rodknocker
Goto Top

Berechtigungsvergabe-Problem - Root-Ordner darf nicht verschiebbar sein, allerdings Unterordner haben Vollzugriff ?!?!

Hallo Jungs !

Hab mal wieder ne Frage:
Folgendes Problem: Auf einem FileServer gibt es div. Ordner. Diese Ordner sollen für eine Gruppe in der alle normale User sind (außer Domänen-Admin) weder verschiebbar, noch löschbar sein, allerdings soll diese Gruppe auf die dadrin enthaltenen Unterordner und Dateien Vollzugriff haben.

Mein Ansatz war gewesen einen Test-Ordner anzulegen, der keinerlei andere Verebungen hat und in den erweiterten Sicherheitseinstellungen explizit für diesen Ordner den Sicherheitseintrag "Löschen" auf "Verweigern" zu setzen mit der Option "Übernehmen für: Nur für diesen Ordner".
Für alle Unterornder wird der Gruppe explizit Vollzugriff erteilt.

Nur was sehr seltsam ist, man kann trotzallem den Wurzel-Ordner löschen !

Was mache ich da falsch oder was kommt sich in die Quere ? Windows meldet ja beim Setzen der Berechtigung dass Rechte mit Verweigerungen ein höheren Rang haben und durchgesetzt werden, aber hält sich nicht dran face-sad

Vielleicht hat einer ne Idee.

Grüße David Burkel

Content-Key: 28364

Url: https://administrator.de/contentid/28364

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: djbrandt
djbrandt 16.03.2006 um 20:34:46 Uhr
Goto Top
Hi

Du kannst das mit dem Tool setacl.exe erreichen.

http://setacl.sourceforge.net/


Ordnerstruktur

f:\ordner1\ordner2\order3

Entferne am besten die Entsprechende Gruppe und setze sie neu:

rem setze read und execute nur für ordner1 (schalter i:np !!!)

setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:read_ex;i:np" -actn list

Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,read_execute,allow,no_inheritance"

SetACL finished successfully.

2. Schritt

rem setze Full nur auf Darunterliegende Ordner und Dateien (Schalter i:io,so,sc !!!!)

setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:full;i:io,so,sc" -actn list

Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,full,allow,container_inherit+object_inherit+inherit_only:DOEDL\GRUPPE,read_execute,allow,no_inheritance"

SetACL finished successfully.


das sollte funktionieren.


Gruß

Dieter
Mitglied: rodknocker
rodknocker 16.03.2006 um 23:16:22 Uhr
Goto Top
Hey danke für die nette Hilfe !

Aber was ich nicht verstehe: Meine Frage ist doch quasi nen Standardfall, wie er auch in anderen Netzwerken vorkommen wird. Dafür wird es doch ne Standardlösung geben mit den Onboard-Berechtigungen.

Wieso dann dieses Tool ?


Hatte es vielleicht damit zu tuen, dass wie ich den Ordner angelegt hatte an meinem Rechner auf diesem Netzwerk-Volumen, ich auch gleichzeitig der Eigentümer des Ordners bin und somit die höchsten Rechte besass ?
Vielleicht muss ich den Ornder ja auf dem Server direkt anlegen mit einem Domänen-Admin-Account.
Mitglied: djbrandt
djbrandt 16.03.2006 um 23:48:57 Uhr
Goto Top
Hi,

das Problem ist seit W2K und verstärkt seit W2K3 die Standardmäßige Vererbung der NTFS-Berechtigungen.

Wird normalerweise im Rootverzeichnis eines Laufwerkes unter W2K3 ein Verzeichnis angelegt, so erbt das Verzeichnis die Berechtigungen.

Will man eine Ebene tiefer einer der schon berechtigten Gruppen eine andere Berechtigung geben, so muss die Vererbung aufgebrochen werden und erst dann kann man die Berechtigung ändern.

Über den Explorer ist das ein ziemliches Geklickere und in großen Umgebungen wie bei uns (45000 User) schlichtweg unmöglich.

Also sucht man sich entsprechende Kommandozeilentools und da gibt es nur ein paar wirklich gute, die auch mit den erweiterten Berechtigungen umgehen können.

MS$ selbst hat da inzwischen ein xcacls.vbs draus gemacht, das wir aber nicht anwenden können, da wir Netapp-Filer einsetzen und die haben nicht die entsprechenden Provider on board face-smile

Also bleibt eigentlich nur der SD-Manager für die einfachen Arbeiten

und "SetACL" für die komplizierten Aufgaben.

Der Syntax ist zwar mehr als gewöhnungsbedürftig, aber dafür sehr mächtig und erlaubt die feinste Kontrolle.


Grüße


Dieter