Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Berechtigungsvergabe-Problem - Root-Ordner darf nicht verschiebbar sein, allerdings Unterordner haben Vollzugriff ?!?!

Frage Microsoft Windows Server

Mitglied: rodknocker

rodknocker (Level 1) - Jetzt verbinden

16.03.2006, aktualisiert 23:48 Uhr, 6149 Aufrufe, 3 Kommentare

Hallo Jungs !

Hab mal wieder ne Frage:
Folgendes Problem: Auf einem FileServer gibt es div. Ordner. Diese Ordner sollen für eine Gruppe in der alle normale User sind (außer Domänen-Admin) weder verschiebbar, noch löschbar sein, allerdings soll diese Gruppe auf die dadrin enthaltenen Unterordner und Dateien Vollzugriff haben.

Mein Ansatz war gewesen einen Test-Ordner anzulegen, der keinerlei andere Verebungen hat und in den erweiterten Sicherheitseinstellungen explizit für diesen Ordner den Sicherheitseintrag "Löschen" auf "Verweigern" zu setzen mit der Option "Übernehmen für: Nur für diesen Ordner".
Für alle Unterornder wird der Gruppe explizit Vollzugriff erteilt.

Nur was sehr seltsam ist, man kann trotzallem den Wurzel-Ordner löschen !

Was mache ich da falsch oder was kommt sich in die Quere ? Windows meldet ja beim Setzen der Berechtigung dass Rechte mit Verweigerungen ein höheren Rang haben und durchgesetzt werden, aber hält sich nicht dran

Vielleicht hat einer ne Idee.

Grüße David Burkel
Mitglied: djbrandt
16.03.2006 um 20:34 Uhr
Hi

Du kannst das mit dem Tool setacl.exe erreichen.

http://setacl.sourceforge.net/


Ordnerstruktur

f:\ordner1\ordner2\order3

Entferne am besten die Entsprechende Gruppe und setze sie neu:

rem setze read und execute nur für ordner1 (schalter i:np !!!)

setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:read_ex;i:np" -actn list

Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,read_execute,allow,no_inheritance"

SetACL finished successfully.

2. Schritt

rem setze Full nur auf Darunterliegende Ordner und Dateien (Schalter i:io,so,sc !!!!)

setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:full;i:io,so,sc" -actn list

Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,full,allow,container_inherit+object_inherit+inherit_only:DOEDL\GRUPPE,read_execute,allow,no_inheritance"

SetACL finished successfully.


das sollte funktionieren.


Gruß

Dieter
Bitte warten ..
Mitglied: rodknocker
16.03.2006 um 23:16 Uhr
Hey danke für die nette Hilfe !

Aber was ich nicht verstehe: Meine Frage ist doch quasi nen Standardfall, wie er auch in anderen Netzwerken vorkommen wird. Dafür wird es doch ne Standardlösung geben mit den Onboard-Berechtigungen.

Wieso dann dieses Tool ?


Hatte es vielleicht damit zu tuen, dass wie ich den Ordner angelegt hatte an meinem Rechner auf diesem Netzwerk-Volumen, ich auch gleichzeitig der Eigentümer des Ordners bin und somit die höchsten Rechte besass ?
Vielleicht muss ich den Ornder ja auf dem Server direkt anlegen mit einem Domänen-Admin-Account.
Bitte warten ..
Mitglied: djbrandt
16.03.2006 um 23:48 Uhr
Hi,

das Problem ist seit W2K und verstärkt seit W2K3 die Standardmäßige Vererbung der NTFS-Berechtigungen.

Wird normalerweise im Rootverzeichnis eines Laufwerkes unter W2K3 ein Verzeichnis angelegt, so erbt das Verzeichnis die Berechtigungen.

Will man eine Ebene tiefer einer der schon berechtigten Gruppen eine andere Berechtigung geben, so muss die Vererbung aufgebrochen werden und erst dann kann man die Berechtigung ändern.

Über den Explorer ist das ein ziemliches Geklickere und in großen Umgebungen wie bei uns (45000 User) schlichtweg unmöglich.

Also sucht man sich entsprechende Kommandozeilentools und da gibt es nur ein paar wirklich gute, die auch mit den erweiterten Berechtigungen umgehen können.

MS$ selbst hat da inzwischen ein xcacls.vbs draus gemacht, das wir aber nicht anwenden können, da wir Netapp-Filer einsetzen und die haben nicht die entsprechenden Provider on board

Also bleibt eigentlich nur der SD-Manager für die einfachen Arbeiten

und "SetACL" für die komplizierten Aufgaben.

Der Syntax ist zwar mehr als gewöhnungsbedürftig, aber dafür sehr mächtig und erlaubt die feinste Kontrolle.


Grüße


Dieter
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
E-Mail
Thunderbird Problem mit Ordner (IMAP)

Frage von MediaWrd zum Thema E-Mail ...

Windows Server
gelöst Automatisierter Default-Ordner in jedem Unterordner (6)

Frage von Voiper zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Peripheriegeräte
gelöst USB Festplatte verliert Laufwerksbuchstabe (9)

Frage von cese4321 zum Thema Peripheriegeräte ...