Microsoft MVPs inside

MCSEboard.de – IT Pro Forum zu Windows Server 2008 R2 / 2008 / 2003 & Windows 7 / Vista / XP
Zurück   MCSEboard.de MCSE Forum > Windows Server Forum & IT Pro Forum > Windows Forum — Server & Backoffice > Active Directory Forum
Seite neu laden AD - DACL Syntax bei ICACLS /save
  SSL
Registrieren Hilfe Regeln Benutzerliste Suchen Heutige Beiträge Alle Foren als gelesen markieren

Active Directory Forum


Alles zum Thema Active Directory — Q & A zu Active Directory Architektur, Konfiguration, Troubleshooting

Antwort
     
Themen-Optionen
Alt 18.08.2011, 12:38   #1
Junior Member
 
Offline
Registriert seit: 06-2003
Ort: Berlin
Beiträge: 114
AD - DACL Syntax bei ICACLS /save
Hallo,

hat jemand einen Link parat, der die Syntax der via "icacls /save" exportieren DACLs erklärt?
Ich kann dazu im Netz nichts finden.

Jeder Zeile beinhaltet ja in Klammern 6 durch Semikolon getrennte Parameter. Beispiel:
Code:
(A;;CCSWLORC;;;S-1-5-21-1761227572-3249661392-4128413550-1315)
(A;CI;0x1200a9;;;S-1-5-21-1761227572-3249661392-4128413550-1159)
Das der letzte Eintrag die SID ist, ist mir klar. Was genau sind die anderen 5 Spalten?

Hintergrund:
Ich füge per icacls zu einem bestehenden Ordner eine Sicherheitsgruppe hinzu, die den Mitgliedern das Anzeigen und Durchsuchen des Ordners gestattet:
Code:
icacls "\\server\freigabe\ordner" /grant "DL_Group":(RD,RA,REA,RC)
Problem: Ich sehe zwar in den Sicherheitseinstellungen, dass die gewünschten Rechte hinzugefügt wurden, aber leider ohne die gewünschte Auswirkung (Ordner ist weiterhin nicht sichtbar). Wenn ich allerdings die Sicherheitseinstellungen öffne und wieder mit OK schließe, wird der Ordner plötzlich angezeigt.
Lese ich die DACLS des so modifizierten Ordners aus, tauchen dort plötzlich zwei zusätzliche Zeilen auf, die vorher nicht da waren. Eine beinhaltet sogar eine Gruppe, die auf den Ordner keinen Zugriff haben sollte, und in den Sicherheitseinstellungen auch nicht angezeigt wird!

Signatur
MCSE, MCSA-M
Done: 70-270, 70-290, 70-291, 70-284, 70-285, 70-293, 70-294
InWork: 70-298/299, LPI 101/102

    Mit Zitat antworten
Alt 18.08.2011, 12:55   #2
Junior Member
 
Offline
Registriert seit: 06-2003
Ort: Berlin
Beiträge: 114
Nachsatz:
Die neue "heimliche" Gruppe muss noch eine Art "Karteileiche" in den ACLs sein (die hatte früher mal Rechte) und ist nicht für den beobachteten Effekt verantwortlich. Warum die nicht angezeigt wird ist zwar merkwürdig, aber im Moment erstmal egal. Bei neu erzeugten Ordnern erscheint diese nicht mehr...

Was ich aber gemerkt habe, ist eine Änderung bei der per icacls gesetzten Gruppe:
Der oben genannte Befehl erzeugt diesen DACL Eintrag:
Code:
(A;;CCSWLORC;;;S-1-5-21-1761227572-3249661392-4128413550-1315)
Wenn ich die Sicherheitseinstellungen öffne und bestätige wird daraus:
Code:
(A;;FR;;;S-1-5-21-1761227572-3249661392-4128413550-1315)
Und damit bin ich wieder bei der Ursprungsfrage, was dieses "FR" (und die anderen Werte) bedeuten, damit ich den icacls Befehl entsprechend korrigieren kann.

Danke!

Signatur
MCSE, MCSA-M
Done: 70-270, 70-290, 70-291, 70-284, 70-285, 70-293, 70-294
InWork: 70-298/299, LPI 101/102

    Mit Zitat antworten
Antwort


Themen-Optionen


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Frage zu icacls.exe lionheart Windows Forum — Scripting 6 18.11.2010 10:43
icacls.exe. befehle evy Windows Forum — Allgemein 15 08.07.2010 17:17
2K8R2 - icacls coolbits Windows Server Forum 2 04.07.2010 15:13
W2k - Frage zu ICACLS Maxxine Windows Forum — Allgemein 5 12.03.2008 13:04
Datei + ACL (DACL) zu Backupzwecken kopieren Ultraschall Windows Forum — Allgemein 2 28.09.2006 09:12


Alle Zeitangaben in MEZ/CET. Es ist jetzt 05:06 Uhr. Seite generiert in 0,027 Sekunden.
Alle Foren als gelesen markieren |

- Unsere Partner -
Kontakt - MCSEboard.de - Nach oben - Impressum

Copyright © 2000 – 2012 MCSEboard.de

Sprung zum Seitenanfang