Hatl

Hallo, Ich möchte mit cacls oder auch xcacls Berechtigungen auslesen und wieder setzten. Jetzt habe ich aber das Problem, dass es „Beschränkte Berechtigungen“ gibt. Wenn ich die Berechtigungen auslese, bekomme ich dann z.b. folgendes: Vordefiniert\Benutzer:(OI)(CI)R Vordefiniert\Benutzer: (CI)(Beschränkter Zugriff:) FILE_APPEND_DATA Vordefinier\Benutzer: (CI)(Beschränkter Zugriff: ) FILE_WRITE_DATA Was bedeute das jetzt? Aus der Hilfe erfahre ich folgendes: CI - Containervererbung. Der ACE-Eintrag wird von Verzeichnissen geerbt. OI - Objektvererbung. Der ACE-Eintrag wird von Dateien geerbt. IO - Nur vererben. Der ACE-Eintrag bezieht sich nicht auf die aktuelle Datei/das aktuelle Verzeichnis. Aber was hat FILE_APPEND_DATA oder FILE_WRITE_DATA zu bedeuten? Und da gibst ja noch viel mehr z.b. READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_EXECUTE FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES Wie setzt man solche Berchetigungen und was gibt es da alles, wo und wie kann ich das herausfinden? Ich versuche folgendes zu machen, ich möchte Berechtigungen auslesen, die merk ich mir dann in einer Datei und gegebenfalls werden sie per Script wieder genau auf das gemerkte gesetzt. Dazu muss ich aber die Berechtigungen wieder ganz genau so setzetn wie sie waren, um (vom Exolorer gesehen) den Hacken bei „Berechtigungen übergeordneter Objekte auf untergeordnete Objekte, sofern anwendbar, vererben“ nicht zu verlieren. Denn sonst funktioniert die Vererbung danach nicht mehr. Ein weiters Problem ist das ich z.b folgendes auslese: ERSTELLER-BESITZER:(OI)(CI)(IO)F Wenn ich mir diese Berechtigung im Explorer anschaue, ist da der nur der Hacken bei „spezielle Berechtigungen“ gesetzt. Setze ich jetzt mit cacls die Berechtigung auf F, da ich F ja auch ausgelesen habe ist das nicht mehr das selbes was es war, und somit ist die vererbung wieder dahin. Oder mein User (Domän-User) ist auf meinem Rechner lokaler Admin, und wenn ich ein Verzeichnis erstelle bin ich auch Ersteller-Besitzer. Wenn ich nun die Berechtigungen auslese, steht da nur domän\ich:f, schau ich mir das selbe im Explorer an ist dort wieder nur der Hacken bei „Spezielle Berechtigungen“ gesetzt. Setzet ich mit cacls die Berechtung auf f da ich nur f bei diesem User ausgelesen hab, ist das wider nicht das selbe. So das war jetzt leider ein etwas längerer Roman geworden, aber ich hoffe es kann mir jemand helfen, ich ich Blick da nicht mehr durch. Vielen Dank schon mal mfg Hatl

Das Problem, dass User auf eine Datei doppelt Berechtig sind liegt an der Vererbung. Bsp.: Auf das verzeichnis xyz haben User1 und User2 Berechtigungen. Die Berechtigung von User1 wird vom übergeorneten Ordner vererbt, die Berechtigung für user2 wird nicht von oben vererbt sondern ist zusätzlich auf diesen Ordner gesetzt. Wenn man jetzt die Berechtigung auf den Ordner xyz ür den User2 ändert und diese änderung mit dem Parameter /t auf alles darunter liegende durchzieht, wird das zwar richtig gemacht, jedoch wird diese Berechtigung nicht mehr vererbt, egal ob bei den Unterordnern und Dateien eingestellt ist das ise die Berechtigungen erben sollen oder nicht. D.h. wenn man jetzt im Explorer die Berechtigung des User2 auf den Ordner xyz ändert, ändert sich vom Explorer gesehen bei den darunterliegenden Ordner nichts, (wobei ich da noch nicht alles herausgefunden habe, denn manchmal werden die änderungen dann schon übernimmen, aber das kann ich im Moment nicht nachvollziehen, es macht den Eindruck als würde da dann die Berechtigung auf Unterordner irgendwie eine kombination der Berechtigung auf den darüber liegenden und den aktuellen Ordner sein.). Wenn ich mir die Berechtigungen mit cacls auslese, steht dan nder User2 mit 2 Brechtigungen da: Wenn ich das selbe mit dem User1 mache, funktioniert alles perfekt, es wird richtig vererbt und der User steht auch nie doppelt da. Hat jemand eine Idee ob ich das richtig nachvollzogen hat, und was das für einen Sinn hat??

Hallo, Den Fehler mit den doppelten Berechtigungen konnte ich noch icht finden, ich hab jetzt aber auch noch ein anderes Problem. Mein Computer auf den ich lokal arbeite heisst w1itnb3. Ich möchte jetzt von einem anderen Rechner aus dem Netzt den lokalen Administrator meines NB berechtigungen erteilen. D.h ich befinde mich jetzt am Rechner xyz und führe dort folgenden Befehl aus. cacls \\w1itnb3\c$\xxx /e /g w1itnb3\administrator:f Somit sollte doch der lokale User Administrator des w1itnb3 full control auf das Verzeichnis xxx am w1itnb3 bekommen. Jedoch wird folgende Fehlermeldung ausgegeben: Zuordnung von Kontennamen und Sicherheits-IDs wurde nicht durchgeführt. Was kann das bedeuten? Es ist doch alles nötige angegeben. Wenn ich anstatt w1itnb3\administrator nur administrator schreibe wird der Befehl zwar ausgeführt, es kommt kein Fehler, aber es wird dann natürlich der lokale admiistrator des Rechners hinzugefügt auf welchen ich den Befehl ausgeführt habe in dem fall der Admin vom xyz. Hat noch jemand einen Tip, wie ich lokelen usern und Gruppen von einem anderen Rechner aus Berechtigungen erteilen kann? Vielen Dank! mfg

Super danke, so funktioniert es!! Aber wo ist da die Logik? Warum darf man bei lokalen Gruppen die Rechnerbezeichnung nicht dazu schreiben und bei allen anderen schon? Ich hab jetzt mit calcs noch etwas herumprobiert und mir ist etwas Eigenartiges aufgefallen. Ich arbeite auf meinem Rechner mit dem User admin1, dieser User ist ein normaler domän User und auf meinem Rechner ist dieser ein lokaler Administrator. Wenn ich nun ein Test Verzeichnis anlege ist dieser User auch der Ersteller -Besitzer. Ich hab nun ein Testverzeichnis mit mehreren Unterverzeichnissen und Dateien angelegt. Hab darauf mit dem Explorer Berechtigungen vergeben, die Vererbung eingestellt usw. Nun hab ich diese Berechtigungen mit cacls bearbeitet, user hinzugefügt und user gelöscht. Danach hab ich die Berechtigungen wieder mit cacls ausgelesen und dabei ist mir aufgefallen das der User Admin1 bei manchen Dateien nun doppelt da steht. Ich hab dasselbe öfters probiert, kann jedoch nicht sagen woran es liegt, dass dieser user bei einer Datei öfters vorkommt. Die doppelte Berechtigung zieht sich in alle Unterverzeichnisse durch. d.h. ab einer bestimmten Verzeichnisebene ist dieser User plötzlich doppelt, egal ob die Berechtigungen laut Einstellung auf das darunter liegend vererbt werden sollen oder nicht. Auch wenn ich an der Berechtigung des admin1 überhaupt nicht s ändere kommt das manchmal vor. Die Berechtigung steht dann so da: domän\admin1:f domän\admin1:f oder so: domän\admin1:f domän\admin1:c Wie kann das sein? Ein User kann doch nur eine Berechtigungsart auf eine Datei haben. Wenn ich mir die Berechtigungen im Explorer anschaue sind sie "normal". Hat jemand eine Idee woran das liegt? Oder soll das so sein, aber wie ist das dann zu interpretieren?

Hallo, Ich versuche gerade auf meinem Win XP Rechner welcher in einer Windows-Domän läuft mit cacls bzw xcalcs berechtigungen zu setzten. Es funktioniert auch fast so wie ich es will, ich kann jedem Domän-User und jeder DomänGruppe Berechtigungen geben. Nur wen ich einer lokalen Gruppe Berechtigungen erteilen will bekomm ich folgenden Fehler: "Zuordnung von Kontenname und Sicherheitskennung wurde nicht durchgeführt" Ich verwende folgende Syntax: xcacls c:\xxx /e /g w1itnb3\Administratoren:f Selbes Problem tritt auf wenn ich der lokalen Gruppe "Benutzer" Rechte erteilen will. Auch mit cacls kommt der selbe Fehler. Kann mir jemad sagen woran das liegt? Kann man mit cacls keiner lokalen Gruppe Berechtigungen erteilen? Lokalen Usern kan ich ja auch Berechtigungen erteillen denn wenn ich z.B cacls c:\xxx /e /g w1itnb3\Administrator:f schreibe bekommt der lokale Admin full controll, aber warum geht das bei lokalen Gruppen nicht. Ich hofef es kann mir jemad weiterhelfen, veilen Dank schon mal. mfg Hatl