Rechteproblem - XCacls.vbs - Deny Delete führt zu "Zugriff verweigert"

[phoenixcp]

Hallo Freunde

Ich weiß, ich habe mich in letzter Zeit hier ein wenig rar gemacht, aber das ist leider projektbedingt bei mir. Nachdem ich mich die letzten 2 Tage mit einem komischen Rechteproblem rumgeschlagen habe, bin ich mit meinem Latein am Ende und befrage euch:

Ich lege im Netz einen Ordner an und versehe den anhand Konzept mit Berechtigungen. Dazu zählt:
- Vollzugriff für Administratoren
- Ownership für lokale Administratoren auf dem Server
- Deny Delete für Everyone

Alle setze ich über XCACLS.vbs. Allerdings trat dabei ein komisches Phänomen auf:
Wenn ich über die Kommandozeile

Code:

cscript xcacls.vbs C:\Temp\Rechtetest /E /D Everyone:A /Spec A

für Everyone das Deny Delete auf diesen Folder setzen will, klappt das auch sauber und ohne Fehlermeldung. Nur zu meinem Erstaunen erhalte ich trotz der Aussage das lokale Administratoren Vollzugriff haben beim Zugriff auf diesen Ordner den Fehler "Zugriff verweigert". Ich habe das ganze soweit eroiert, das ich sagen kann, das das genau dann passiert, wenn ich das Deny Delete setze.

Die Berechtigungen auf diesen Ordner sehen so aus:

Code:

Microsoft (R) Windows Script Host, Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.

Starting XCACLS.VBS (Version: 5.2) Script at 9.10.2007 09:13:31

Startup directory:
"C:\Programme\XCACLS"

Arguments Used:
	Filename = "C:\temp\Rechtetest"



**************************************************************************
Directory: C:\temp\Rechtetest

Permissions:
Type     Username                Permissions           Inheritance           

Denied   \Jeder                  Special (EA)          This Folder Only      
Allowed  VORDEFINIERT\Administra Full Control          This Folder, Subfolde 
Allowed  NT-AUTORITÄT\SYSTEM     Full Control          This Folder, Subfolde 
Allowed  VI\carstenp             Full Control          This Folder Only      
Allowed  \ERSTELLER-BESITZER     Special (Unknown)     Subfolders and Files  
Allowed  VORDEFINIERT\Benutzer   Read and Execute      This Folder, Subfolde 
Allowed  VORDEFINIERT\Benutzer   Advanced (Create Fold This Folder and Subfo 
Allowed  VORDEFINIERT\Benutzer   Advanced (Create File This Folder and Subfo 

No Auditing set

Owner: VORDEFINIERT\Administratoren
**************************************************************************


Operation Complete
Elapsed Time: 18,49609 seconds.

Ending Script at 9.10.2007 09:13:50

Jemand ne schlaue Idee woran das liegen kann? Ich stocher hier echt im leeren....


Danke im Vorraus...

[phoenixcp]

Update:
Wenn ich dasselbe per icacls mit der Kommandozeile

Code:

icacls.exe C:\temp\Rechtetest /deny Jeder:D

durchführe, bekomme ich das selbe Problem...

Ideen? Ansätze? Ratschläge?

[phoenixcp]

Kurzes Update am Rande:

Wir haben zu diesem Problem mittlerweile einen Case bei MS aufgemacht. Dabei wurde uns mitgeteilt, das xcacls.vbs ein unsupported Tool ist, und man aufgrund dessen versucht, einen Weg mit icacls.exe aus dem SP2 für W2k3 zu finden.

Da icacls.exe leider keine Rechtevererbung ausschalten kann, wird das ganze wohl auf eine Mischlösung zwischen icacls.exe und xcacls.vbs hinauslaufen.

Gerade bekam ich eine Statusmail zu meinem Problem, in der mir mitgeteilt wurde, das der MS-Engineer das selbe Problem auch beim Einsatz von icacls.exe nachvollziehen kann. Man wird versuchen eine neuer Version von icacls.exe aus Redmond zu erhalten und das Problem damit weiter zu analysieren.

Schaun wir mal auf was das ganze hinausläuft. Ob ich da wohl grade meinen ersten MS-Bug gefunden habe? Wir harren der Dinge die da kommen mögen.

[tacher]

Habs kurz durchgetestet und kann sagen, dass es wirklich stimmt.

Ich hab aber rausgefunden wie man es in der Theorie löschen kann.

Es gibt zwei ACE die es zu setzen Gilt.

DELETE
und
DELETE SUBFOLDERS AND FILES

Ich hab bis jetzt leider kein Tool gefunden, welches die beiden Settings unterscheidet. selbst subinacl kennt nur DELETE. Subinacl setzt Delete Subfolders and Files erst auf Deny wenn man wirklich einen Deny mit Fullcontrol macht. Senbst "CRPXEWD" zu denyen bringt nix, dann ist weiterhin alles bis auf "fullcontrol" und "delete subfolders and files" markiert

Ich hab rausgefunden, dass nur das setzen BEIDER Settings den gewünschten Effekt bringt, wenn man nur eine alleine setzt kann der Admin weiterhin löschen. Ich vermute das passiert weil der Admin ja weiterhin eins der beiden Delete recht hat und nur den Deny auf das andere hat. Sprich er versucht mit Hilfe beider Rechte den Delete durchzuführen, wenn eins gelingt wird das File gelöscht.

Ich nehme an die beiden Flags

FILE_DELETE_CHILD-0x40 und DELETE-0x10000 müssten gesetzt sein

Binär

File Delete Child: 0100 0000

Delette: 1 0000 0000 0000 0000 0000

[phoenixcp]

Ok, da es grade wieder mal ein Thema um xcacls.vbs gab, wo ich auch hierauf verwiesen habe, möchte ich das Thema trotz fast einem Jahr "rumliegen" nochmal anschneiden und endgültig abschließen.

Problem ist oben dargestellt. Nach längerer Bearbeitungszeit durch den MS Support konnte festgestellt werden, das es sich um einen Bug in der Kommandozeilenhilfe von xcalcs.vbs handelte. Der korrekte Parameter für ein Deny Delete war somit nicht /D sondern /DE. Warum auch immer führe der Parameter /D zu dieser Situation, die dafür sorgte, das man beim Zugriff auf den Ordner ein "Access Denied" bekam.

Off-Topic:
So, und jetzt stell ich mich in die Ecke und schäm mich, weil ich selber kein Feedback auf das Thema gegeben habe, nachdem ich die "Lösung" von MS in der Hand hatte... Sorry Leute...