Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Berechtigungsvergabe-Problem - Root-Ordner darf nicht verschiebbar sein, allerdings Unterordner haben Vollzugriff ?!?!

Frage Microsoft Windows Server

Mitglied: rodknocker

rodknocker (Level 1) - Jetzt verbinden

16.03.2006, aktualisiert 23:48 Uhr, 6184 Aufrufe, 3 Kommentare

Hallo Jungs !

Hab mal wieder ne Frage:
Folgendes Problem: Auf einem FileServer gibt es div. Ordner. Diese Ordner sollen für eine Gruppe in der alle normale User sind (außer Domänen-Admin) weder verschiebbar, noch löschbar sein, allerdings soll diese Gruppe auf die dadrin enthaltenen Unterordner und Dateien Vollzugriff haben.

Mein Ansatz war gewesen einen Test-Ordner anzulegen, der keinerlei andere Verebungen hat und in den erweiterten Sicherheitseinstellungen explizit für diesen Ordner den Sicherheitseintrag "Löschen" auf "Verweigern" zu setzen mit der Option "Übernehmen für: Nur für diesen Ordner".
Für alle Unterornder wird der Gruppe explizit Vollzugriff erteilt.

Nur was sehr seltsam ist, man kann trotzallem den Wurzel-Ordner löschen !

Was mache ich da falsch oder was kommt sich in die Quere ? Windows meldet ja beim Setzen der Berechtigung dass Rechte mit Verweigerungen ein höheren Rang haben und durchgesetzt werden, aber hält sich nicht dran

Vielleicht hat einer ne Idee.

Grüße David Burkel
Mitglied: djbrandt
16.03.2006 um 20:34 Uhr
Hi

Du kannst das mit dem Tool setacl.exe erreichen.

http://setacl.sourceforge.net/


Ordnerstruktur

f:\ordner1\ordner2\order3

Entferne am besten die Entsprechende Gruppe und setze sie neu:

rem setze read und execute nur für ordner1 (schalter i:np !!!)

setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:read_ex;i:np" -actn list

Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,read_execute,allow,no_inheritance"

SetACL finished successfully.

2. Schritt

rem setze Full nur auf Darunterliegende Ordner und Dateien (Schalter i:io,so,sc !!!!)

setacl -on "f:\ordner1" -ot file -actn ace -ace "n:GRUPPE;p:full;i:io,so,sc" -actn list

Ausgabe:
Processing ACL of: <\\?\f:\ordner1>
"\\?\f:\ordner1",1,"DACL(protected+auto_inherited):DOEDL\GRUPPE,full,allow,container_inherit+object_inherit+inherit_only:DOEDL\GRUPPE,read_execute,allow,no_inheritance"

SetACL finished successfully.


das sollte funktionieren.


Gruß

Dieter
Bitte warten ..
Mitglied: rodknocker
16.03.2006 um 23:16 Uhr
Hey danke für die nette Hilfe !

Aber was ich nicht verstehe: Meine Frage ist doch quasi nen Standardfall, wie er auch in anderen Netzwerken vorkommen wird. Dafür wird es doch ne Standardlösung geben mit den Onboard-Berechtigungen.

Wieso dann dieses Tool ?


Hatte es vielleicht damit zu tuen, dass wie ich den Ordner angelegt hatte an meinem Rechner auf diesem Netzwerk-Volumen, ich auch gleichzeitig der Eigentümer des Ordners bin und somit die höchsten Rechte besass ?
Vielleicht muss ich den Ornder ja auf dem Server direkt anlegen mit einem Domänen-Admin-Account.
Bitte warten ..
Mitglied: djbrandt
16.03.2006 um 23:48 Uhr
Hi,

das Problem ist seit W2K und verstärkt seit W2K3 die Standardmäßige Vererbung der NTFS-Berechtigungen.

Wird normalerweise im Rootverzeichnis eines Laufwerkes unter W2K3 ein Verzeichnis angelegt, so erbt das Verzeichnis die Berechtigungen.

Will man eine Ebene tiefer einer der schon berechtigten Gruppen eine andere Berechtigung geben, so muss die Vererbung aufgebrochen werden und erst dann kann man die Berechtigung ändern.

Über den Explorer ist das ein ziemliches Geklickere und in großen Umgebungen wie bei uns (45000 User) schlichtweg unmöglich.

Also sucht man sich entsprechende Kommandozeilentools und da gibt es nur ein paar wirklich gute, die auch mit den erweiterten Berechtigungen umgehen können.

MS$ selbst hat da inzwischen ein xcacls.vbs draus gemacht, das wir aber nicht anwenden können, da wir Netapp-Filer einsetzen und die haben nicht die entsprechenden Provider on board

Also bleibt eigentlich nur der SD-Manager für die einfachen Arbeiten

und "SetACL" für die komplizierten Aufgaben.

Der Syntax ist zwar mehr als gewöhnungsbedürftig, aber dafür sehr mächtig und erlaubt die feinste Kontrolle.


Grüße


Dieter
Bitte warten ..
Ähnliche Inhalte
SAN, NAS, DAS
gelöst Synolgy 1815+ - Rechte- und Richtlinien-Problem User-Ordner Home (3)

Frage von Nintox zum Thema SAN, NAS, DAS ...

Windows 7
gelöst Batch für User-TEMP-Ordner und Inhalte löschen (2)

Frage von planetIT2016 zum Thema Windows 7 ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Windows Systemdateien
NTFS und die Defragmentierung (26)

Frage von WinLiCLI zum Thema Windows Systemdateien ...

LAN, WAN, Wireless
Zwei Subnetze mit je eigenem Router und Internetzugang verbinden (18)

Frage von hannsgmaulwurf zum Thema LAN, WAN, Wireless ...

Windows Server
WIndows Server 2016 core auf dem Intel NUC NUC5i5RYK i5 5250U (17)

Frage von IxxZett zum Thema Windows Server ...