Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

Problem mit dem richtigen setzen von ACL-Rechten auf einem Ordner.

Mitglied: BionicWave

BionicWave (Level 1) - Jetzt verbinden

11.11.2012 um 00:27 Uhr, 3261 Aufrufe, 7 Kommentare

Hallo,

ich habe folgende Ordner

G:\Auftrag
G:\Auftrag\Kunde
G:\Auftrag\Intern

a) Den Ordner "Auftrag" und alle Unterordner von "Auftrag" (also nur "Kunde" und "Intern")soll die Benutzergruppe "grp-daten" NICHT ändern dürfen.

b) Auf alle Ordner und Dateien unterhalb der beiden Ordner "Kunde" und "Intern" sollen die Benutzer vollen Zugriff erhalten.
Das gilt sowohl für vorhandene, als auch für in Zukunft erstellte Dateien und Ordner gelten.

Ich habe die Vererbung von Rechten für jeden einzelnen dieser Ordner aufgehoben und verteile die Rechte je Ordner.

a) Ich habe ich der "grp-daten" das Recht "Lesen" mit "Nur diesen Ordner" auf den Pfad "G:\Auftrag\Kunde" gegeben.
b) Zusätzlich habe ich der Gruppe "grp-daten" das Recht "Vollzugriff" mit "Nur Unterordner und Dateien" auf den gleichen Pfad gegeben.

Leider funktionierte das aber so nicht. Solange das Recht "Lesen" auf "Nur diesen Ordner" gesetzt ist, kann ich keine Ordner oder Dateien erstellen.
Nehme ich das Recht "Lesen" weg und lasse der Gruppe den Vollzugriff auf "Nur Unterordner und Dateien", dann kann ich den Ordner zwar nicht umbenennen, ich kann den Ordner aber seltsamerweise löschen!?!


Wie muss ich vorgehen damit der Ordner selbst nicht gelöscht/verändert werden kann, aber man Vollzugriff auf die Unterordner und Dateien erhält?

Vielen Dank für Eure Hilfe.
Mitglied: Dirmhirn
11.11.2012 um 12:33 Uhr
HI!

G:\Auftrag - > grp-daten - lesen - ggf. "Nur dieser Ordner"
G:\Auftrag\Kunde - > grp-daten - lesen & schreiben
G:\Auftrag\Intern - > grp-daten - lesen & schreiben

das passt nicht?
für die Unterordner von Kunden und Intern musst natürlich vererben.

ahja und am Share selbst hat der User lses & schreib rechte?

sg Dirm
Bitte warten ..
Mitglied: BionicWave
12.11.2012, aktualisiert um 10:19 Uhr
So in etwa hab ich mir das auch Gedacht.
Es funktioniert leider so nicht.

Auf dem Share hat "Jeder"->"Vollzugriff".

Ich habe alle Berechtigungen entfernt und dann folgende Berchtigungen zu "G:\Auftrag" hinzugefügt:
- Administrator Vollzugriff
- grp-daten Lesen

Im Grunde hat die Vererbung aber keinen Sinn, da ich diese schon auf der nächster Ebene (G:\Auftrag\Kunde)
unterbrechen muss, da sonst die Vererbung auf die Unterordner von "Kunde" weiterwirken würde.
Das würde dann nur Leserechte bewirken.

Trotzdem habe ich testweise beides ausprobiert. Sowohl mit als auch ohne Vererbung gearbeitet.
Das Ergebnis ist immer das gleiche: Ich kann unterhalb von "Kunde" nichts machen (Keine Ordner anlegen oder verändern).

Ich habe es jetzt ans Laufen bekommen, allerdings werd ich aus dem Prinzip nicht ganz schlauh.
Egal: Folgende Rechte müssen gesetzt werden, damit ich das erreiche was ich möchte:

"G:\Auftrag"
- Administrator Vollzugriff
- System Vollzugriff
- Gruppe-Daten Lesen

"G:\Auftrag\Kunde"
- Administrator Vollzugriff Allow (geerbt)
- System Vollzugriff Allow (geerbt)
- Gruppe-Daten Lesen Allow (geerbt)
- Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)
- Gruppe-Daten Löschen Deny (Nur dieser Ordner) (nicht geerbt

Dies bewirkt, dass ich den Ordner "Kunde" nicht verändern/verschieben kann, aber eben auch nicht "löschen" kann.
Alles darunter ist frei verfügbar/veränderbar.

Warum die logische Lösung mit "Gruppe-Daten" und Vollzugrif auf "Nur Unterordner und Dateien" nicht funktioniert, weiss ich nicht.
Die logische Lösung funktioniert nur wenn ich sie auf "Diesen Ordner, Unterordner und Dateien" anwende.
Dann kann ich den Ordner "Kunde" nicht bearbeiten oder verschieben, ABER ich kann den Ordner löschen?!?
Bitte warten ..
Mitglied: Dirmhirn
12.11.2012 um 11:40 Uhr
HI!

Vererbung war eh für die Unterordner gemeint nicht Auftrag -> Kunden.

das mit dem Löschen muss ich auch probieren - vll geht das bei mir auch, hatte eigentlich angenommen, sobald ich nicht schreiben kann, kann ich auch nicht löschen ... hmmm ...

Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)
hast du schon probiert, das Recht "Löschen" zu entfernen, dafür "Unterodrner und Dateien löschen"(hab hier eng. "Delete subfolders and files") zu geben

nicht bearbeiten oder verschieben, ABER ich kann den Ordner löschen?!?
würde das irgendwie Sinn machen? hmmm die Frage ist auch, könnte man es so einrichten, dass der User bearbeiten & löschen kann?

sg Dirm
PS: bin erst morgen wieder im Büro, falls du dich wunderst wieso ich nichts selber probiere
Bitte warten ..
Mitglied: BionicWave
12.11.2012 um 15:00 Uhr
Gruppe-Daten Schreiben Allow (Dieser Ordner und Unterordner) (nicht geerbt)

Ich Dämel: soll natürlich heissen "Vollzugriff", nicht "Schreiben".


>hast du schon probiert, das Recht "Löschen" zu entfernen, dafür "Unterodrner und Dateien löschen"(hab hier eng. "Delete >subfolders and files") zu geben

Das war mein erster Ansatz, klingt ja auch vollkommen logisch.
Habe nur "Lesen" auf "nur diesen Ordner" und "Vollzugriff" auf "Nur Unterordner". Funkt aber nicht.
Effekt dabei ist: Kein Bearbeiten im Unterordner möglich.
Sobald ich das Recht "Lesen" auf "Nur diesen Ordner" wegnehme, kann ich im Unterordner löschen und erstellen wie ich will.
Nebeneffekt ist: Ich kann den Hauptordner jetzt löschen.
Bitte warten ..
Mitglied: Dirmhirn
12.11.2012 um 16:43 Uhr
Hi!

Habe nur "Lesen" auf "nur diesen Ordner" und "Vollzugriff" auf "Nur Unterordner". Funkt aber nicht.
na, geh auf erweitert und editier dort die Rechte - eh dort wo du Nur Unterordner, Dieser Ordner und Unterordner, ... einstellen kannst.
dort kannst du die Rechte ja auch detailierter vergeben. da kannst statt "Löschen" eben "Nur Unterodrner und Dateien löschen" (order so irgendwie muss auf deutsch heißen) wählen.

bei der Rechte übersicht steht dann nicht mehr Lesen oder schreiben sondern "Spezial"

sg Dirm
Bitte warten ..
Mitglied: BionicWave
13.11.2012 um 17:10 Uhr
>na, geh auf erweitert und editier dort die Rechte - eh dort wo du Nur Unterordner,
>Dieser Ordner und Unterordner, ... einstellen kannst.

Da arbeite ich doch schon die ganze Zeit

Aber hab schon verstanden. Man weiss ja nie

Also, wenn ich "Nur dieser Ordner" nehme und die Gruppe-Daten einmal mit speziellen Rechten ausstatte, dann bekomme ich es so hin (also Ordner selbst kann nicht gelöscht/geändert werden, Unterordner und Dateien können erstellt werden).

Allerdings gilt das dann nur für die nächste Ebene. Darunter hat man dann wieder nur Leserechte.

Ich hatte das nicht erwähnt, aber ich wollte das man ab diesem Ordner für alle Unter- und Unter-Unter-Ordner Vollzugriff erhält.
Ich wollte ausserdem ein Deny umgehen.

Das scheint mit einer Kombination aus
"Gruppe-Daten" -> vollzugriff auf Unterordner
"Gruppe-Daten -> spezielle Berchtigungen (ohne Löschen) auf nur diesen Ordner
zu funktionieren ohne das ich ein Deny benötige.

Die möglichen Kombinationen von Rechten und Containern auf den diese Rechte angewendet werden sind halt manchmal etwas verwirrend.
Beispiel: "Nur auf diesen Ordner" wende ich "Erstellen von Unterordnern" an.
In diesem Fall kann man einen Ordner erstellen, allerdings werden nur die Rechte weitergegeben die bereits vererbt wurden, oder die sich auf "Unterordner" beziehen.
Deswegen muss ich die Gruppe-Daten ein zweites mal hinzufügen, womit ich dann den Vollzugriff auf die Unterordner vererbe.

Das ganze schien also nur ein Fehler zu sein. Ist aber in wirklichkeit eine Verquickung von unterschiedlich vererbten Rechten aus 2 Ebenen von Ordnern gewesen.
Bitte warten ..
Mitglied: Dirmhirn
23.11.2012 um 17:50 Uhr
HI!

so jetzt habe ich das endlich selbst getestet:

G:\Auftrag - > grp-daten - lesen - "Nur dieser Ordner"
G:\Auftrag\Kunde - > grp-daten - lesen & schreiben ohne Löschen, dafür "Dateien und UNterordner löschen" -> Dieser Ordner, Unterordner und Dateien

G:\Auftrag\Kunde sollte so aussehen:
6fade1fbe4a8f9f755237eaa373d9099 - Klicke auf das Bild, um es zu vergrößern
oben Fehlt Fullacecess und unten Take ownership & write permissions - alle deaktiviert ...

so kann die Gruppe grp-daten in G:\Auftrag lesen (wenn ABE aktiviert, nur die Ordner auf die sie auch rechte hat)
und in G:\Auftrag\Kunde schreiben, löschen , was auch immer
ABER NICHT G:\Auftrag\Kunde

Unterordner können gelöscht, erstellt ... werden.

sg Dirm
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
PowerShell Script ACL entfernen und setzen
gelöst Frage von smackeeBatch & Shell7 Kommentare

Hallo zusammen Ich brauche eure Hilfe bei meinem PowerShell Scriptchen. Ich möchte gerne einen Ordner (C:\Test) nach meinem Wunsch ...

Exchange Server
SPF Record setzen, aber richtig
Frage von PizzaPepperoniExchange Server4 Kommentare

Hallo. Ich möchte gerne einen SPF Record setzen. Die Maildomäne liegt bei 1und1. Der MX Record zeigt auf die ...

Batch & Shell
Powershell - über ACL einen Benutzer für einen Ordner herausfinden und Ordner löschen
gelöst Frage von TheMaDimonBatch & Shell2 Kommentare

Hallo Administrator-Community. Seit Februar mache ich meine Ausbildung zum Anwendungsentwickler und soll mich jetzt in Powershell einarbeiten. Dazu bekam ...

LAN, WAN, Wireless
Netzwerkinfrastruktur wächst, richtige weichen setzen
Frage von fabio84LAN, WAN, Wireless2 Kommentare

Hallo Admins, es geht um einen Kunden der über die letzten Jahre stark gewachsen ist. Im Bereich der Switche ...

Neue Wissensbeiträge
CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 45 MinutenCPU, RAM, Mainboards1 Kommentar

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 14 StundenRouter & Routing3 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 21 StundenDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 1 TagMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör11 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...