\Backup\A" /G DOMÄNE\Gruppe:R /T gehts ohne probleme
wollte es aber in setact machen da setact eine saubere Fehlermeldung rausspuckt.
Oder ist hier cacls wirklich besser für mich geeignet?
bastla schreibt am 21.10.2010 um 07:44:52 Uhr
Hallo Gl05e!
Ungetestet etwa so:
Du könntest aber auf jeden Fall (wenn auch nicht automatisiert) mit "AccessEnum" die Berechtigungen prüfen, protokollieren und auch mit dem vorigen Stand vergleichen ...
Grüße
bastla
Ungetestet etwa so:
setacl.exe -on "d:\Test\A\B" -ot file -actn setprot -op "dacl:p_nc;dacl:nc" -actn ace -actn clear -clr "dacl,sacl" -ace "n:test_group-pl;p:read"Oder ist hier cacls wirklich besser für mich geeignet?
Diese Entscheidung liegt bei Dir ...Du könntest aber auf jeden Fall (wenn auch nicht automatisiert) mit "AccessEnum" die Berechtigungen prüfen, protokollieren und auch mit dem vorigen Stand vergleichen ...
Grüße
bastla
Gl05e schreibt am 21.10.2010 um 08:04:42 Uhr
danke bastla für deine hilfe.
hm habe jetzt bisschen mit cacls gespielt und muss sagen daß das wessentlich einfacher ist wie setacl :-/
ich glaube ich schaue mir mal beide versionen an und entscheide dann
ich habe mal gegoogle wieso du das j| gesetzt hast, habe leider nichts gefunden...
Werden dadurch die Gruppen gelöscht??
hm habe jetzt bisschen mit cacls gespielt und muss sagen daß das wessentlich einfacher ist wie setacl :-/
ich glaube ich schaue mir mal beide versionen an und entscheide dann
ich habe mal gegoogle wieso du das j| gesetzt hast, habe leider nichts gefunden...
Werden dadurch die Gruppen gelöscht??
bastla schreibt am 21.10.2010 um 09:31:29 Uhr
Hallo Gl05e!
- dann sollte es klar werden, wozu dem Befehl noch ein "j" mit auf den Weg gegeben wird ...
Grüße
bastla
wieso du das j| gesetzt hast
Wenn Du schon beim Spielen bist, versuch es einfach mal nur mitcacls "d:\Backup\A" /G DOMÄNE\Gruppe:R /TGrüße
bastla
