Jump to content

NTFS Berechtigungen beim verschieben von Dateien auf gleichem Volume


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo beisammen,

 

das Verhalten der Vererbung von NTFS Berechtigungen beim Verschieben (nicht copy&paste) hat sich zwischen XP, Win7 und jetzt Win10 ja öfters geändert und ließ sich per Registry teils ja auch anpassen.

Mir ist bei Windows 10 aufgefallen, dass anscheinend immer die Berechtigungen des Zielordners vererbt werden, aber nur wenn derjenige der die Daten per Windows Explorer verschiebt auch der Besitzer ist.

 

Könnt ihr dieses Verhalten bestätigen?

Wie kann ich dieses Verhalten dahingehend ändern, dass unabhängig vom Besitzer der Daten immer die Berechtigungen vom Zielverzeichnis vererbt werden?

Link zu diesem Kommentar

Das wird nicht gehen - nur der Besitzer und Administratoren haben das Recht, Berechtigungen zu ändern. Und wenn beim Verschieben immer geerbt werden soll, müßte das auch beim "gewöhnlichen Benutzer" passieren. Du verstehst?

 

Das ist ja auch der technisch große Unterschied zwischen Verschieben auf dem gleichen Laufwerk und auf verschiedenen Laufwerken. Beim gleichen Laufwerk ist es hinterher die gleiche Datei wie vorher, sie hängt jetzt nur wo anders rum. Bei verschiedenen Laufwerken ist es eine neue Datei.

Link zu diesem Kommentar

Hier sollte es korrekt beschrieben sein:

 

https://support.microsoft.com/en-us/help/310316/how-permissions-are-handled-when-you-copy-and-move-files-and-folders

 

"MoveSecurityAttributes"  steuert das Kopierverhalten auf dem gleichen Volume. Da technisch der Move in ein Kopieren und Löschen gewandelt wird, erben die Dateien in jedem Fall die Rechte des Zielordners.

Link zu diesem Kommentar

Moin,

 

das Problem dabei ist, dass die Client-Implementierung sich hier nach Windows XP geändert hat, möglicherweise sogar mehrfach. Daher ist es schwer vorherzusagen, was nun wirklich passiert und wie man das in den Griff bekommt.

 

Ich bin mit einem Kunden gerade in einem Projekt, wo das eine Rolle spielt. Eine richtig schöne Lösung scheint es dafür nicht zu geben.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

das kann man so nicht beantworten, weil es von den konkreten Anforderungen abhängt. Mögliche Elemente zur Umsetzung umfassen organisatorische Vorgaben, wie du sie nennst, Reparaturskripte, eingeschränkte Berechtigungen, gezieltes Aufteilen von Datenspeichern, Umstieg auf andere Techniken (Sharepoint, DMS ...) ...

 

Gruß, Nils

Link zu diesem Kommentar

Ist  wirklich sehr  verworren:

 

http://www.active-directory-faq.de/2015/03/windows-7-geaendertes-verhalten-beim-verschieben/

 

Persönlich meine ich, dass niemand eine Funktion braucht, welche die Rechte beim Verschieben erhält.

Ich habe es gerade mal unter  Windows 7 probiert: Verschieben als Normal-User (maximal Recht "Ändern"): Rechte werden verschoben

Mit  Admin-Rechten: Rechte des Zielordners werden vererbt. Technisch nachvollziehbar, da die Rechte wohl vom Client gesetzt werden, aber wenig hilfreich.

 

Das erinnert mit sofort wieder an mein anderes Problem bei vererbten Rechten, das ich mit  Nils im Nachbar-Thread diskutiert  habe.... 

Link zu diesem Kommentar

Moin,

 

ja, das ist nachvollziehbar. Das Dateisystem selbst behält die Berechtigungen beim Verschieben auf demselben Volume bei, weil sich die Metadaten des Objekts nicht ändern.

Der Client kann dies beeinflussen, wenn der User die Rechte dazu hat (Berechtigungen ändern) - aber nur, wenn er eine Funktion dafür hat (mit Bordmitteln nur der Explorer, soweit ich weiß) und wenn das auch klappt (bei Windows 7 klappt das nicht immer, es gab mal einen Hotfix, der in aktuellen Installationen aber wohl nicht mehr funktioniert).

 

Gruß, Nils

Link zu diesem Kommentar

Also Anforderung ist, dass die User Dateien auf dem gleichen Volume in andere Unterordner verschieben können und dabei die Berechtigungen von dem Zielordner übernommen werden. Egal ob Besitzer der Datei (ist vielleicht auch gar nicht mehr im Unternehmen tätig) oder "nur" Schreib-Berechtigungen.

 

Momentan sehe ich keine andere Möglichkeit außer das die User die Dateien kopieren und am Quellort löschen, somit werden die Berechtigungen vom Zielordner übernommen. Den technischen Hintergrund wird und will keiner der User verstehen, auch wenn er für uns Admins klar ist ;)

Link zu diesem Kommentar

Moin,

 

ja, die Anforderung trifft man bisweilen an. Mein Stand ist, dass es da keine wirklich schöne Lösung gibt.

Der Client-Workaround (der je nach Windows-Version mal funktioniert, mal nicht) setzt voraus, dass die User Berechtigungen ändern dürfen. Ist das nicht gegeben, dann greift die Logik des Dateisystems (bzw. es bleibt dabei).

Es gibt wohl Leute, die regelmäßig Skripte abfeuern, um die Berechtigungen zurückzusetzen. Das ist aber keine schöne Lösung, weil sehr ressourcenintensiv und nicht zuverlässig.

 

Manchen Kunden reicht es in der Praxis auch, es so hinzunehmen, wie es ist, und in nötigen Fällen (die dort eher selten auftreten) manuell zu korrigieren.

 

Gruß, Nils

Link zu diesem Kommentar

Halten wir fest: Vererbbare Rechte wurden mit irgendeinem ServicePack unter NT 4.0 an das NTFS angehäckelt. NTFS kannte im ursprünglichen Design keiner vererbbaren Rechte. Die gewählte Lösung  ist eher eine Psdeudo-Vererbung, da die Rechte trotzdem auf jedem Objekt eingetragen werden. Damit musste man am NTFS nur wenig ändern. Es wird wirklich mal Zeit  für ein echtes neues  Dateisystem.  

Link zu diesem Kommentar

Moin,

 

Halten wir fest: Vererbbare Rechte wurden mit irgendeinem ServicePack unter NT 4.0 an das NTFS angehäckelt. NTFS kannte im ursprünglichen Design keiner vererbbaren Rechte. Die gewählte Lösung  ist eher eine Psdeudo-Vererbung, da die Rechte trotzdem auf jedem Objekt eingetragen werden.

 

ich kann es nicht belegen, aber ich meine, dass das nicht zutrifft. Soweit ich weiß, war das Berechtigungssystem inkl. Vererbung schon in der NTFS-Version 1 enthalten (kam mit NT 3.1, also der ersten Version), und tatsächlich werden die ACLs auch nicht pro Objekt gespeichert. sondern in einer Art verteilten Datenbankstruktur. Ich habe aber leider nicht genug Zeit, das nachzurecherchieren.

 

EDIT: Jetzt habe ich doch eine Quelle gefunden: http://www.pcguide.com/ref/hdd/file/ntfs/secInherit-c.html

Die Darstellung dort untermauert deine Aussage teilweise: Demnach hatte NTFS 1.1 (NT4; vermutlich auch 1.0, aber das steht da nicht) nur statische Vererbung (wurde nur beim Erzeugen einer Datei einmalig gesetzt), und dynamische Vererbung kam mit NTFS 2.0 (Windows 2000 bzw. NT SP4) dazu. In der Tat erinnere ich mich, dass das SP4 damals einiges änderte und dass man auf NT-Rechnern SP4 brauchte, wenn man auf Windows-2000-NTFS-Partitionen zugreifen wollte.

Allerdings ist das hier nur funktional beschrieben, die Datenstrukturen sind, meine ich mich zu erinnern, technisch nicht ganz so simpel, wie dort angedeutet wird. Wobei man aus dem Text durchaus rauslesen kann, dass die Berechtigungen eben nicht für jedes Objekt gespeichert sind, sondern bei jedem Zugriff geprüft werden müssen.

 

Ist aber am Ende auch egal. Ändert nämlich nichts am Problem. :D

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...