Zum Inhalt wechseln


Foto

NTFS Berechtigung Lesen-Schreiben-Anhängen aber nicht Löschen


  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1 Robert Gandhi

Robert Gandhi

    Newbie

  • 48 Beiträge

 

Geschrieben 13. April 2013 - 08:29

Hallo,

 

Ich stehe momentan vor einem Problem bei einem Kunden.

Ich soll eine Freigabe auf einem Windows 2008 R2 Server einrichten wo eine Gruppe folgende Berechtigungen benötigen.

Ordner und Dateien erstellen. Anhängen bzw. ändern von Dateien und Ordner umbenennen.

Sie dürfen aber nicht die Dateien bzw. die Ordner wieder löschen.

 

Ich hab schon einiges Getestet, nur leider komme ich nicht wirkliche auf einen grünen Zweig mit der Sache.

lt. den Info´s die ich im Internet gefunden sollte es ja gar nicht funktionieren.

Sofern ich der Gruppe Rechte zum ändern und anhängen bzw. umbenennen gebe können die auch löschen und wenn ich die nicht gebe können die zwar nix löschen aber dafür auch nix umbenennen oder anhängen.

 

Das Verweigern habe ich auch schon getestet nur funktioniert das nicht bei mir

Sobald der User eine Datei erstellt hat er ja Vollzugriff auf die Datei da er der Ersteller ist und kann diese dann auch wieder löschen.

 

lt. Kunde hat das mit einem Windows 2003 Server funktioniert.

Darum meine Frage. Kann man das überhaupt so einstellen ?

 

Bitte um Hilfe.

 

LG

Robert


Bearbeitet von Robert Gandhi, 13. April 2013 - 08:35.


#2 RobertWi

RobertWi

    Expert Member

  • 4.987 Beiträge

 

Geschrieben 13. April 2013 - 09:21

Moin,

 

in Windows hat der Owner per Design Vollzugriff. Im Windows-Berechtigungs-Konzept hat der Admin im Gegensatz zu Windows nicht alle Berechtigungen, aber er darf sich alle verschaffen. Hierzu übernimmt er den Besitz (das ist ein Recht) und kann dann alle Berechtigungen ändern und sich dann dort als Leseberechtigung eintragen.

 

Der Trick ist, dass man stattdessen in den Berechtigungen mit der Gruppe "Creator Owner" (de: Ersteller-Besitzer) arbeitet. Das ist hier beschrieben:

http://networkadmink...-explained.aspx


Tipp: Zwei Stunden Try&Error können 10 Minuten lesen im Technet sparen!


#3 Robert Gandhi

Robert Gandhi

    Newbie

  • 48 Beiträge

 

Geschrieben 13. April 2013 - 10:45

Servus,

 

Danke für die Info.

Nur leider habe ich beim Ersteller-Besitzer das gleiche Problem.

 

Lasse ich bei der Gruppe die Haken bei

"Unterordner und Dateien löschen"

"Löschen"

weg.

Angewendet habe ich das ganze immer auf "Diesen Ordner, Unterordner und Dateien."

 

So kann er zwar den Ordner oder Datei anlegen aber nicht mehr Umbenennen bzw. den Inhalt der Datei ändern.

Das was ich im Internet gelesen habe ist 

According to the research, the demand actually cannot be done with NTFS File system. If a user want to rename a folder, he/she should have the "Delete" NTFS permission on the folder or file. Removing delete permission from the user or group brings a limitation that the user will not be able to rename the folder. This is because of the reason that the "rename" operation is also included within the "Delete" permission, which is by design.

 

 

Also ist das ja irgendwie Kontraproduktiv zu dem was ich (Kunde) hier vorhabe.

Oder sehe ich wieder mal den Wald vor lauter Bäumen nicht.

 

LG

Robert

 

 



#4 iDiddi

iDiddi

    Board Veteran

  • 2.894 Beiträge

 

Geschrieben 13. April 2013 - 16:43

Dein Anliegen ist schon mindestens so alt wie das Board hier und auch schon oft diskutiert worden, wie bspw. hier:

http://www.mcseboard...berechtigungen/

Wenn man eine Datei umbenennen darf, dann kann man sie auch löschen.

lt. Kunde hat das mit einem Windows 2003 Server funktioniert.

Das kann nicht stimmen! Es sei denn, man hat sich mit einem Skript oder eigenem Programm/Dienst beholfen, das im Kontext eines dazu berechtigten Users ausgeführt wurde. Aufwändig, aber machbar:http://serverfault.c...-delete-in-ntfs

Bearbeitet von iDiddi, 13. April 2013 - 16:43.

Gruß iDiddi

Wer nicht mit der Zeit geht, der muß... mit der Zeit gehen.

Stromberg

#5 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 13. April 2013 - 17:42

Hallo,

 

ob das Gewünschte mit SetACL oder SetACL-Studio erreichbar?

 

http://helgeklein.com/

 

http://www.faq-o-mat...o-ist-verfgbar/

 

http://www.faq-o-mat...ten-mit-setacl/


Bearbeitet von lefg, 13. April 2013 - 17:51.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#6 Robert Gandhi

Robert Gandhi

    Newbie

  • 48 Beiträge

 

Geschrieben 14. April 2013 - 09:18

@iDiddi

Am alten Server war kein Script oder Dienst aktiv der das gemacht haben sollte.

Also bin ich doch nicht so deppat das ich es nicht einstellen kann. Wusste doch das es nicht funktioniert. Was versucht man(n) nicht alles um den Kunden zufrieden zustellen.

 

@lefg

Habe mir das Programm angesehen. Habe mich zwar nicht eingearbeitet aber es ändert leider an meiner Situation auch nichts.

Danke nochmals für den Link.

Lt. dem Zitat was ich oben schon gepostet habe

 

which is by design

 

Danke für die Infos.

 

Ich habe das jetzt so eingestellt (der Kunde wollte es jetzt so) das die User zwar einen neuen Ordner anlegen dürfen aber nicht löschen.

Also müssen Sie den neuen Ordner oder Dateien erst auf ihrem Desktop erstellen, richtig benennen und dann rüber kopieren.

Ich gehe mal davon aus das es nicht sehr lange dauern wird bis ich das wieder rückgängig machen werden.

 

LG

Robert

 



#7 dagee71

dagee71

    Newbie

  • 2 Beiträge

 

Geschrieben 18. Januar 2016 - 11:06

Naja, also wenn man es genau nimmt, dann ist die Regel hierfür ja auch logisch:
Ähnlich wie verschieben = kopieren & löschen ist

Umbenennen = verschieben (=kopieren & löschen) & umbenennen

also werden die Berechtigungen löschen benötigt.

 

Löschen wird ja genau deshalb verboten, damit ein Pfad erhalten bleibt.

wenn man z.B. nur den Besitzern löschen erlaubt ist zumindest die Verantwortung über das Entfernen der Daten festgeschrieben.