Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit dem richtigen setzen von ACL-Rechten auf einem Ordner.

Mitglied: BionicWave

BionicWave (Level 1) - Jetzt verbinden

11.11.2012 um 00:27 Uhr, 3303 Aufrufe, 7 Kommentare

Hallo,

ich habe folgende Ordner

G:\Auftrag
G:\Auftrag\Kunde
G:\Auftrag\Intern

a) Den Ordner "Auftrag" und alle Unterordner von "Auftrag" (also nur "Kunde" und "Intern")soll die Benutzergruppe "grp-daten" NICHT ändern dürfen.

b) Auf alle Ordner und Dateien unterhalb der beiden Ordner "Kunde" und "Intern" sollen die Benutzer vollen Zugriff erhalten.
Das gilt sowohl für vorhandene, als auch für in Zukunft erstellte Dateien und Ordner gelten.

Ich habe die Vererbung von Rechten für jeden einzelnen dieser Ordner aufgehoben und verteile die Rechte je Ordner.

a) Ich habe ich der "grp-daten" das Recht "Lesen" mit "Nur diesen Ordner" auf den Pfad "G:\Auftrag\Kunde" gegeben.
b) Zusätzlich habe ich der Gruppe "grp-daten" das Recht "Vollzugriff" mit "Nur Unterordner und Dateien" auf den gleichen Pfad gegeben.

Leider funktionierte das aber so nicht. Solange das Recht "Lesen" auf "Nur diesen Ordner" gesetzt ist, kann ich keine Ordner oder Dateien erstellen.
Nehme ich das Recht "Lesen" weg und lasse der Gruppe den Vollzugriff auf "Nur Unterordner und Dateien", dann kann ich den Ordner zwar nicht umbenennen, ich kann den Ordner aber seltsamerweise löschen!?!


Wie muss ich vorgehen damit der Ordner selbst nicht gelöscht/verändert werden kann, aber man Vollzugriff auf die Unterordner und Dateien erhält?

Vielen Dank für Eure Hilfe.
Mitglied: Dirmhirn
11.11.2012 um 12:33 Uhr
HI!

G:\Auftrag - > grp-daten - lesen - ggf. "Nur dieser Ordner"
G:\Auftrag\Kunde - > grp-daten - lesen & schreiben
G:\Auftrag\Intern - > grp-daten - lesen & schreiben

das passt nicht?
für die Unterordner von Kunden und Intern musst natürlich vererben.

ahja und am Share selbst hat der User lses & schreib rechte?

sg Dirm
Bitte warten ..
Mitglied: BionicWave
12.11.2012, aktualisiert um 10:19 Uhr
So in etwa hab ich mir das auch Gedacht.
Es funktioniert leider so nicht.

Auf dem Share hat "Jeder"->"Vollzugriff".

Ich habe alle Berechtigungen entfernt und dann folgende Berchtigungen zu "G:\Auftrag" hinzugefügt:
- Administrator Vollzugriff
- grp-daten Lesen

Im Grunde hat die Vererbung aber keinen Sinn, da ich diese schon auf der nächster Ebene (G:\Auftrag\Kunde)
unterbrechen muss, da sonst die Vererbung auf die Unterordner von "Kunde" weiterwirken würde.
Das würde dann nur Leserechte bewirken.

Trotzdem habe ich testweise beides ausprobiert. Sowohl mit als auch ohne Vererbung gearbeitet.
Das Ergebnis ist immer das gleiche: Ich kann unterhalb von "Kunde" nichts machen (Keine Ordner anlegen oder verändern).

Ich habe es jetzt ans Laufen bekommen, allerdings werd ich aus dem Prinzip nicht ganz schlauh.
Egal: Folgende Rechte müssen gesetzt werden, damit ich das erreiche was ich möchte:

"G:\Auftrag"
- Administrator Vollzugriff
- System Vollzugriff
- Gruppe-Daten Lesen

"G:\Auftrag\Kunde"
- Administrator Vollzugriff Allow (geerbt)
- System Vollzugriff Allow (geerbt)
- Gruppe-Daten Lesen Allow (geerbt)
- Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)
- Gruppe-Daten Löschen Deny (Nur dieser Ordner) (nicht geerbt

Dies bewirkt, dass ich den Ordner "Kunde" nicht verändern/verschieben kann, aber eben auch nicht "löschen" kann.
Alles darunter ist frei verfügbar/veränderbar.

Warum die logische Lösung mit "Gruppe-Daten" und Vollzugrif auf "Nur Unterordner und Dateien" nicht funktioniert, weiss ich nicht.
Die logische Lösung funktioniert nur wenn ich sie auf "Diesen Ordner, Unterordner und Dateien" anwende.
Dann kann ich den Ordner "Kunde" nicht bearbeiten oder verschieben, ABER ich kann den Ordner löschen?!?
Bitte warten ..
Mitglied: Dirmhirn
12.11.2012 um 11:40 Uhr
HI!

Vererbung war eh für die Unterordner gemeint nicht Auftrag -> Kunden.

das mit dem Löschen muss ich auch probieren - vll geht das bei mir auch, hatte eigentlich angenommen, sobald ich nicht schreiben kann, kann ich auch nicht löschen ... hmmm ...

Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)
hast du schon probiert, das Recht "Löschen" zu entfernen, dafür "Unterodrner und Dateien löschen"(hab hier eng. "Delete subfolders and files") zu geben

nicht bearbeiten oder verschieben, ABER ich kann den Ordner löschen?!?
würde das irgendwie Sinn machen? hmmm die Frage ist auch, könnte man es so einrichten, dass der User bearbeiten & löschen kann?

sg Dirm
PS: bin erst morgen wieder im Büro, falls du dich wunderst wieso ich nichts selber probiere
Bitte warten ..
Mitglied: BionicWave
12.11.2012 um 15:00 Uhr
Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)

Ich Dämel: soll natürlich heissen "Vollzugriff", nicht "Schreiben".


>hast du schon probiert, das Recht "Löschen" zu entfernen, dafür "Unterodrner und Dateien löschen"(hab hier eng. "Delete >subfolders and files") zu geben

Das war mein erster Ansatz, klingt ja auch vollkommen logisch.
Habe nur "Lesen" auf "nur diesen Ordner" und "Vollzugriff" auf "Nur Unterordner". Funkt aber nicht.
Effekt dabei ist: Kein Bearbeiten im Unterordner möglich.
Sobald ich das Recht "Lesen" auf "Nur diesen Ordner" wegnehme, kann ich im Unterordner löschen und erstellen wie ich will.
Nebeneffekt ist: Ich kann den Hauptordner jetzt löschen.
Bitte warten ..
Mitglied: Dirmhirn
12.11.2012 um 16:43 Uhr
Hi!

Habe nur "Lesen" auf "nur diesen Ordner" und "Vollzugriff" auf "Nur Unterordner". Funkt aber nicht.
na, geh auf erweitert und editier dort die Rechte - eh dort wo du Nur Unterordner, Dieser Ordner und Unterordner, ... einstellen kannst.
dort kannst du die Rechte ja auch detailierter vergeben. da kannst statt "Löschen" eben "Nur Unterodrner und Dateien löschen" (order so irgendwie muss auf deutsch heißen) wählen.

bei der Rechte übersicht steht dann nicht mehr Lesen oder schreiben sondern "Spezial"

sg Dirm
Bitte warten ..
Mitglied: BionicWave
13.11.2012 um 17:10 Uhr
>na, geh auf erweitert und editier dort die Rechte - eh dort wo du Nur Unterordner,
>Dieser Ordner und Unterordner, ... einstellen kannst.

Da arbeite ich doch schon die ganze Zeit

Aber hab schon verstanden. Man weiss ja nie

Also, wenn ich "Nur dieser Ordner" nehme und die Gruppe-Daten einmal mit speziellen Rechten ausstatte, dann bekomme ich es so hin (also Ordner selbst kann nicht gelöscht/geändert werden, Unterordner und Dateien können erstellt werden).

Allerdings gilt das dann nur für die nächste Ebene. Darunter hat man dann wieder nur Leserechte.

Ich hatte das nicht erwähnt, aber ich wollte das man ab diesem Ordner für alle Unter- und Unter-Unter-Ordner Vollzugriff erhält.
Ich wollte ausserdem ein Deny umgehen.

Das scheint mit einer Kombination aus
"Gruppe-Daten" -> vollzugriff auf Unterordner
"Gruppe-Daten -> spezielle Berchtigungen (ohne Löschen) auf nur diesen Ordner
zu funktionieren ohne das ich ein Deny benötige.

Die möglichen Kombinationen von Rechten und Containern auf den diese Rechte angewendet werden sind halt manchmal etwas verwirrend.
Beispiel: "Nur auf diesen Ordner" wende ich "Erstellen von Unterordnern" an.
In diesem Fall kann man einen Ordner erstellen, allerdings werden nur die Rechte weitergegeben die bereits vererbt wurden, oder die sich auf "Unterordner" beziehen.
Deswegen muss ich die Gruppe-Daten ein zweites mal hinzufügen, womit ich dann den Vollzugriff auf die Unterordner vererbe.

Das ganze schien also nur ein Fehler zu sein. Ist aber in wirklichkeit eine Verquickung von unterschiedlich vererbten Rechten aus 2 Ebenen von Ordnern gewesen.
Bitte warten ..
Mitglied: Dirmhirn
23.11.2012 um 17:50 Uhr
HI!

so jetzt habe ich das endlich selbst getestet:

G:\Auftrag - > grp-daten - lesen - "Nur dieser Ordner"
G:\Auftrag\Kunde - > grp-daten - lesen & schreiben ohne Löschen, dafür "Dateien und UNterordner löschen" -> Dieser Ordner, Unterordner und Dateien

G:\Auftrag\Kunde sollte so aussehen:
6fade1fbe4a8f9f755237eaa373d9099 - Klicke auf das Bild, um es zu vergrößern
oben Fehlt Fullacecess und unten Take ownership & write permissions - alle deaktiviert ...

so kann die Gruppe grp-daten in G:\Auftrag lesen (wenn ABE aktiviert, nur die Ordner auf die sie auch rechte hat)
und in G:\Auftrag\Kunde schreiben, löschen , was auch immer
ABER NICHT G:\Auftrag\Kunde

Unterordner können gelöscht, erstellt ... werden.

sg Dirm
Bitte warten ..
Ähnliche Inhalte
Batch & Shell

PowerShell Script ACL entfernen und setzen

gelöst Frage von smackeeBatch & Shell7 Kommentare

Hallo zusammen Ich brauche eure Hilfe bei meinem PowerShell Scriptchen. Ich möchte gerne einen Ordner (C:\Test) nach meinem Wunsch ...

Exchange Server

SPF Record setzen, aber richtig

gelöst Frage von PizzaPepperoniExchange Server6 Kommentare

Hallo. Ich möchte gerne einen SPF Record setzen. Die Maildomäne liegt bei 1und1. Der MX Record zeigt auf die ...

Batch & Shell

Powershell - über ACL einen Benutzer für einen Ordner herausfinden und Ordner löschen

gelöst Frage von TheMaDimonBatch & Shell2 Kommentare

Hallo Administrator-Community. Seit Februar mache ich meine Ausbildung zum Anwendungsentwickler und soll mich jetzt in Powershell einarbeiten. Dazu bekam ...

LAN, WAN, Wireless

Netzwerkinfrastruktur wächst, richtige weichen setzen

Frage von fabio84LAN, WAN, Wireless2 Kommentare

Hallo Admins, es geht um einen Kunden der über die letzten Jahre stark gewachsen ist. Im Bereich der Switche ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 3 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 4 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux22 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...