Jump to content
Sign in to follow this  
Jian

Server2016 - NTFS-Rechte Homelaufwerk

Recommended Posts

Hi,

ich habe einen Server 2016 mit Homelaufwerke für die User. In jedem User-Ordner gibt es einen Ordner, den der User nicht löschen soll.

Unter 2012R2 war dies kein Problem: Vererbung raus, Rechte setzen, passt.

Beim 2016er scheint sich hier was geändert zu haben und ich schaffe es nicht, dies umzusetzen.

 

Die Freigaberechte lauten auf: JEDER - Ändern

NTFS-Rechte: hier habe ich mit div. Kombinationen gespielt, aber zu keinem sinnvollen Ergebnis gekommen. Sobald der User Leserecht hat, kann er auch Ordner umbenennen (was bei dem einen nicht der Fall sein soll)

Wie gesagt, bei EINEM Ordner im Userlaufwerk soll der User diesen nicht löschen oder umbenennen können.

Hab auch mit Deny-Rechten gespielt, hat aber auch nichts gebracht.

Der User ist direkt berechtigt, nicht über Gruppen. Es gibt auch keine weiteren Gruppenrechte auf dem Hauptordner

 

Kann mir jemand sagen, wie ich das einstellen soll, damit dies funktioniert? Von 2003-2012R2 war dies eingentlich nie ein Problem....

 

Schöne Grüße

Jian

Share this post


Link to post
Share on other sites

Bist Du Dir sicher, dass nicht Write-Rechte vererbt worden sind? Habe zwar noch keine produktive Server 2016 Umgebung (mir ist die App-GUI mit ihren 100 Firewall-Freigaben pro User und die IOPS für die Telemetrie immer noch ein graus, Datenschutz ganz zu schweigen), aber ich kann mir nicht vorstellen, dass MS eine Freigabe-Write-Berechtigung an NTFS weiterreicht.

Share this post


Link to post
Share on other sites

Windows 2016 verhält sich NTFS seitig nicht anders als 2012R2. Im zweifel nimm dir mal das setacl Studio (gibts inzwischen kostenfrei) und arbeite damit. Ist deutlich einfacher als sich durch die zig Ebenen des Explorers zu klicken.

Share this post


Link to post
Share on other sites

Ohne zu wissen, was da nicht geht: wir haben bzw. hatten auch ein paar Ordner auf seinem Home-Laufwerk, die der User nicht löschen soll.

Maßnahme: Wir  erzeugen die Ordner im Anmeldeskript einfach neu. Wenn der Ordner immer wieder auftaucht, hört der User auf  den zu verschieben.

Share this post


Link to post
Share on other sites

Das Tool setacl-Studio zeigt auch nichts anderes an.

Es scheint so, dass Rechte auf dem Hauptorder, die nur für "Unterordner und Dateien" gelten sollten, erst ab der zweiten Unterstruktur greift....

Share this post


Link to post
Share on other sites

Jetzt verstehe ich auch was Du erreichen möchtest. Sie sollen den Ordner selber nicht umbenenen können, innerhalb des Ordners aber dennoch Schreibrechte haben. Das ist etwas tricky.

 

Lösen kannst Du es, indem Du mit den erweiterten Einstellungen jweils für alle Gruppen zwei Berechtigungssätze erstellst. Einen Satz für diesen Ordner UND einen Satz für Unterordner und Dateien. Gleichzeitig musst Du auf dem Hauptornder selber die Vererbung deaktivieren, damit Du granulare Einstellungen treffen kannst bzw. diese nicht überschrieben werden von oben.

Die granularen Einstellungen gibt es dann nur unter Erweitert, also der Button ganz unten im Sicherheitsfenster. Da deaktivierst Du die Vererbung (kannst ja der einfachheit halber die Rechte kopieren und dann abändern).

Da legst Du Leserechte für alle fest (für diesen Ordner). Der Zweite Satz (Button hinzufügen für die gleiche Zugriffsgruppe) stattest Du für die gleiche Gruppe mit Schreibrechten für Unterordner und Dateien aus. Wenn Du das im gleichen Fenster machst, dann überschreibst das vorherige. Du musst also zwingend eines hinzufügen. Der Wechsel des Dropdowns = überschreiben des aktuellen Satzes und nicht das setzen von zusätzliches Rechten.

 

Wenn Du auch den Admin Schreibrechte wegnimmst, aber Zugriff auf Sicherheitseinstellungen erlaubst, dann poppt auch bei denen ein UAC auf und wird so nicht versehentlich geändert.

AD-BenutzerrechteUnterordnerHauptordner.thumb.png.c6222b2d7ab23f208b4f8b38e0bab6b2.png

EDIT: Habe noch eine Grafik hochgeladen, falls es etwas kompliziert zu verstehen ist. =)

 

Edited by Weingeist
Bild

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...