Berechtigungen mit setACL

[Netscape]

Hi,

ich möchte setACL Berechtigungen über ein Skript für mehrere Ordner setzen. Dieses Skript soll aber später von den Usern gestartet werden.

Das Skript (etwas gekürzt) sieht folgendermaßen aus:

Code:

@echo off

mkdir "%foldername%"

mkdir "%foldername%\TeamA"
mkdir "%foldername%\TeamA\Folder1"
mkdir "%foldername%\TeamA\Folder2"
mkdir "%foldername%\TeamA\Folder3"
mkdir "%foldername%\TeamA\Folder4"
mkdir "%foldername%\TeamA\Folder5"
mkdir "%foldername%\TeamA\Folder6"
mkdir "%foldername%\TeamA\Folder7"
mkdir "%foldername%\TeamA\Folder8"
mkdir "%foldername%\TeamA\Folder9"
mkdir "%foldername%\TeamA\Folder10"

mkdir "%foldername%\TeamB"
mkdir "%foldername%\TeamB\Folder1"
mkdir "%foldername%\TeamB\Folder2"
mkdir "%foldername%\TeamB\Folder3"
mkdir "%foldername%\TeamB\Folder4"

goto setacl_job

:setacl_job
	%setacl_bin% ^
	-on "%foldername%" -ot file ^
	-actn ace -ace "n:domain\it-team;p:read,write,change,write_dacl" -actn setprot -op "dacl:p_nc" -rec cont_obj -actn clear -clr dacl ^
	-actn ace -ace "n:domain\TeamA;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamB;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
	-actn rstchldrn -rst dacl


goto setacl_TeamA

:setacl_TeamA
	%setacl_bin% ^
	-on "%foldername%\TeamA" -ot file ^
	-actn ace -ace "n:domain\Administrator;p:full;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\it-team;p:full;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamA;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamB;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
	-actn setprot -op "dacl:p_nc" -rec cont_obj ^
	-actn clear -clr dacl ^
	-actn rstchldrn -rst dacl

goto setacl_TeamB

:setacl_TeamB
	%setacl_bin% ^
	-on "%foldername%\TeamB" -ot file ^
	-actn ace -ace "n:domain\Administrator;p:full;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\it-team;p:full;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamB;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamA;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
	-actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^
	-actn setprot -op "dacl:p_nc" -rec cont_obj ^
	-actn clear -clr dacl ^
	-actn rstchldrn -rst dacl


:exit
exit

Problem ist, wenn ich mit einem User, der Mitglied der Gruppe TeamA ist, das Skript starte, dann bekomm ich von setACL die Fehlermeldung:

"Writing SD to ... failed. Zugriff verweigert."

Mit dem Administrator funktioniert es ohne Probleme.

Krieg ich das auch ohne Adminrechte zum laufen?
Hat da jemand eine Idee?

[DLensing]

Hallo netscape,
sollen die Ordner lokal angelegt werden oder im Netzwerk?
Werden die Ordner durch den User angelegt und nur die Berechtigungen werden nicht gesetzt ?

Liebe Grüße
Daniel

[Netscape]

Die Ordner sollen auf einem Netzlaufwerk erstellt werden.

Die Ordner werden angelegt. Die Probleme treten erst beim setzen der Berechtigungen auf.

Ich sollte noch dazu sagen, dass das Share auf einem 2008 R2 Server liegt.

[DLensing]

Hallo,
Schau doch bitte einmal, ob der Anwender in den neu erstellten Ordnern überhaupt das Recht besitzt Einstellungen an der Sicherheit vorzunehmen.

Hört sich fast so an, als ob das nich gegeben ist.

Liebe Grüße
Daniel

[Netscape]

Hi,

also die Gruppen haben das Recht "Berechtigungen ändern".

[Netscape]

Also,

nachdem ich jetzt auch einer Gruppe Vollzugriff gegeben hatte und es immer noch nicht ging, habe ich mal die Freigabeberechtigungen geprüft.

Die Gruppe hat das Recht auf Lesen und Ändern. Nachdem ich der Gruppe Vollzugriff auf die Freigabeberechtigung gestattet hatte, funktioniert es jetzt.

Aber kann mir einer erlären wieso das so ist?

[NilsK]

Moin,

es war schon immer so, dass die Freigabeberechtigung "Ändern" nicht das Verwalten von Berechtigungen erlaubt.

Bisweilen setzt man das auch extra ein, um Anwender am Ändern von Berechtigungen über Freigaben zu hindern.

Gruß, Nils