12
Unter DFS-Namespace die Freigabeberechtigung ändern
Hallo,
ich muss per Script oder Programm im DFS-Namespace die Freigabeberechtigung unter Zielordner ändern. Auf den normalen Freigaben mache ich das mit subinalc.exe aus dem Resource Kit W2003. Das funktioniert unter DFS leider nicht, da es keinen "richtigen" Freigabenamen gibt. Hat jemand eine Idee?
Windows Server 2008R2
Gruß
Peter
ich muss per Script oder Programm im DFS-Namespace die Freigabeberechtigung unter Zielordner ändern. Auf den normalen Freigaben mache ich das mit subinalc.exe aus dem Resource Kit W2003. Das funktioniert unter DFS leider nicht, da es keinen "richtigen" Freigabenamen gibt. Hat jemand eine Idee?
Windows Server 2008R2
Gruß
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 298606
Url: https://administrator.de/contentid/298606
Printed on: April 26, 2024 at 16:04 o'clock
12 Comments
Latest comment
Hi,
ich versteh nicht genau, was Du meinst.
Redest Du von der Freigabe des DFS-Stamm oder von einer Freigabe eines DFS-Ordners?
Falls vom DFS-Ordner: Hier musst Du subinacl.exe auf die Ziele des DFS-Ordners ansetzen!
Bsp:
DFS-Namespace: \\domain.com\dfs$
DFS-Ordner: \\domain.com\dfs$\Ordner1
Ziele von "Ordner1": \\server1\Ordner1$ und \\server2\Ordner1$
--> Du musst subinacl.exe auf \\server1\Ordner1$ und \\server2\Ordner1$ ansetzen.
E.
ich versteh nicht genau, was Du meinst.
Redest Du von der Freigabe des DFS-Stamm oder von einer Freigabe eines DFS-Ordners?
Falls vom DFS-Ordner: Hier musst Du subinacl.exe auf die Ziele des DFS-Ordners ansetzen!
Bsp:
DFS-Namespace: \\domain.com\dfs$
DFS-Ordner: \\domain.com\dfs$\Ordner1
Ziele von "Ordner1": \\server1\Ordner1$ und \\server2\Ordner1$
--> Du musst subinacl.exe auf \\server1\Ordner1$ und \\server2\Ordner1$ ansetzen.
E.
Hi,
ich will die Freigabe des DFS-Ordners ändern. Subinacl will einen Freigabename, den es im DFS so nicht gibt. Im DFS werden die Ordner1$ oder Ordner2$ aber nicht als \\\\server1\Ordner1$ oder \\server2\Ordner1$ freigegeben. Das ist genau mein Problem. Ich denke, über subinacl funktioniert es nicht. Ich habe gerade einen Powershellefehl gefunden und werde es mit diesem mal testen:
Remove-DfsnAccess -Path "\\Contoso\Software\Projects" -AccountName "TSQA\PattiFuller"
Peter
ich will die Freigabe des DFS-Ordners ändern. Subinacl will einen Freigabename, den es im DFS so nicht gibt. Im DFS werden die Ordner1$ oder Ordner2$ aber nicht als \\\\server1\Ordner1$ oder \\server2\Ordner1$ freigegeben. Das ist genau mein Problem. Ich denke, über subinacl funktioniert es nicht. Ich habe gerade einen Powershellefehl gefunden und werde es mit diesem mal testen:
Remove-DfsnAccess -Path "\\Contoso\Software\Projects" -AccountName "TSQA\PattiFuller"
Peter
Dein Problem ist, dass Du in einem UNC, welcher ein Pfad im DFS-Namespace darstellt, nicht herausbekommst,
a) dass es ein DFS-Namespace ist, und
b) dass Du \\domain.com\dfs$\Ordner1 nicht in die tatsächliche Freigabe aufgelöst bekommst
richtig?
Wenn es mit dem PS-Befehl geht, ok. Ansonsten musst Du entweder das Script anpassen, dass es DFS-N erkennt und die 1. Ordnerebene in die "nativen" UNC-Pfade der Ordnerziele umwandelt, oder das Script - im Wissen, dass es ein DFS-N ist, gleich auf die UNC-Pfade der Ordnerziele ansetzen.
Mal interessehalber: Wir reden tatsächlich von den Freigabe-Berechtigungen und nicht etwa von den NTFS-Berechtigungen?
a) dass es ein DFS-Namespace ist, und
b) dass Du \\domain.com\dfs$\Ordner1 nicht in die tatsächliche Freigabe aufgelöst bekommst
richtig?
Wenn es mit dem PS-Befehl geht, ok. Ansonsten musst Du entweder das Script anpassen, dass es DFS-N erkennt und die 1. Ordnerebene in die "nativen" UNC-Pfade der Ordnerziele umwandelt, oder das Script - im Wissen, dass es ein DFS-N ist, gleich auf die UNC-Pfade der Ordnerziele ansetzen.
Mal interessehalber: Wir reden tatsächlich von den Freigabe-Berechtigungen und nicht etwa von den NTFS-Berechtigungen?
Ja, definitiv Freigabeberechtigung. Der Powershellbefehl remove-dfsnaccess ist für Server 2012 nicht für 2008R2.
Das Problem ist, dass es die UNC-Pfad der Ordnerziele nicht gibt.
Es gibt:
DFS-Namespace: \\domain.com\dfs$
DFS-Ordner: \\domain.com\dfs$\Ordner1
Es gibt nicht:
Freigabe: \\server\Ordner1
Wenn ich die Freigabe \\server\Ordner1 erstelle, funktioniert zwar der subinacl Befehl, aber er ändert nicht die Freigabeberechtigung von DFS-Ordner: \\domain.com\dfs$\Ordner1
Ich kann dir kurz erklären warum ich das machen will:
Es geht um das Schadprogramm Ransomware. Ich habe den FSRM so weit konfiguriert, dass wenn ein User eine Datei mit einer bestimmten Endung abpeichern oder umbenennen will, geblockt wird. Zusätzlich sollte der User den Zugriff auf der entsprechenden Freigabe entzogen bekommen. Funktioniert soweit überall, nur nicht dort, wo wir DFS im EInsatz haben.
Das Problem ist, dass es die UNC-Pfad der Ordnerziele nicht gibt.
Es gibt:
DFS-Namespace: \\domain.com\dfs$
DFS-Ordner: \\domain.com\dfs$\Ordner1
Es gibt nicht:
Freigabe: \\server\Ordner1
Wenn ich die Freigabe \\server\Ordner1 erstelle, funktioniert zwar der subinacl Befehl, aber er ändert nicht die Freigabeberechtigung von DFS-Ordner: \\domain.com\dfs$\Ordner1
Ich kann dir kurz erklären warum ich das machen will:
Es geht um das Schadprogramm Ransomware. Ich habe den FSRM so weit konfiguriert, dass wenn ein User eine Datei mit einer bestimmten Endung abpeichern oder umbenennen will, geblockt wird. Zusätzlich sollte der User den Zugriff auf der entsprechenden Freigabe entzogen bekommen. Funktioniert soweit überall, nur nicht dort, wo wir DFS im EInsatz haben.
Ich verstehe bloß "Bahnhof".
Wozu hast Du einen DFS-N, wenn die erste Ebene keine DFS-Ordner sondern - wenn ich Dich richtig verstanden habe - "echte" Ordner in der Freigabe des DFS-Stamms sind?
Also zur Klarstellung:
Sind die Ordner in der ersten Ebene nun DFS-Ordner (Links zu anderen Freigaben) oder sind es ganz normale Ordner in der Freigabe des DFS-Stamms?
Wozu hast Du einen DFS-N, wenn die erste Ebene keine DFS-Ordner sondern - wenn ich Dich richtig verstanden habe - "echte" Ordner in der Freigabe des DFS-Stamms sind?
Also zur Klarstellung:
Sind die Ordner in der ersten Ebene nun DFS-Ordner (Links zu anderen Freigaben) oder sind es ganz normale Ordner in der Freigabe des DFS-Stamms?
Also dann versuche ich es zu verdeutlichen:
Es gibt auf 4 Fileservern diese Struktur: d:\d_platte\group
Unser Namespace lautet: \\domain\group
Unsere Namespace Folder lauten: group-01, group-02, group-03, group-04
Dadurch ergibt sich ein Folder target von \\servername.domain\d_platte\group. Und genau auf dem soll die Freigabe Berechtigung geändert werden.
Es gibt auf 4 Fileservern diese Struktur: d:\d_platte\group
Unser Namespace lautet: \\domain\group
Unsere Namespace Folder lauten: group-01, group-02, group-03, group-04
Dadurch ergibt sich ein Folder target von \\servername.domain\d_platte\group. Und genau auf dem soll die Freigabe Berechtigung geändert werden.
Das passt doch hinten und vorne nicht ...
Letzter Versuch von mir:
Server1, Server2, Server3, Server4
lokaler Pfad: d:\d_platte\group
Name der Freigabe?
Namespace:
Name: \\domain\group
UNC-Pfad(e) der Freigabe(n)?
1. Ordnerebene im DFS-N
Sind das DFS-Ordner oder Ordner in der Freigabe des Stamms? (Diese Frage hast Du immer noch nicht beantwortet.)
Warum frage ich das alles?
Weil ich glaube, dass Du den Durchblick verloren hast und den Wald vor lauter Bäumen nicht siehst.
Letzter Versuch von mir:
Server1, Server2, Server3, Server4
lokaler Pfad: d:\d_platte\group
Name der Freigabe?
Namespace:
Name: \\domain\group
UNC-Pfad(e) der Freigabe(n)?
1. Ordnerebene im DFS-N
Sind das DFS-Ordner oder Ordner in der Freigabe des Stamms? (Diese Frage hast Du immer noch nicht beantwortet.)
Warum frage ich das alles?
Weil ich glaube, dass Du den Durchblick verloren hast und den Wald vor lauter Bäumen nicht siehst.
Ich bin ja froh, dass du dich meinem Problem annimmst. Ich versuche auch die Fragen zu beantworten.
Server1, Server2, Server3, Server4
lokaler Pfad: d:\d_platte\group
Name der Freigabe: group
Namespace:
Name: \\domain\group
UNC-Pfad(e) der Freigabe(n): \\servername.domain\d_platte\group
1. Ordnerebene im DFS-N:
d:\d_platte\group oder \\servername\d$\d_platte\group also Ordner in der Freigabe des Stammes
Die User sehen im Explorer z.B. \\domain\group\group-01 oder ...\group-02
Ich denke, es ist nur ein Kommunikationsproblem.
Server1, Server2, Server3, Server4
lokaler Pfad: d:\d_platte\group
Name der Freigabe: group
Namespace:
Name: \\domain\group
UNC-Pfad(e) der Freigabe(n): \\servername.domain\d_platte\group
1. Ordnerebene im DFS-N:
d:\d_platte\group oder \\servername\d$\d_platte\group also Ordner in der Freigabe des Stammes
Die User sehen im Explorer z.B. \\domain\group\group-01 oder ...\group-02
Ich denke, es ist nur ein Kommunikationsproblem.
Hallo Emireks,
ich habe die Lösung. Vielen Dank für deine Hilfe. Wie man sieht, steht auf dem Bild: permission for d_platte. Dort muss ich dem User die Berechtigung entziehen und das geht dann doch mit subinacl. Hattest Recht: Vor lauter Bäumen sieht man keinen Wald.
DANKE
ich habe die Lösung. Vielen Dank für deine Hilfe. Wie man sieht, steht auf dem Bild: permission for d_platte. Dort muss ich dem User die Berechtigung entziehen und das geht dann doch mit subinacl. Hattest Recht: Vor lauter Bäumen sieht man keinen Wald.
DANKE
Namespace:
Name: \\domain\group
UNC-Pfad(e) der Freigabe(n): \\servername.domain\d_platte\group
ERROR: Ein DFS-Namespace kann nur direkt auf eine Freigabe gelegt werden, nicht auf einen Unterordner einer Freigabe!Name: \\domain\group
UNC-Pfad(e) der Freigabe(n): \\servername.domain\d_platte\group
"group" wäre ein Unterordner der Freigabe "d_platte" des Servers "servername.domain"
1. Ordnerebene im DFS-N:
d:\d_platte\group oder \\servername\d$\d_platte\group also Ordner in der Freigabe des Stammes
Mit anderen Worten:d:\d_platte\group oder \\servername\d$\d_platte\group also Ordner in der Freigabe des Stammes
Der Namespace hat 4 Stammserver? Und die Stammfreigaben sind dann
\\server1\group
\\server2\group
...
Die User sehen im Explorer z.B. \\domain\group\group-01 oder ...\group-02
In jeder Freibabe der 4 Server gibt es die Unterordner group-01, group-02, group-03, group-04 ?Du hast eine Replikationsgruppe für die Stammfreigaben?
Ich denke, es ist nur ein Kommunikationsproblem.
Ja, davon gehe ich auch aus.Dort muss ich dem User die Berechtigung entziehen und das geht dann doch mit subinacl.
DAS wollte ich Dir die ganze Zeit vermitteln ... 
Mach das Teil hier noch zu.
Hast du ja. 
Geschlossen
Geschlossen