14634
Goto Top

Mit Setacl.exe Ordnerberechtigung ändern

Hallo ich habe folgendes problem.

Ich habe einen "in Use" und einen "Backup" Ordner.

wenn ich den Ordner "A" von "in Use" auf "Backup" verschiebe, will ich ihm später andere Ordnerberechtigung zuteilen.

Was ich so gelesen habe ist es ideal mit setacl.exe zu arbeiten, leider finde ich die Syntax bisschen kompliziert und blicke da nicht ganz durch...

so viel habe ich schon mal:

setacl.exe -on "d:\Backup\A\" -ot file -actn ace /Ordner Pfad
-actn clear -clr "dacl,sacl"
/löscht alle Gruppen die auf den Ordner berechtigt sind ?!
-ace "n:administrators;p:full" ///gibt der Gruppe Administrator vollzugriff


was haltet ihr davon, das habe ich jetzt aus mehreren Scripten zusammenkopiert.

Würde das so klappen?

Content-Key: 153464

Url: https://administrator.de/contentid/153464

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: bastla
bastla 20.10.2010 um 15:16:09 Uhr
Goto Top
Hallo Gl05e!

Je nachdem, was Du genau vorhast, ist "SetACL" ev ein ziemlich schweres Geschütz ...

Ein
echo j|cacls "d:\Backup\A" /G Administratoren:F /T
sollte für Dein Beispiel (und Dein nicht genanntes BS) schon genügen.

Grüße
bastla
Mitglied: 14634
14634 20.10.2010 um 15:37:48 Uhr
Goto Top
HAllo, wenn ich es mit deinem Script ausführe, kommt:

Die Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne konnte nicht hergestellt werden.

kannst du mir evt auf die schnelle auch einen befehl sagen der wo das vererben nach oben verhindert?

Danke face-smile
Mitglied: Biber
Biber 20.10.2010 um 15:52:08 Uhr
Goto Top
Moin Gl05e,

Vor einer guten halben Stunde hattest du nur
Ich habe einen "in Use" und einen "Backup" Ordner.

Jetzt kommen häppchenweise Klamotten wie...
Zitat von @14634:
HAllo, wenn ich es mit deinem Script ausführe, kommt:

Die Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne konnte nicht hergestellt werden.
kannst du mir evt auf die schnelle auch einen befehl sagen der wo das vererben nach oben verhindert?
Magst du bastla und uns anderen nicht doch mitteilen, wie die Rechnerumgebung und das Betriebssystem heißen,
die wo zielführende Antworten verhindern?

Grüße
Biber
Mitglied: 14634
14634 20.10.2010 um 16:15:17 Uhr
Goto Top
sorry das ich nur so stichweiße schreib, so jetzt der kpl. Sachverhalt face-smile


Ich habe einen Ordner mit den namen Oktober da haben mehrere leute zugriff drauf, einige nur lesen einige auch schreiben.

So am 1.nov wird der Ordner in einen Backup Ordner verschoben da dieser Monat nicht mehr gebraucht wird.

Wenn der Ordner in Backup verschoben wird, will ich ein Script ausführen was bewirkt das alle Gruppen rausgenommen werden, und nur eine Gruppe mit lesen rechten automatisch dazugefügt wird.
Das ist soweit kein problem.

problem ist jetzt nur das es in diesem Oktober Ordner einen Unterordner gibt der Chef heißt, auf diesen Ordner soll auch nur der Chef zugreifen und die anderen Mitarbeiter nicht.

Somit müsste ich irgendwie die vererbung nach oben per Script deaktivieren, alle Gruppen da drin löschen und nur die Gruppe Chefs dort einfügen.

OS Client: XP
OS Server: 2003
auf ca. 20 Rechner soll das ding laufen.
Mitglied: bastla
bastla 20.10.2010 um 17:43:16 Uhr
Goto Top
Hallo Gl05e!

"Vererbung nach oben" hört sich spannend an ... face-wink
Du kannst ja die Berechtigungen zunächst für den Ordner "Oktober" und dann zusätzlich für "Oktober\Chef" setzen (wobei der oben angeführte Befehl sämtliche vorhandenen Berechtigungen entfernt, die Vererbung unterbricht und nur die angegebene(n) Gruppe(n) einträgt) ...
Hast Du versucht, die Gruppe inkl Domäne anzugeben, also etwa:
echo j|cacls "d:\Backup\A" /G DOMÄNE\Gruppe:R /T
Grüße
bastla
Mitglied: 14634
14634 21.10.2010 um 07:30:59 Uhr
Goto Top
Hi,

also ich habe es jetzt so:


setacl.exe -on "d:\Test\A" -ot file -actn ace -actn clear -clr "dacl,sacl" -ace "n:test_group;p:read_ex" -ace "n:administrators;p:full"

setacl.exe -on "d:\Test\A\B" -ot file -actn ace -actn clear -clr "dacl,sacl" -ace "n:test_group-pl;p:read"

er nimmt den Ordner A ballert alle Berechtigungen raus und setzt nur die ein die ich ihm sag, in diesem fall Test_group sowie administrator

im Ordner B sollte er jetzt nur test_group-pl haben, hat er aber nicht da er noch zusätzlich test_group sowie administrator drin hat, !! das ist mein problem.

mit deinem Befehl echo j|cacls "d:\Backup\A" /G DOMÄNE\Gruppe:R /T gehts ohne probleme face-smile

wollte es aber in setact machen da setact eine saubere Fehlermeldung rausspuckt.
Oder ist hier cacls wirklich besser für mich geeignet?
Mitglied: bastla
bastla 21.10.2010 um 07:44:52 Uhr
Goto Top
Hallo Gl05e!

Ungetestet etwa so:
setacl.exe -on "d:\Test\A\B" -ot file -actn setprot -op "dacl:p_nc;dacl:nc" -actn ace -actn clear -clr "dacl,sacl" -ace "n:test_group-pl;p:read"
Oder ist hier cacls wirklich besser für mich geeignet?
Diese Entscheidung liegt bei Dir ...

Du könntest aber auf jeden Fall (wenn auch nicht automatisiert) mit "AccessEnum" die Berechtigungen prüfen, protokollieren und auch mit dem vorigen Stand vergleichen ...

Grüße
bastla
Mitglied: 14634
14634 21.10.2010 um 08:04:42 Uhr
Goto Top
danke bastla für deine hilfe.


hm habe jetzt bisschen mit cacls gespielt und muss sagen daß das wessentlich einfacher ist wie setacl face-confused

ich glaube ich schaue mir mal beide versionen an und entscheide dann face-smile

ich habe mal gegoogle wieso du das j| gesetzt hast, habe leider nichts gefunden...
Werden dadurch die Gruppen gelöscht??
Mitglied: bastla
bastla 21.10.2010 um 09:31:29 Uhr
Goto Top
Hallo Gl05e!
wieso du das j| gesetzt hast
Wenn Du schon beim Spielen bist, versuch es einfach mal nur mit
cacls "d:\Backup\A" /G DOMÄNE\Gruppe:R /T
- dann sollte es klar werden, wozu dem Befehl noch ein "j" mit auf den Weg gegeben wird ... face-wink

Grüße
bastla