2
Win 2008 Filesystem-ACL via Script erneuern
Hallo zusammen,
ich stehe aktuell vor folgendem Problem:
Ein Share eines Fileservers (Win 2008, DFS mit aktivierter ABE) wird am Client-PC als Netzlaufwerk eingehängt und stellt somit einen einheitlichen Zugriffspunkt zur Verfügung. Unterhalb befinden sich zahlreiche Ordner, jeweils via ACL beschränkt auf bestimmte Zugriffsgruppen. Also:
\\server\share --> X:
X:\dir1 --> nur Gruppe "dir1"
X:\dir2 --> nur Gruppe "dir2"
X:\dir3 --> nur Gruppe "dir3"
user1 --> Gruppe "dir1" und "dir2"
user2 --> Gruppe "dir2"
user3 --> Gruppe "dir1", "dir2" und "dir3"
Jeder sieht nur das, was er auch sehen soll, soweit ist also alles in Ordnung. Wenn jetzt allerdings "user1" eine von "user3" in "dir1" erzeuge Datei nach "dir2" verschiebt, wird die ACL mit übernommen, sprich: "user2" kann auf die Datei nicht zugreifen.
Abhilfe schafft das vererben der Berechtigungen von "dir2" nach unten, logisch.
Ich habe mir sagen lassen, dass dies Verhalten "normal" sei und sich auch nicht ändern ließe. Stimmt also mit dem überein, was ich selbst so finden konnte. Daraus entsteht für mich die Notwendigkeit, in regelmäßigen Abständen die ACL scriptgesteuert zu erneuern. Die Idee wäre hier: CACLS.
Mit CACLS lässt sich allerdings pro Aufruf nur eine Gruppe mitgeben, sodass ich über einige Ordner vier oder fünfmal "Bügeln" müsste, bis die ACL wieder stimmt. Via Windows GUI sieht das scheinbar anders aus: gewünschte Änderungen durchführen und in einem Rutsch übernehmen.
Die eigentliche Frage: Besteht (mittels Powershell vielleicht?!) die Möglichkeit, das alles in einem Rutsch (pro Unterverzeichnis) zu erledigen oder muss ich wirklich 3 mal über jeden Ordner und jede Datei somit dreimal anfassen?
ich stehe aktuell vor folgendem Problem:
Ein Share eines Fileservers (Win 2008, DFS mit aktivierter ABE) wird am Client-PC als Netzlaufwerk eingehängt und stellt somit einen einheitlichen Zugriffspunkt zur Verfügung. Unterhalb befinden sich zahlreiche Ordner, jeweils via ACL beschränkt auf bestimmte Zugriffsgruppen. Also:
\\server\share --> X:
X:\dir1 --> nur Gruppe "dir1"
X:\dir2 --> nur Gruppe "dir2"
X:\dir3 --> nur Gruppe "dir3"
user1 --> Gruppe "dir1" und "dir2"
user2 --> Gruppe "dir2"
user3 --> Gruppe "dir1", "dir2" und "dir3"
Jeder sieht nur das, was er auch sehen soll, soweit ist also alles in Ordnung. Wenn jetzt allerdings "user1" eine von "user3" in "dir1" erzeuge Datei nach "dir2" verschiebt, wird die ACL mit übernommen, sprich: "user2" kann auf die Datei nicht zugreifen.
Abhilfe schafft das vererben der Berechtigungen von "dir2" nach unten, logisch.
Ich habe mir sagen lassen, dass dies Verhalten "normal" sei und sich auch nicht ändern ließe. Stimmt also mit dem überein, was ich selbst so finden konnte. Daraus entsteht für mich die Notwendigkeit, in regelmäßigen Abständen die ACL scriptgesteuert zu erneuern. Die Idee wäre hier: CACLS.
Mit CACLS lässt sich allerdings pro Aufruf nur eine Gruppe mitgeben, sodass ich über einige Ordner vier oder fünfmal "Bügeln" müsste, bis die ACL wieder stimmt. Via Windows GUI sieht das scheinbar anders aus: gewünschte Änderungen durchführen und in einem Rutsch übernehmen.
Die eigentliche Frage: Besteht (mittels Powershell vielleicht?!) die Möglichkeit, das alles in einem Rutsch (pro Unterverzeichnis) zu erledigen oder muss ich wirklich 3 mal über jeden Ordner und jede Datei somit dreimal anfassen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 190802
Url: https://administrator.de/contentid/190802
Printed on: April 16, 2024 at 12:04 o'clock
2 Comments
Latest comment
Moin Moin 
Ich bin der Meinung, das bei "cacls" auch gleichzeitig mehrere User / Gruppen angegeben werden konnten ...
egal
Es gibt aber neue Tools bei ACL Geschichten
ICACLS
ICACLS wurde aufgebohrt und wenn ich mir die Hilfe anlese
kannst du sogar Listen erstellen ...
MFG Uwe
Ich bin der Meinung, das bei "cacls" auch gleichzeitig mehrere User / Gruppen angegeben werden konnten ...
egal
Es gibt aber neue Tools bei ACL Geschichten
ICACLS
ICACLS wurde aufgebohrt und wenn ich mir die Hilfe anlese
icacls /?
ICACLS name /save aclfilekannst du sogar Listen erstellen ...
MFG Uwe
Auf den ersten Blick würde ich sagen, dass mein Problem damit gelöst ist.
Vielen Dank!
//EDIT:
Normalerweise sollte es reichen, die Berechtigungen nochmals sauber zu vererben:
Berechtigungen liegen auf "dir1"
(also ohne \*) würde die Berechtigungen von "share" an "dir1" vererben.
Vielen Dank!
//EDIT:
Normalerweise sollte es reichen, die Berechtigungen nochmals sauber zu vererben:
icacls \\server\share\dir1\* /reset /tBerechtigungen liegen auf "dir1"
icacls \\server\share\dir1 /reset /t