schroeder750 10 Geschrieben 15. August 2008 Melden Teilen Geschrieben 15. August 2008 Hallo zusammen, brauche bitte mal kurz jemanden, der mitdenkt ... Win2003 AD-Domäne, Fileserver Win2003. Habe letztens die gesamten Fileserver-Berechtigungs-Strukturen umgekrempelt, da es einen Wahnsinns-Wildwuchs gab, was die Berechtigungen anging. Habe jetzt alles sauber auf Gruppen berechtigt, die normalen Mitarbeiter haben maximal die Berechtigung "Ändern", d.h. eigentlich einen Vollzugriff mit der Einschränkung, daß sie an den Berechtigungen nichts mehr drehen können, da genau so der Wildwuchs entstanden ist...Da wurden einzelne User eingetragen, Admins ausgesperrt und und und ... Geht jetzt nicht mehr. Tscha, bis auf ein kleines Problem: Wenn ein Mitarbeiter, der über seine Gruppenberechtigungen auf ein Verzeichnis den "Ändern"-Zugriff hat, sich die Berechtigungen der jeweiligen Unterordner anzeigen lässt, kann er nur sehen, wer berechtigt ist, er kann aber nichts ändern. Soweit so gut. Legt dieser Mitarbeiter aber nun einen neuen Unterordner an, ist er hier automatisch direkt Besitzer und als solcher kann er Berechtigungen vergeben... ist natürlich am Ziel vorbei und unschön... Klar kann ich ein subinacl-Script erstellen, welches jede nacht über den server rennt und überall den Domänen-Admin als Besitzer einträgt, da kann das Kind aber schon in den Brunnen gefallen sein... hilft auch nicht wirklich weiter... Und bevor die Fragen kommen: die einzelnen Verzeichnisse wurden von mir insofern berechtigt, als das "Ersteller-Besitzer" rausgeschmissen wurde... Der hat also eigentlich keine Berechtigung ... Wo habe ich da gerade einen Knoten im Denkapparat ? Kann mir jemand sagen, wie ich es erreichen kann, daß die User selbst auf von ihnen erstellte Verzeichnisse keine berechtigung haben, Berechtigungen zu ändern ? Help :D Grüsse schroeder750 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. August 2008 Melden Teilen Geschrieben 15. August 2008 Ändere die Freigabeberechtigung auch auf "Ändern" ... Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 18. August 2008 Autor Melden Teilen Geschrieben 18. August 2008 Hy IThome, hauerha, da habe ich mich dermaßen an den NTFS-Berechtigungen festgefressen, daß ich die Hand vor Augen nicht mehr gesehen habe... Passt, habe es durchprobiert... ;-) Danke Dir vielmals!!! Obwohl ich schon leicht überrascht bin, daß da die Freigaben stärker ziehen als die NTFS-Berechtigungen. Bin schon ein wenig verdutzt...;) Grüsse schroeder750 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. August 2008 Melden Teilen Geschrieben 18. August 2008 Mach das gleiche mal, wenn der entsprechende Benutzer Administrator ist ... Dann wirkt diese Einschränkung nicht, Administratoren dürfen Berechtigungen trotzdem vergeben, obwohl sie es berechtigungstechnisch eigentlich nicht dürften ... Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 24. September 2008 Autor Melden Teilen Geschrieben 24. September 2008 Hallo zusammen, muss diesen älteren Beitrag von mir doch noch mal ans Licht zerren. Habe leider inzwischen wieder einige Fälle gehabt, bei denen es nicht so funktioniert hat, wie es funktionieren sollte... Die Freigaben haben wir schon vor längerer Zeit geändert, so daß von dieser Seite her jeder maximal den Zugriff "Ändern" hat, die NTFS-Berechtigungen sind für die User auch maximal auf "Ändern" gesetzt. Die normalen Mitarbeiter können also die Berechtigungen nicht ändern. Es tauchen jedoch immer wieder folgende Phänomene auf: 1) Wenn jemand irgendwelche Daten aus einem Verzeichnis A in ein Verzeichnis B kopiert, bleiben die Berechtigungen an den Dateien "kleben". Das heißt im worst case: Verzeichnis A ist nur für einen bestimmten Personenkreis berechtigt, andere dürfen nicht darauf zugreifen. Verzeichnis B ist für alle Mitarbeiter mit "Ändern" freigegeben und auch NTFS-mäßig berechtigt. Nun kopiert oder verschiebt jemand mit der entsprechenden Berechtigung Daten aus dem Verzeichnis A ins Verzeichnis B. Danach stellt man dann fest, daß die kopierten/verschobenen Daten im Verzeichnis B trotzdem nicht von den anderen lesbar sind, weil immer noch die Berechtigungen an den Dateien "kleben", die sie aus dem Verzeichnis A hatten... Sollten die Berechtigungen normalerweise nicht vom Verzeichnis B übernommen werden, wenn dort hereinkopiert wird ? Wir müssen da immer wieder administrativ nacharbeiten. 2) Jemand erstellt in einem Verzeichnis, auf das er Freigabemäßig und auch NTFS-mäßig nur mit "Ändern" berechtigt ist, eine Datei und wir müssen nachher feststellen, daß der Ersteller der Datei die volle Berechtigung hat, also dümmstenfalls auch die Berechtigungen dieser Datei selber verbiegen kann... Help wanted, was läuft hier verkehrt ? Danke schonmal im Voraus! Grüsse schroeder750 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 24. September 2008 Melden Teilen Geschrieben 24. September 2008 Wenn die Berechtigungen "mitwandern", dann ist nicht kopiert, sondern innerhalb eines Volumes verschoben worden. Dieses Verhalten ist voreingestellt, kann aber verändert werden How permissions are handled when you copy and move files and folders Die Einschränkung der Berechtigungsänderung trotz Besitztums gilt NUR dann, wenn auch über die Freigabe zugegriffen wird, nicht etwa via Terminaldienste auf das lokale Laufwerk. Bei den erstellten Dateien sind also die Buttons bei der Berechtigungsvergabe nicht ausgegraut ? Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 25. September 2008 Autor Melden Teilen Geschrieben 25. September 2008 Wow, bist immer direkt da, wenn man Dich braucht! Supergut, das werde ich mir mal genauer ansehen, könnte aber wirklich meine Lösung sein. Werde berichten und mein Dank wird Dir ewig nachschleichen !! Danke Dir !! Grüsse schroeder750 Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 1. Oktober 2008 Autor Melden Teilen Geschrieben 1. Oktober 2008 Kleiner Nachtrag: Habe den Registry-Key gesetzt und bisher (da ich es selber nicht testen konnte, keine Zeit momentan) keine solche Meldung mehr gehabt. Dürfte also die Lösung gewesen sein. Habe mich schon gefragt, warum ausgerechnet beim Verschieben innerhalb einer Partition die ACLs kleben bleiben, während sie beim Kopieren generell und beim Verschieben zwischen verschiedenen Partitionen vom parent folder, in den sie gelegt werden, übernommen werden... Die Antwort ist ja eigentlich trivial: Beim Verschieben innerhalb einer Partition wird ja nicht wirklich viel gemacht, ausser die Pointer auf die neue Lokation zu setzen... die Dateien an sich werden ja nicht "angefasst"... Wenn man mal genauer drüber nachdenkt, ist das technisch schon logisch... Danke nochmal und Grüsse! schroeder750 Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 20. Oktober 2008 Autor Melden Teilen Geschrieben 20. Oktober 2008 Hy zusammen, zu früh gefreut... eben kam wieder eine solche Meldung rein... Habe jetzt auch endlich mal die Zeit gefunden, es selbst nachzustellen. Kopiere ich eine Datei aus meinem Userverzeichnis (auf das nur ich berechtigt bin) in ein anderes Verzeichnis auf dem gleichen Volume (über ein Laufwerksmapping über meine Workstation), bekommt diese Datei die Berechtigungen des Ordners drübergestülpt, in den es kopiert wird. Verschiebe ich allerdings die gleiche Datei, bleiben die Berechtigungen dran kleben, so daß die Leute, die auf dem Zielordner die Berechtigung haben, diese Datei nicht lesen können... Den registry-key habe ich definitiv so gesetzt und das ganze auch nochmal nachgeprüft... komme da gerade nicht weiter... Übrigens liegt es nicht daran, daß ich Domänen-Admin bin, habe gleiches auch mit einem Account namens "dummy" durchgetestet, der ist stinknormaler Domänenbenutzer. Auch hier bleiben die Berechtigungen an der Datei kleben... Kann es ein, daß dies eine der Änderungen ist, die erst nach einem Neustart des Servers ziehen ? Der wurde seit dem nämlich noch nicht neu gestertet, ist der Haupt-Fileserver, der ansonsten echt problemlos läuft... Grüsse schroeder750 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Oktober 2008 Melden Teilen Geschrieben 20. Oktober 2008 Den registry-key habe ich definitiv so gesetzt und das ganze auch nochmal nachgeprüft... komme da gerade nicht weiter... Wo hast Du ihn gesetzt ? Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 20. Oktober 2008 Autor Melden Teilen Geschrieben 20. Oktober 2008 Hy ITHome, auf dem Fileserver, genau an der Stelle, die im von Dir aufgeführten Artikel beschrieben ist. Und zwar beim unteren Teil des Artikels, bei dem es um das Handling beim Moven von Dateien auf dem gleichen NTFS-Volume geht, hier das Zitat: ---------------------------------------------------------------- 1. Click Start, click Run, type regedit, and then press ENTER. 2. Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer 3. On the Edit menu, click Add Value, and then add the following registry value: Value name: MoveSecurityAttributes Data type: DWORD Value data: 0 4. Exit Registry Editor. 5. Make sure that the user account that is used to move the object has the Change Permissions permission set. If the permission is not set, grant the Change Permissions permission to the user account. -------------------------------------------------------------------- ... und genau so habe ich es auch gemacht, interessiert ihn aber irgendwie nicht wirklich :D Habe auch mal testweise den oberen zusätzlich gesetzt (also den "ForceCopyAclwithFile" auf "0"), hat aber auch nicht wirklich was gebracht... Wo liegt hier das Problem ? Habe irgendwie das Gefühl im Hinterkopf, daß ich den Bock danach mal neu starten sollte.... Grüsse schroeder750 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. Oktober 2008 Melden Teilen Geschrieben 20. Oktober 2008 Du musst den Key in der Registry des Rechners setzen, auf dem du die Aktion ausführst, also z.B. dem Client an dem du sitzt ;) Oder du nimmst als Client VISTA, der machst das auch ohne Registry Key, wie du das haben möchstest. Wieso? Weiß ich noch nicht, bin auch gerade unangenehm überrascht :shock::shock: grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. Oktober 2008 Melden Teilen Geschrieben 21. Oktober 2008 Genau, denn es ist das Explorerverhalten, was damit beeinflusst wird ... :) Zitieren Link zu diesem Kommentar
schroeder750 10 Geschrieben 21. Oktober 2008 Autor Melden Teilen Geschrieben 21. Oktober 2008 Hy Leute, ich danke Euch vielmals für Eure Unterstützung, jezt wird mir natürlich einges klar...:D Das erklärt natürlich auch, warum die Berechtigungen NICHT mitgenommen werden, wenn ich das auf dem Server direkt teste... Aber jetzt muss ich wirklich mal ganz dämlich fragen: Das scheint ja von MS standardmäßig so zu sein, wird ja auch kein Hehl daraus gemacht. Wie stellen die guten Programmierer sich das vor? Ist ja nun eine ganz normale Geschichte, daß User innerhalb eines Volumes mal Daten verschieben. Da entsteht dann ein Problem, daß jeglicher sauber aufgebauter Berechtigungsstruktur spottet, ist doch völlig praxisfremd, oder ? Gut, lassen wir das diskutieren mal sein, bringt nix. Zurück zur Praxis: Kann man diese Einstellung in der Registry bzw. das daraus resultierende Verhalten der Clients auch irgendwie über eine Domänenpolicy ändern ? Ist natürlich jetzt lustig, wenn ich bei 250 Clients eine Registryänderung vornehmen darf. Dümmstenfalls übers Logonscript ? Das läuft mir doch eher vor die Wand, oder ? Hat das schon mal jemand von Euch durchgeführt? Und jetzt noch die Masterfrage: Wir haben hier einen Mischbetrieb mit Linux-Clients der verschiedensten Distributionen... was mache ich da? Da können potentiell genauso Daten des Windos-Fileservers hin und her schieben... Bin hier wirklich dankbar über jeden brauchbaren Ansatz, mache mir aber jetzt schon irgendwie recht wenig Hoffnung, das für die Linux-Clients gebacken zu bekommen...;) Grüsse und Danke nochmal!! schroeder750 – ach ja, eben vergessen: unsere Windows-Clients sind XP-Clients, SP2... Grüsse schroeder750 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. Oktober 2008 Melden Teilen Geschrieben 21. Oktober 2008 Mit einem Anmeldeskript, welches REG.EXE ausführt z.B. ... Wie macht Linux es denn mit den Berechtigungen, wenn von dort aus etwas verschoben wird und lässt sich dieses Verhalten beeinflussen ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.