Alith Anar 40 Geschrieben 15. Oktober 2015 Melden Geschrieben 15. Oktober 2015 (bearbeitet) Hallo, ich möchte diverse Netzwerkfreigaben erstellen. Berechtigungen setzen und Vererbung abschalten ist kein Problem. Dabei lasse ich die bestehenden Berechtigungen bestehen. Meine Frage ist nun, wie bekomme ich a ) SYSTEM wieder in den Ordnerb ) die Domain Users aus dem Root Ordner wieder raus ? $Regel=New-Object System.Security.AccessControl.Filesystemaccessrule("<Domain>\Users", "Read", "deny") $acl.removeaccessrule($Regel) Funktioniert leider nicht bearbeitet 15. Oktober 2015 von Alith Anar
Necron 71 Geschrieben 19. Oktober 2015 Melden Geschrieben 19. Oktober 2015 Hi, so einfach ist das mit der PowerShell nicht. Hier mal ein Beispiel für die Berechtigungsanlage eines Users auf ein neu erstellten Ordner: New-Item -Path $HomeDir -Type Directory -Force $HomeDirACL=Get-Acl $HomeDir $IdentityReference='DOMAIN\'+$User.SamAccountName $FileSystemAccessRights=[System.Security.AccessControl.FileSystemRights]"FullControl" $InheritanceFlags=[System.Security.AccessControl.InheritanceFlags]"ContainerInherit, ObjectInherit" $PropagationFlags=[System.Security.AccessControl.PropagationFlags]"None" $AccessControl=[System.Security.AccessControl.AccessControlType]"Allow" $AccessRule=New-Object System.Security.AccessControl.FileSystemAccessRule($IdentityReference,$FileSystemAccessRights,$InheritanceFlags,$PropagationFlags,$AccessControl) $HomeDirACL.AddAccessRule($AccessRule) Set-ACL -Path $HomeDir -AclObject $HomeDirACL Nicht sonderlich schön. Eventuell fehlt dir aber auch nur das Set-ACL cmdlet. Wenn es schnell und einfach ohne großen Aufwand sein soll, dann nimm icacls. Geht sehr einfach die Befehle in der PowerShell zusammenzubauen. $CommandInherit = "icacls.exe "+ $FolderPath + " /inheritance:d" cmd.exe /c $CommandInherit
Dukel 468 Geschrieben 19. Oktober 2015 Melden Geschrieben 19. Oktober 2015 Statt cmd.exe aufrufen würde ich start-prozess oder & nutzen.
magheinz 111 Geschrieben 22. Oktober 2015 Melden Geschrieben 22. Oktober 2015 Wieso Vererbung abschalten?
Alith Anar 40 Geschrieben 22. Oktober 2015 Autor Melden Geschrieben 22. Oktober 2015 Danke für die Infos @Magheinz Weil bei einer Laufwerksfreigabe de Benutzer nur die Ordner sehen sollen, auf die Sie berechtigt sind. Wenn ich die Vererbung nicht aktiviere, sieht am Ende doch jeder alles ;)
Daniel -MSFT- 129 Geschrieben 23. Oktober 2015 Melden Geschrieben 23. Oktober 2015 Ich fürchte, hier liegt eine Fehlannahme vor.
Alith Anar 40 Geschrieben 23. Oktober 2015 Autor Melden Geschrieben 23. Oktober 2015 Was / Wen meinst du ?
magheinz 111 Geschrieben 23. Oktober 2015 Melden Geschrieben 23. Oktober 2015 Danke für die Infos @Magheinz Weil bei einer Laufwerksfreigabe de Benutzer nur die Ordner sehen sollen, auf die Sie berechtigt sind. Wenn ich die Vererbung nicht aktiviere, sieht am Ende doch jeder alles ;) Dafür gibts doch ABE...
Alith Anar 40 Geschrieben 23. Oktober 2015 Autor Melden Geschrieben 23. Oktober 2015 (bearbeitet) Korrekt. Die aktiviere ich ja auch im Gesamtscript über: New-SmbShare -path "<Pfad>" -FolderEnumerationMode AccessBased -ReadAccess "Domänen-Benutzer" -Name "<Freigabename>$" Auf der Rootfreigabe gebe ich den Domänenbenutzern in den Sicherheitseinstellungen leserechte und den Netzwerkbenutzern Vollzugriff.Innerhalb dieser Freigabe werden dann die einzelnen Gruppenlaufwerke angelegt und mit den individuellen Berechtigungen versehen. Dafür muss ich aber die Vererbung des Roots abschalten, ansonsten sieht am Ende doch jeder alles. bearbeitet 23. Oktober 2015 von Alith Anar
lefg 276 Geschrieben 23. Oktober 2015 Melden Geschrieben 23. Oktober 2015 (bearbeitet) Auf der Rootfreigabe gebe ich den Domänenbenutzern in den Sicherheitseinstellungen leserechte und den Netzwerkbenutzern Vollzugriff. Moin, ich meine, das ist doch von hinten durch die Brust ins Auge. Das Problem, der Weg zum Ziel sollte neu überdacht werden. Ein Vorschlag, so in der Art habe ich es gemacht: Der Ordner "Root", Rechte darauf haben Administrator, Administratoren, System und die angelegte Sicherheitsgruppe Root. In Root z.B 1.Unterordner, dieser erbt nicht von Root, Rechte darauf vergeben an Administrator, Administratoren, und die angelegte Sicherheitsgruppe 1.Unterordner. Mitglied der Sicherheitsgruppe 1.Unterordner ist die Sicherheitsgruppe Root; damit erhalt ein Member der Sicherheitsgruppe 1.Unterordner Recht auf den Ordner Root. Durch ABE werden Ordner ohne Rechte darauf nicht gesehen. Der Ordner "Root" ist freigegeben. Das ist das grundlegende Prinzip, sehr einfach strukturiert, ich muss es wohl nicht weiter ausführen. Edit Oder man verzichtet auf die Mitgliedschaft der Sicherheitsgruppe Root in der Sicherheitsgruppe 1.Unterordner und mach den Benutzer zum Member von SG Root und SG 1.Unterordner. bearbeitet 23. Oktober 2015 von lefg
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden