opendev

Interessant ist auch, dass MS das anscheinend mal "gefixt" (https://www.windowspro.de/andreas-kroschel/ntfs-zugriffsrechte-beim-kopieren-und-verschieben-vererben), jedoch diese Änderung anscheinend wieder zurückgenommen hat. :-(

Grüße

EDIT: Es gibt sogar einen etwas älteren Thread hier, der dies bemängelt. Eine Lösung gab es jedoch leider nicht:

vor 30 Minuten schrieb NorbertFe:

Häh? Wenn der User dort Dateien erzeugt oder hinkopiert, dann sind die Berechtigungen doch auch gesetzt. Also wo siehst du jetzt ein "RIsiko"?

Also, ich gehe da mal ein wenig genauer ins Detail:

Die Struktur beläuft sich anfangs auf den Abteilungsordner. Dort enthalten ist ua. vorgegeben ein Public-Ordner, auf dem jeder aus der Abteilung R/W-Berechtigung hat, jeder andere im Unternehmen RO. Man kann es sich sozusagen als schwarzes Brett/Aushang der Abteilung vorstellen. Nun gibt es außerdem noch einen Transfer-Ordner, auf dem alle schreibenden Zugriff haben. Es wurde von einem MA der Abteilung nun eine Datei von Public zu Transfer verschoben und die Rechte von Public sind geblieben.

Nun möchte ich natürlich ungern den Usern die Möglichkeit an die Hand geben, dieses Konzept der Berechtigungsstruktur über den Haufen zu schmeißen. Es kann aber auch natürlich sein, dass dich da nen Knoten im Hirn habe und die Änderung der Berechtigung an der falschen Stelle sehe?

Grüße

Sven

vor 7 Minuten schrieb NilsK:

Moin,

 

naja, aber irgendwie muss der User ja schreiben können, nicht?

 

Abgesehen davon, bewirkt der Regkey meinem Verständnis nach aber auch das Gegenteil von dem, was du suchst. Er sorgt dafür, dass die Originalberechtigungen der Datei erhalten bleiben, auch wenn du sie auf ein anderes Volume verschiebst ...

 

Gruß, Nils

Moin,

ja, gebe ich Dir schon recht, nur baut sich da das übliche ungute Gefühl auf, wenn man die Berechtigungsänderungen zulässt.

Grüße

Sven

vor 2 Stunden schrieb zahni:

Oder Du setzt passende GPOs:

https://support.microsoft.com/en-us/help/310316/how-permissions-are-handled-when-you-copy-and-move-files-and-folders

Ist eigentlich das was ich gesucht hatte. Jedoch macht mir diese Zeile etwas Bauchschmerzen "Make sure that the user account that is used to move the object has the Change Permissions permission set. If the permission is not set, grant the Change Permissions permission to the user account." Eigentlich wollte bzw. würde ich gern vermeiden jedem User diese Rechte zu erteilen. Verschiebungen zwischen manchen Ordnern können generell nämlich immer stattfinden, so denn der jeweilige User Schreibrechte hat. Change Permission finde ich dann nur etwas viel.

Grüße

vor 20 Minuten schrieb impressive-it:

Beim verschieben bleiben die NTFS-Rechte erhalten (innerhalb eines Volumes) . Kopier die Datei in den Ordner "Transfer_RW", dann erhält die Datei auch die Berechtigungen davon.

OK, also ist es, wie ich mir dachte, "works as intended". Gibt es abseits von Kopieren eine Möglichkeit dies zu umgehen? Also vielleicht die Berechtigungen automatisiert nachziehen lassen oder so?

Grüße

Moin Moin!

Ich habe folgende Situation:

Die Datei "file.txt" liegt im Ordner "Folder_Public_RO" und erbt die für alle gültigen Read-Only Berechtigungen "Public_RO" von "Folder_Public_RO". Nun wird die Datei in den Ordner "Folder_Transfer_RW" verschoben. Dieser beinhaltet vererbende für alle gültige Read/Write Berechtigungen "Transfer_RW". Dennoch behält die Datei "file.txt" die Berechtigung "Public_RO" von "Folder_Public_RO" und übernimmt nicht die Berechtigung "Transfer_RW" von "Folder_Transfer_RW". (Ich hoffe das war für alle verständlich)

Nun ist die Frage

a) Ist das wirklich so gewollt

b) kann ich das irgendwie verhindern?

Es war etwas suboptimal, als genau die og. Situation eingetreten ist und ich erstmal alle Berechtigungen geprüft habe, bis ich darüber gestolpert bin. Ist für das Daily-Business auch ein wenig hinderlich.

Ich danke für jeden Tipp/Support.

Grüße

Sven

@testuser Danke für die Stichworte. Ich werde mich damit mal erkundigen/schlau machen. 

@NilsK Nennen wir sie mal "geschulte Keyuser". Durchschnittsuser kriegen gar nichts, die gehen leer aus, gleich ob Aussendienst oder Schreibkraft.

Grüße

Praktikabler wäre eine Softwareverteilung auf jeden Fall und eigentlich auch ein entsprechender Wunsch von mir. Aber ich bin leider nicht der, der über die Finanzen entscheidet. Noch dazu ist ein sehr großer Teil der Mitarbeiter im reinen Außendienst unterwegs, teils hinter Kundenfirewalls, die eher auf Secrity by Obscurity setzen. Das tut natürlich noch ihr übriges, um mit dem Wunsch nach Verteilung nicht so positiv wie erhofft dazustehen.

Grüße

@NilsK Danke für den Tipp. Soetwas hatte ich befürchtet. Die Idee mit entsprechenden Accounts im AD hatte ich bereits direkt zu Beginn vorgeschlagen, wurde jedoch leider (mir unverständlicherweise) abgeschmettert. Mit den Zugangsadaten des regulären Accounts beim Zugriff auf das Share zuzugreifen wäre noch eine Alternative, aber aus irgendwelchen Gründen springen die Anmeldefenster immer in den Hintergrund, weswegen es für den Durchschnittsuser nicht unbedingt eine gute Lösung wäre.

Ich werde die Idee mit den Accounts im AD noch einmal ansprechen, hab ja nun wieder ein paar Argumente dafür. Danke Dir.

Grüße

vor 11 Minuten schrieb NilsK:

Moin,

 

eine Gruppe für diese Admin-Accounts?

 

Gruß, Nils

 

Ok, entweder habe ich mich falsch ausgedrückt oder ich hab da eine Wissenslücke, mit der ich nicht gerechnet habe. Lokale Accounts (lokal auf dem Laptop, Laptopname\Username) in eine Gruppe im AD? Oder ist mein Hirn irgendwo gestolpert und ich hab den Berg vor lauter Schotterpisten nicht gesehen?

Grüße

Moin zusammen!

Aktuell strukturiere ich ein vorhandenes, chaotisches NTFS-Berechtigungssystem nach Best Practice AGDLP. Nun sind ein Teil der Usersysteme in dem AD mit einem lokalen auf das System bezogenen Administrator-Account ausgestattet. Dieser benötigt lesenden Zugriff auf einen Shared Folder auf dem Fileserver, da dort Installationssourcen, die ggf. mit dem administrativen Account genutzt werden sollen, liegen.

Nun kam natürlich der erste Vorschlag, einfach lesende Rechte für Everyone zu geben. Da rollen sich mir aber sprichwörtlich die Fußnägel auf. 

Deshalb die Frage nun, ob jemand eine Idee hat, wie das am einfachsten umzusetzen ist? Bin für jeden Vorschlag offen. Sollten noch Informationen benötigt werden, reiche ich die gern nach.

Grüße