Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit dem richtigen setzen von ACL-Rechten auf einem Ordner.

Frage Microsoft Windows Server

Mitglied: BionicWave

BionicWave (Level 1) - Jetzt verbinden

11.11.2012 um 00:27 Uhr, 3051 Aufrufe, 7 Kommentare

Hallo,

ich habe folgende Ordner

G:\Auftrag
G:\Auftrag\Kunde
G:\Auftrag\Intern

a) Den Ordner "Auftrag" und alle Unterordner von "Auftrag" (also nur "Kunde" und "Intern")soll die Benutzergruppe "grp-daten" NICHT ändern dürfen.

b) Auf alle Ordner und Dateien unterhalb der beiden Ordner "Kunde" und "Intern" sollen die Benutzer vollen Zugriff erhalten.
Das gilt sowohl für vorhandene, als auch für in Zukunft erstellte Dateien und Ordner gelten.

Ich habe die Vererbung von Rechten für jeden einzelnen dieser Ordner aufgehoben und verteile die Rechte je Ordner.

a) Ich habe ich der "grp-daten" das Recht "Lesen" mit "Nur diesen Ordner" auf den Pfad "G:\Auftrag\Kunde" gegeben.
b) Zusätzlich habe ich der Gruppe "grp-daten" das Recht "Vollzugriff" mit "Nur Unterordner und Dateien" auf den gleichen Pfad gegeben.

Leider funktionierte das aber so nicht. Solange das Recht "Lesen" auf "Nur diesen Ordner" gesetzt ist, kann ich keine Ordner oder Dateien erstellen.
Nehme ich das Recht "Lesen" weg und lasse der Gruppe den Vollzugriff auf "Nur Unterordner und Dateien", dann kann ich den Ordner zwar nicht umbenennen, ich kann den Ordner aber seltsamerweise löschen!?!


Wie muss ich vorgehen damit der Ordner selbst nicht gelöscht/verändert werden kann, aber man Vollzugriff auf die Unterordner und Dateien erhält?

Vielen Dank für Eure Hilfe.
Mitglied: Dirmhirn
11.11.2012 um 12:33 Uhr
HI!

G:\Auftrag - > grp-daten - lesen - ggf. "Nur dieser Ordner"
G:\Auftrag\Kunde - > grp-daten - lesen & schreiben
G:\Auftrag\Intern - > grp-daten - lesen & schreiben

das passt nicht?
für die Unterordner von Kunden und Intern musst natürlich vererben.

ahja und am Share selbst hat der User lses & schreib rechte?

sg Dirm
Bitte warten ..
Mitglied: BionicWave
12.11.2012, aktualisiert um 10:19 Uhr
So in etwa hab ich mir das auch Gedacht.
Es funktioniert leider so nicht.

Auf dem Share hat "Jeder"->"Vollzugriff".

Ich habe alle Berechtigungen entfernt und dann folgende Berchtigungen zu "G:\Auftrag" hinzugefügt:
- Administrator Vollzugriff
- grp-daten Lesen

Im Grunde hat die Vererbung aber keinen Sinn, da ich diese schon auf der nächster Ebene (G:\Auftrag\Kunde)
unterbrechen muss, da sonst die Vererbung auf die Unterordner von "Kunde" weiterwirken würde.
Das würde dann nur Leserechte bewirken.

Trotzdem habe ich testweise beides ausprobiert. Sowohl mit als auch ohne Vererbung gearbeitet.
Das Ergebnis ist immer das gleiche: Ich kann unterhalb von "Kunde" nichts machen (Keine Ordner anlegen oder verändern).

Ich habe es jetzt ans Laufen bekommen, allerdings werd ich aus dem Prinzip nicht ganz schlauh.
Egal: Folgende Rechte müssen gesetzt werden, damit ich das erreiche was ich möchte:

"G:\Auftrag"
- Administrator Vollzugriff
- System Vollzugriff
- Gruppe-Daten Lesen

"G:\Auftrag\Kunde"
- Administrator Vollzugriff Allow (geerbt)
- System Vollzugriff Allow (geerbt)
- Gruppe-Daten Lesen Allow (geerbt)
- Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)
- Gruppe-Daten Löschen Deny (Nur dieser Ordner) (nicht geerbt

Dies bewirkt, dass ich den Ordner "Kunde" nicht verändern/verschieben kann, aber eben auch nicht "löschen" kann.
Alles darunter ist frei verfügbar/veränderbar.

Warum die logische Lösung mit "Gruppe-Daten" und Vollzugrif auf "Nur Unterordner und Dateien" nicht funktioniert, weiss ich nicht.
Die logische Lösung funktioniert nur wenn ich sie auf "Diesen Ordner, Unterordner und Dateien" anwende.
Dann kann ich den Ordner "Kunde" nicht bearbeiten oder verschieben, ABER ich kann den Ordner löschen?!?
Bitte warten ..
Mitglied: Dirmhirn
12.11.2012 um 11:40 Uhr
HI!

Vererbung war eh für die Unterordner gemeint nicht Auftrag -> Kunden.

das mit dem Löschen muss ich auch probieren - vll geht das bei mir auch, hatte eigentlich angenommen, sobald ich nicht schreiben kann, kann ich auch nicht löschen ... hmmm ...

Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)
hast du schon probiert, das Recht "Löschen" zu entfernen, dafür "Unterodrner und Dateien löschen"(hab hier eng. "Delete subfolders and files") zu geben

nicht bearbeiten oder verschieben, ABER ich kann den Ordner löschen?!?
würde das irgendwie Sinn machen? hmmm die Frage ist auch, könnte man es so einrichten, dass der User bearbeiten & löschen kann?

sg Dirm
PS: bin erst morgen wieder im Büro, falls du dich wunderst wieso ich nichts selber probiere
Bitte warten ..
Mitglied: BionicWave
12.11.2012 um 15:00 Uhr
Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)

Ich Dämel: soll natürlich heissen "Vollzugriff", nicht "Schreiben".


>hast du schon probiert, das Recht "Löschen" zu entfernen, dafür "Unterodrner und Dateien löschen"(hab hier eng. "Delete >subfolders and files") zu geben

Das war mein erster Ansatz, klingt ja auch vollkommen logisch.
Habe nur "Lesen" auf "nur diesen Ordner" und "Vollzugriff" auf "Nur Unterordner". Funkt aber nicht.
Effekt dabei ist: Kein Bearbeiten im Unterordner möglich.
Sobald ich das Recht "Lesen" auf "Nur diesen Ordner" wegnehme, kann ich im Unterordner löschen und erstellen wie ich will.
Nebeneffekt ist: Ich kann den Hauptordner jetzt löschen.
Bitte warten ..
Mitglied: Dirmhirn
12.11.2012 um 16:43 Uhr
Hi!

Habe nur "Lesen" auf "nur diesen Ordner" und "Vollzugriff" auf "Nur Unterordner". Funkt aber nicht.
na, geh auf erweitert und editier dort die Rechte - eh dort wo du Nur Unterordner, Dieser Ordner und Unterordner, ... einstellen kannst.
dort kannst du die Rechte ja auch detailierter vergeben. da kannst statt "Löschen" eben "Nur Unterodrner und Dateien löschen" (order so irgendwie muss auf deutsch heißen) wählen.

bei der Rechte übersicht steht dann nicht mehr Lesen oder schreiben sondern "Spezial"

sg Dirm
Bitte warten ..
Mitglied: BionicWave
13.11.2012 um 17:10 Uhr
>na, geh auf erweitert und editier dort die Rechte - eh dort wo du Nur Unterordner,
>Dieser Ordner und Unterordner, ... einstellen kannst.

Da arbeite ich doch schon die ganze Zeit

Aber hab schon verstanden. Man weiss ja nie

Also, wenn ich "Nur dieser Ordner" nehme und die Gruppe-Daten einmal mit speziellen Rechten ausstatte, dann bekomme ich es so hin (also Ordner selbst kann nicht gelöscht/geändert werden, Unterordner und Dateien können erstellt werden).

Allerdings gilt das dann nur für die nächste Ebene. Darunter hat man dann wieder nur Leserechte.

Ich hatte das nicht erwähnt, aber ich wollte das man ab diesem Ordner für alle Unter- und Unter-Unter-Ordner Vollzugriff erhält.
Ich wollte ausserdem ein Deny umgehen.

Das scheint mit einer Kombination aus
"Gruppe-Daten" -> vollzugriff auf Unterordner
"Gruppe-Daten -> spezielle Berchtigungen (ohne Löschen) auf nur diesen Ordner
zu funktionieren ohne das ich ein Deny benötige.

Die möglichen Kombinationen von Rechten und Containern auf den diese Rechte angewendet werden sind halt manchmal etwas verwirrend.
Beispiel: "Nur auf diesen Ordner" wende ich "Erstellen von Unterordnern" an.
In diesem Fall kann man einen Ordner erstellen, allerdings werden nur die Rechte weitergegeben die bereits vererbt wurden, oder die sich auf "Unterordner" beziehen.
Deswegen muss ich die Gruppe-Daten ein zweites mal hinzufügen, womit ich dann den Vollzugriff auf die Unterordner vererbe.

Das ganze schien also nur ein Fehler zu sein. Ist aber in wirklichkeit eine Verquickung von unterschiedlich vererbten Rechten aus 2 Ebenen von Ordnern gewesen.
Bitte warten ..
Mitglied: Dirmhirn
23.11.2012 um 17:50 Uhr
HI!

so jetzt habe ich das endlich selbst getestet:

G:\Auftrag - > grp-daten - lesen - "Nur dieser Ordner"
G:\Auftrag\Kunde - > grp-daten - lesen & schreiben ohne Löschen, dafür "Dateien und UNterordner löschen" -> Dieser Ordner, Unterordner und Dateien

G:\Auftrag\Kunde sollte so aussehen:
6fade1fbe4a8f9f755237eaa373d9099 - Klicke auf das Bild, um es zu vergrößern
oben Fehlt Fullacecess und unten Take ownership & write permissions - alle deaktiviert ...

so kann die Gruppe grp-daten in G:\Auftrag lesen (wenn ABE aktiviert, nur die Ordner auf die sie auch rechte hat)
und in G:\Auftrag\Kunde schreiben, löschen , was auch immer
ABER NICHT G:\Auftrag\Kunde

Unterordner können gelöscht, erstellt ... werden.

sg Dirm
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
E-Mail
Thunderbird Problem mit Ordner (IMAP)

Frage von MediaWrd zum Thema E-Mail ...

Batch & Shell
gelöst PowerShell Script ACL entfernen und setzen (7)

Frage von smackee zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...