Jump to content
Sign in to follow this  
tpnet

Dateiberechtigungen setzen als Nicht Admin

Recommended Posts

Ich möchte einigen Usern in unserem Netztwerk erlauben, für vereinzelte Verzeichnisse die Dateiberechtigungen zu setzen. Über cacls.exe klappt das genau nach meinen Vorstellungen, jedoch muss der User da Admin Rechte haben. Da das natürlich nicht machbar ist, suche ich nach einer Möglichkeit, vereinzelte User in einer Gruppe unterzubringen, und für die bestimmten Verzeichnisse das Rechtevergen für diese Gruppe erlauben...

 

Die Frage lautet eigentlich, wie und wo ich angeben kann, dass auch andere Gruppen die Rechte ohne Admin vergeben können. Geht sowas überhaupt.

Share this post


Link to post
Share on other sites

Meines wissens nach können bei bei der berechtigung "Vollzugriff" auch berechtigungen vergeben..

 

kann im Moment nicht selber ausprobieren..keine Zeit....

korrgiert mich wenn ich falsch liege...

Share this post


Link to post
Share on other sites

Es reicht die Spezielle Berechtigung, "Berechtigung ändern". Die ist natürlich im Vollzugriff enthalten, kann aber auch so separat vergeben werden

Der Besitzer eines NTFS-Objekts hat immer automatisch die Berechtigung "Berechtigung Ändern" auf das Objekt

 

grizzly999

Share this post


Link to post
Share on other sites

OK, ich glaub ich muss mein Problem mal etwas genauer umschreiben, denn wenn der Besitzer automatisch auch die Rechte hat, die Dateiberechtigungen wieder selbst zu ändern, so hab ich ein Problem.

 

Wir scannen Dateien rein. Diese werden in ein Archivverzeichnis gelegt, und sind im Prinzip für jeden Domain User lesbar und von mir aus auch beschreibbar.

 

Einige Dokumente dürfen aber nicht von jedem User gelesen werden, da sie nur die Chefetage betreffen. Beim Archivieren der Scandatei möchte ich dies nun berücksichtigen, und eben fpr besagte Dateien den Zugriff komplett für Normalsterblich verbieten.

Share this post


Link to post
Share on other sites

Zum Archivieren der Dateien läuft noch relativ viel im Hintergrund in einem eigenen Delphi Programm ab. Alle eingescannten Dateien bekommen einen eindeutigen Dateinamen verpasst und landen im Ordner \\Server\Filearchive\(JAHR)\(MONAT)

 

Das würd ich am liebsten so lassen, wenns geht. Sonst müsst ich für jeden einzelnen Monat noch ein weiteres Unterverzeichnis anlegen, und ich müsste sowieso vom Programm heraus über cacls die Ordnerrechte wieder neu einstellen, da die Archivverzeichnisse dynamisch angelegt werden. Also heute z.B. wurde der Ordner 2006\02 angelegt.

 

Aber ich denke mit dem Hintergrund, dass man die Rechte für jede eigene Datei selbst ändern kann, damit kann ich leben. Wenn der Chef eine Datei ins Archiv legt, so ist und bleibt er der Eigentümer. Also darf er ja auch den normalen Usern das Lesen verweigern, oder ?

 

cacls.exe "Datei.zip" /e /r "Benutzer"

 

macht das auch, und schau ich mir dann die Sicherheitseinstellungen der Datei an, so ist die Grupper Benutzer nicht mehr zu finden. Meine speziell angelegt Gruppe FullFileArchiveAccess, in der der Chef Mitglied ist, steht die Berechtigung auf Full Access. Sonst hat keiner mehr Zugriff auf die Datei, aus das SYSTEM...

 

Aber dennoch kann ich als Chef die Datei nicht mehr öffnen: Zugriff verweigert... Wie kann das sein?

Share this post


Link to post
Share on other sites
Wenn der Chef eine Datei ins Archiv legt, so ist und bleibt er der Eigentümer. Also darf er ja auch den normalen Usern das Lesen verweigern, oder ?

Ja

 

 

Aber dennoch kann ich als Chef die Datei nicht mehr öffnen: Zugriff verweigert... Wie kann das sein?

Vielleicht ist er nicht wirklich Mitgleid der Gruppe?! Wenn er angemeldet ist, mal ein "whomai /all" machen, oder alternativ gpresult, und schauen, ob diese Gruppe in seinem Token mitaufgeführt wird

 

 

grizzly999

Share this post


Link to post
Share on other sites

Das wars... Nach dem vielen Rumgespiele waren die Gruppenrichtlinien nicht aktuell. Den Benutzer einmal aus- und wieder einloggen hat das Problem dann behoben.

 

mit dieser Lösung kann ich leben.

 

Danke ;)

(Bin leider kein Guru was die Administration angeht)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...