Jump to content

CACLS/XCACLS und lokale Gruppen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Ich versuche gerade auf meinem Win XP Rechner welcher in einer Windows-Domän läuft mit cacls bzw xcalcs berechtigungen zu setzten.

Es funktioniert auch fast so wie ich es will, ich kann jedem Domän-User und jeder DomänGruppe Berechtigungen geben. Nur wen ich einer lokalen Gruppe Berechtigungen erteilen will bekomm ich folgenden Fehler:

 

"Zuordnung von Kontenname und Sicherheitskennung wurde nicht durchgeführt"

 

Ich verwende folgende Syntax:

 

xcacls c:\xxx /e /g w1itnb3\Administratoren:f

 

Selbes Problem tritt auf wenn ich der lokalen Gruppe "Benutzer" Rechte erteilen will.

Auch mit cacls kommt der selbe Fehler. Kann mir jemad sagen woran das liegt?

Kann man mit cacls keiner lokalen Gruppe Berechtigungen erteilen? Lokalen Usern kan ich ja auch Berechtigungen erteillen denn wenn ich z.B cacls c:\xxx /e /g w1itnb3\Administrator:f schreibe bekommt der lokale Admin full controll, aber warum geht das bei lokalen Gruppen nicht.

Ich hofef es kann mir jemad weiterhelfen, veilen Dank schon mal.

 

mfg

 

Hatl

Link zu diesem Kommentar

Super danke, so funktioniert es!! Aber wo ist da die Logik? Warum darf man bei lokalen Gruppen die Rechnerbezeichnung nicht dazu schreiben und bei allen anderen schon?

 

Ich hab jetzt mit calcs noch etwas herumprobiert und mir ist etwas Eigenartiges aufgefallen.

Ich arbeite auf meinem Rechner mit dem User admin1, dieser User ist ein normaler domän User und auf meinem Rechner ist dieser ein lokaler Administrator.

Wenn ich nun ein Test Verzeichnis anlege ist dieser User auch der Ersteller -Besitzer.

 

Ich hab nun ein Testverzeichnis mit mehreren Unterverzeichnissen und Dateien angelegt.

Hab darauf mit dem Explorer Berechtigungen vergeben, die Vererbung eingestellt usw.

Nun hab ich diese Berechtigungen mit cacls bearbeitet, user hinzugefügt und user gelöscht.

Danach hab ich die Berechtigungen wieder mit cacls ausgelesen und dabei ist mir aufgefallen das der User Admin1 bei manchen Dateien nun doppelt da steht.

Ich hab dasselbe öfters probiert, kann jedoch nicht sagen woran es liegt, dass dieser user bei einer Datei öfters vorkommt. Die doppelte Berechtigung zieht sich in alle Unterverzeichnisse durch. d.h. ab einer bestimmten Verzeichnisebene ist dieser User plötzlich doppelt, egal ob die Berechtigungen laut Einstellung auf das darunter liegend vererbt werden sollen oder nicht. Auch wenn ich an der Berechtigung des admin1 überhaupt nicht s ändere kommt das manchmal vor.

Die Berechtigung steht dann so da:

domän\admin1:f

domän\admin1:f

 

oder so:

domän\admin1:f

domän\admin1:c

 

Wie kann das sein? Ein User kann doch nur eine Berechtigungsart auf eine Datei haben.

Wenn ich mir die Berechtigungen im Explorer anschaue sind sie "normal".

Hat jemand eine Idee woran das liegt?

Oder soll das so sein, aber wie ist das dann zu interpretieren?

Link zu diesem Kommentar

Hallo,

 

Den Fehler mit den doppelten Berechtigungen konnte ich noch icht finden, ich hab jetzt aber auch noch ein anderes Problem.

 

Mein Computer auf den ich lokal arbeite heisst w1itnb3. Ich möchte jetzt von einem anderen Rechner aus dem Netzt den lokalen Administrator meines NB berechtigungen erteilen.

D.h ich befinde mich jetzt am Rechner xyz und führe dort folgenden Befehl aus.

 

cacls \\w1itnb3\c$\xxx /e /g w1itnb3\administrator:f

 

Somit sollte doch der lokale User Administrator des w1itnb3 full control auf das Verzeichnis xxx am w1itnb3 bekommen. Jedoch wird folgende Fehlermeldung ausgegeben:

 

Zuordnung von Kontennamen und Sicherheits-IDs wurde nicht durchgeführt.

 

Was kann das bedeuten? Es ist doch alles nötige angegeben.

Wenn ich anstatt w1itnb3\administrator nur administrator schreibe wird der Befehl zwar ausgeführt, es kommt kein Fehler, aber es wird dann natürlich der lokale admiistrator des Rechners hinzugefügt auf welchen ich den Befehl ausgeführt habe in dem fall der Admin vom xyz.

Hat noch jemand einen Tip, wie ich lokelen usern und Gruppen von einem anderen Rechner aus Berechtigungen erteilen kann?

 

Vielen Dank!

 

mfg

Link zu diesem Kommentar
  • 2 Wochen später...

Das Problem, dass User auf eine Datei doppelt Berechtig sind liegt an der Vererbung.

Bsp.:

Auf das verzeichnis xyz haben User1 und User2 Berechtigungen. Die Berechtigung von User1 wird vom übergeorneten Ordner vererbt, die Berechtigung für user2 wird nicht von oben vererbt sondern ist zusätzlich auf diesen Ordner gesetzt.

Wenn man jetzt die Berechtigung auf den Ordner xyz ür den User2 ändert und diese änderung mit dem Parameter /t auf alles darunter liegende durchzieht, wird das zwar richtig gemacht, jedoch wird diese Berechtigung nicht mehr vererbt, egal ob bei den Unterordnern und Dateien eingestellt ist das ise die Berechtigungen erben sollen oder nicht. D.h. wenn man jetzt im Explorer die Berechtigung des User2 auf den Ordner xyz ändert, ändert sich vom Explorer gesehen bei den darunterliegenden Ordner nichts, (wobei ich da noch nicht alles herausgefunden habe, denn manchmal werden die änderungen dann schon übernimmen, aber das kann ich im Moment nicht nachvollziehen, es macht den Eindruck als würde da dann die Berechtigung auf Unterordner irgendwie eine kombination der Berechtigung auf den darüber liegenden und den aktuellen Ordner sein.). Wenn ich mir die Berechtigungen mit cacls auslese, steht dan nder User2 mit 2 Brechtigungen da:

Wenn ich das selbe mit dem User1 mache, funktioniert alles perfekt, es wird richtig vererbt und der User steht auch nie doppelt da.

Hat jemand eine Idee ob ich das richtig nachvollzogen hat, und was das für einen Sinn hat??

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...