Netscape 11 Geschrieben 21. Februar 2011 Melden Geschrieben 21. Februar 2011 Hi, ich möchte setACL Berechtigungen über ein Skript für mehrere Ordner setzen. Dieses Skript soll aber später von den Usern gestartet werden. Das Skript (etwas gekürzt) sieht folgendermaßen aus: @echo off mkdir "%foldername%" mkdir "%foldername%\TeamA" mkdir "%foldername%\TeamA\Folder1" mkdir "%foldername%\TeamA\Folder2" mkdir "%foldername%\TeamA\Folder3" mkdir "%foldername%\TeamA\Folder4" mkdir "%foldername%\TeamA\Folder5" mkdir "%foldername%\TeamA\Folder6" mkdir "%foldername%\TeamA\Folder7" mkdir "%foldername%\TeamA\Folder8" mkdir "%foldername%\TeamA\Folder9" mkdir "%foldername%\TeamA\Folder10" mkdir "%foldername%\TeamB" mkdir "%foldername%\TeamB\Folder1" mkdir "%foldername%\TeamB\Folder2" mkdir "%foldername%\TeamB\Folder3" mkdir "%foldername%\TeamB\Folder4" goto setacl_job :setacl_job %setacl_bin% ^ -on "%foldername%" -ot file ^ -actn ace -ace "n:domain\it-team;p:read,write,change,write_dacl" -actn setprot -op "dacl:p_nc" -rec cont_obj -actn clear -clr dacl ^ -actn ace -ace "n:domain\TeamA;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamB;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn rstchldrn -rst dacl goto setacl_TeamA :setacl_TeamA %setacl_bin% ^ -on "%foldername%\TeamA" -ot file ^ -actn ace -ace "n:domain\Administrator;p:full;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\it-team;p:full;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamA;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamB;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn setprot -op "dacl:p_nc" -rec cont_obj ^ -actn clear -clr dacl ^ -actn rstchldrn -rst dacl goto setacl_TeamB :setacl_TeamB %setacl_bin% ^ -on "%foldername%\TeamB" -ot file ^ -actn ace -ace "n:domain\Administrator;p:full;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\it-team;p:full;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamB;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamA;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn setprot -op "dacl:p_nc" -rec cont_obj ^ -actn clear -clr dacl ^ -actn rstchldrn -rst dacl :exit exit Problem ist, wenn ich mit einem User, der Mitglied der Gruppe TeamA ist, das Skript starte, dann bekomm ich von setACL die Fehlermeldung: "Writing SD to ... failed. Zugriff verweigert." Mit dem Administrator funktioniert es ohne Probleme. Krieg ich das auch ohne Adminrechte zum laufen? Hat da jemand eine Idee?
DLensing 14 Geschrieben 22. Februar 2011 Melden Geschrieben 22. Februar 2011 Hallo netscape, sollen die Ordner lokal angelegt werden oder im Netzwerk? Werden die Ordner durch den User angelegt und nur die Berechtigungen werden nicht gesetzt ? Liebe Grüße Daniel
Netscape 11 Geschrieben 22. Februar 2011 Autor Melden Geschrieben 22. Februar 2011 (bearbeitet) Die Ordner sollen auf einem Netzlaufwerk erstellt werden. Die Ordner werden angelegt. Die Probleme treten erst beim setzen der Berechtigungen auf. Ich sollte noch dazu sagen, dass das Share auf einem 2008 R2 Server liegt. bearbeitet 22. Februar 2011 von Netscape
DLensing 14 Geschrieben 23. Februar 2011 Melden Geschrieben 23. Februar 2011 Hallo, Schau doch bitte einmal, ob der Anwender in den neu erstellten Ordnern überhaupt das Recht besitzt Einstellungen an der Sicherheit vorzunehmen. Hört sich fast so an, als ob das nich gegeben ist. Liebe Grüße Daniel
Netscape 11 Geschrieben 7. März 2011 Autor Melden Geschrieben 7. März 2011 Hi, also die Gruppen haben das Recht "Berechtigungen ändern".
Netscape 11 Geschrieben 18. März 2011 Autor Melden Geschrieben 18. März 2011 Also, nachdem ich jetzt auch einer Gruppe Vollzugriff gegeben hatte und es immer noch nicht ging, habe ich mal die Freigabeberechtigungen geprüft. Die Gruppe hat das Recht auf Lesen und Ändern. Nachdem ich der Gruppe Vollzugriff auf die Freigabeberechtigung gestattet hatte, funktioniert es jetzt. Aber kann mir einer erlären wieso das so ist?
NilsK 3.057 Geschrieben 18. März 2011 Melden Geschrieben 18. März 2011 Moin, es war schon immer so, dass die Freigabeberechtigung "Ändern" nicht das Verwalten von Berechtigungen erlaubt. Bisweilen setzt man das auch extra ein, um Anwender am Ändern von Berechtigungen über Freigaben zu hindern. Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden