Jump to content

NTFS Berechtigungen setzen per Script?


Recommended Posts

Shares würde ich nicht im Root anlegen sondern in einem Ordner (auch nicht unter C:\).

Z.B. D:\shares -> Hier die Vererbung unterbrechen (einmalig, ggf. manuell) und die Shares darunter angelegen (per Script).

Link to post
vor 19 Minuten schrieb Dukel:

Shares würde ich nicht im Root anlegen sondern in einem Ordner (auch nicht unter C:\).

Z.B. D:\shares -> Hier die Vererbung unterbrechen (einmalig, ggf. manuell) und die Shares darunter angelegen (per Script).

Das war lediglich ein Beispiel bis ich das Script komplett fertig habe :) nur damit hier die Leute wissen was ich meinte. 
Das ist zu 100 % nicht der richtige Ordner die Richtige Gruppe der Richtige User :) das ist lediglich ein Beispiel :)

Vererbung kann ich auch schön über Icacls machen das auch nicht das problem :) es bleibt bei dem problem was ich davor beschrieben habe

 

 

Danke für eure hilfe ich habe folgendes nun geschrieben 

"

Try{
New-Item -ItemType Directory -Name "Test1" -Path C:\

New-SmbShare -Name "Test1" -Path C:\Test1\ -FullAccess "Test"

icacls C:\Test1 /remove Benutzer
icacls C:\Test1 /remove Administratoren

icacls C:\Test1\ /grant Test:"MRXW"
Write-Host "Ordner erstellt, Freigabe und Sicherheit Konfiguriert" -ForegroundColor Green
}
Catch{
Write-Warning -Message $("Vallah Kriese. Error: "+ $_.Exception.Message)
Break;
}

"

Dieses Script funktioniert auch, aber ich kann es nur aktivieren in dem ich davor die "Vererbung" in den Erweiterten Sicherheitseinstellungen deaktiviert habe, daher jetzt die Frage nach einer Zeile die dies macht. Dann kann ich das Script komplett durchlaufen lassen. 

 

Danke für eure Hilfe ! Super Community und sry für die Belästigung so lange :)

vor 28 Minuten schrieb congeries:

Das war lediglich ein Beispiel bis ich das Script komplett fertig habe :) nur damit hier die Leute wissen was ich meinte. 
Das ist zu 100 % nicht der richtige Ordner die Richtige Gruppe der Richtige User :) das ist lediglich ein Beispiel :)

Vererbung kann ich auch schön über Icacls machen das auch nicht das problem :) es bleibt bei dem problem was ich davor beschrieben habe

 

 

Danke für eure hilfe ich habe folgendes nun geschrieben 

"

Try{
New-Item -ItemType Directory -Name "Test1" -Path C:\

New-SmbShare -Name "Test1" -Path C:\Test1\ -FullAccess "Test"

icacls C:\Test1 /remove Benutzer
icacls C:\Test1 /remove Administratoren

icacls C:\Test1\ /grant Test:"MRXW"
Write-Host "Ordner erstellt, Freigabe und Sicherheit Konfiguriert" -ForegroundColor Green
}
Catch{
Write-Warning -Message $("Vallah Kriese. Error: "+ $_.Exception.Message)
Break;
}

"

Dieses Script funktioniert auch, aber ich kann es nur aktivieren in dem ich davor die "Vererbung" in den Erweiterten Sicherheitseinstellungen deaktiviert habe, daher jetzt die Frage nach einer Zeile die dies macht. Dann kann ich das Script komplett durchlaufen lassen. 

 

Danke für eure Hilfe ! Super Community und sry für die Belästigung so lange :)

 

 

problem gelöst danke für die Hilfe ! ich habe eine Zeile eingefügt 

"icacls c:\Test1 /inheritance:r"

 

Edited by congeries
Link to post
vor 28 Minuten schrieb congeries:

die "Vererbung" in den Erweiterten Sicherheitseinstellungen deaktiviert habe, daher jetzt die Frage nach einer Zeile die dies macht.

Mit folgender Option kannst Du die Vererbung deaktivieren (aus der MS Anleitung):

Zitat
/inheritancelevel: [e | d | r] Legt die Vererbungsebene fest, die wie die folgenden sein kann:
  • e: Aktiviert vererbung
  • d: Deaktiviert die Vererbung und kopiert die ACEs.
  • r: Entfernt alle geerbten ACEs.

 

Link to post
vor 9 Minuten schrieb tesso:

Warum du die ganze Zeit auf icacls bestehst kann ich nicht nachvollziehen. Dafür gibt es get-acl und set-acl. Das wurde dir mehrmals mitgeteilt.

weil ich komplett neu bin in PowerShell und gerade versuche ein Netzwerk zu erstellen

 

Domaincontroller  DNS DHCP neue Organisationsstruktur mit Gruppen und Usern 
FileServer für die Organisationsstruktur eine Ordnerstruktur anlegen
Client

 

Ich habe das mit ACL nicht verstanden ich lerne mir das gerade alles selber an, 
ich habe so erstmal etwas was funktioniert. Ich kann jetzt weiter arbeiten dran und schauen wie das mit ACL funktioniert.

 

Ich habe es einfach nicht verstanden und wollte hier nicht als "Newbie" allen aufn Sack gehen mit tausenden Fragen :)

 

und wie ich bereits sagte ich mag es nicht alles zu Fragen, klar wenn mir jemand ein komplettes Script für einen Ordner (wie bei mir oben angegeben) gibt, verstehe ich es aber ich frag ungern nach fertigen arbeiten.

Edited by congeries
  • Like 1
Link to post
vor 12 Stunden schrieb congeries:

Domaincontroller  DNS DHCP neue Organisationsstruktur mit Gruppen und Usern 
FileServer für die Organisationsstruktur eine Ordnerstruktur anlegen
Client

Da ist das ACL-Thema deine kleinste Baustelle ;-) 

  • Haha 1
Link to post
vor 2 Minuten schrieb MurdocX:

Da ist das ACL-Thema deine kleinste Baustelle ;-) 

 

Ich hab soweit alles, 

DHCP, DNS sind eingestellt
Organisationsstruktur ist erstellt und Gruppen ebenso, auch einzelne User sind angelegt damit ich das Testen kann (will jetzt noch ne Datei schreiben wo dann die User automatisch daraus angelegt werden)

FileServer ist seit gestern auch fertig, mit den jeweiligen Ordnern die Freigegeben wurden und deren Sicherheit eingestellt ist.

Client ist angelegt und der Domain hinzugefügt (will noch einen Deployment aufsetzten)

 

rein theoretisch bin ich doch schon etwas weiter aber ich habe keine ahnung von ACL ich verstehe das einfach aktuell nicht. 

Gibt es da irgend etwas wo es gut erklärt ist und verständlich? ansonsten (google.de ist dein bester freund haha)

Link to post
vor 6 Minuten schrieb congeries:

rein theoretisch bin ich doch schon etwas weiter aber ich habe keine ahnung von ACL ich verstehe das einfach aktuell nicht. 

Gibt es da irgend etwas wo es gut erklärt ist und verständlich?

Google.de ist tatsächlich ein guter Freund ;-)

 

Zu dem Thema habe ich schon mal einen Betrag verfasst. Schau mal hier:

 

 

Link to post
vor 2 Stunden schrieb MurdocX:

Google.de ist tatsächlich ein guter Freund ;-)

 

Zu dem Thema habe ich schon mal einen Betrag verfasst. Schau mal hier:

 

 

Danke hab ich mir angesehen :)

 

Aber wenn ich das richtig verstanden habe ist das wie du die Ordnerstruktur verändert hast und warum? oder

Link to post

Hallo,

 

vor 5 Minuten schrieb congeries:

Aber wenn ich das richtig verstanden habe ist das wie du die Ordnerstruktur verändert hast und warum? oder

Dann hast du es nicht richtig verstanden ;-) 

Es geht nicht um Ordnerstrukturen, sondern den Aufbau einer Berechtigungsstruktur. Diese Basis-Struktur bietet dann die Möglichkeit ein Konzept daraus zu erarbeiten und umzusetzen. 

 

Eine ACE & ACL ist hingegen schneller erklärt :-) 

Quelle: A (Security Glossary) - Win32 apps | Microsoft Docs

Zitat

access control entry

(ACE) An entry in an access control list (ACL). An ACE contains a set of access rights and a security identifier (SID) that identifies a trustee for whom the rights are allowed, denied, or audited.

See also access control list, security identifier, and trustee.

access control list

(ACL) A list of security protections that applies to an object. (An object can be a file, process, event, or anything else having a security descriptor.) An entry in an access control list (ACL) is an access control entry (ACE). There are two types of access control list, discretionary and system.

See also access control entry, discretionary access control list, security descriptor, and system access control list.

 

Link to post

Hey ich bin es schon wieder dieses mal habe ich zur Freigabe eine Frage  (Ordner Pfad alles nicht 100% richtig also nur Test)

 

Ich gebe folgendes ein:

Try{

New-Item -ItemType Directory -Name "Test" -Path C:\ 


New-SmbShare -Name "Test" -Path C:\Test\ -FullAccess "Test1"
New-SmbShare -Name "Test" -Path C:\Test\ -FullAccess "Test2"
New-SmbShare -Name "Test" -Path C:\Test\ -FullAccess "Test3"
New-SmbShare -Name "Test" -Path C:\Test\ -FullAccess "Test4"

 

Write-Host "Ist nur ein Test" -ForcegroundColor green

}

Catch{

Write-Warning -Message $("Vallah Kriese. Error: "+$_.Exception.Massage)

Break;

}

 

 

Mehrere Probleme tauchen dann auf, 

 

1. Er sagt mir nach der ersten Freigabe, das er die anderen Bereits hat, auch beim ausführen der einzelnen Codezeilen sagt er bevor ich die Zeile ausgeführt habe das er die Freigabe bereits vergeben hat auf dem Namen (auch nachdem ich Remove-SmbShare -Name "Test" gemacht habe

2. Zeigt er mit mit Get-SmbShare nicht die Freigaben an

3. Selbst wenn ich manuell die Freigabe überprüfe werden die Gruppen nicht angegeben.

 

Kann mir jemand helfen, ich würde gerne mehrere Ordner mit diversen Freigaben anlegen, aber er erlaubt mir das nicht

Edited by congeries
Link to post

New-SmbShare erstellt neue Shares, wie der Name schon sagt.

Du suchst Grant-SmbShareAccess, wenn du die Berechtigungen anpassen möchtest.

 

Aber! Du willst 1. nicht die einzelnen Gruppen in den Share Berechtigungen vergeben sondern nur als NTFS Rechte und 2. kein FullAccess den Anwendern geben. FullAccess höchstens den Admins, Change den Anwendern (bzw. Domain Users oder Auth. Users).

Link to post
vor 2 Minuten schrieb Dukel:

Aber! Du willst

Ich sag ja: nicht Share und ntfs verdröseln. ;) spart ne Menge unnötigen Aufwand, wenn man das von Hand macht. Ich frag mich ja sowieso die ganze Zeit, wieso man für shares ein Skript braucht. Üblicherweise hat man 1-10 shares. Da is man vermutlich mit Hand tatsächlich deutlich schneller. Aber naja ich versteh schon… dhcp, DNS usw… ;)

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...