NTFS-Berechtigungen - Vererbung

[Shaba 10]

Hallo,

 

ich habe folgendes Problem:

 

Es gibt am Fileserver Shares für die verschiedenen Abteilungen in meiner Firma. Die Berechtigungen wurden so vergeben, dass alle Mitglieder der Abteilung den Inhalt auf oberster Ebene sehen, aber nicht lesen oder schreiben können. Der Creator-Owner (CO) hat Vollzugriff auf seine Dateien und Ordner und vergibt dann entsprechende Rechte darauf. Diese vom CO vergebenen Rechte werden auch entsprechend der Hierarchie nach unten vererbt.

 

Das Problem ist nun, dass wenn ein vom CO Berechtigter einen neuen Ordner oder ein neues File anlegt dann ist der CO nicht mehr in der ACL des Ordner bzw. Files enthalten und hat somit keinen Zugriff mehr darauf. Dies wird vermutlich dadurch bedingt, dass zwar ursprünglich die Rechte des CO für "Subfolder and Files" vergeben wurden, nach deren Umsetzung auf einen konkreten Benutzer der Anwendungsbereich laut ACL nur mehr "This folder only" umfasst.

 

Meine Frage: Gibt es eine Möglichkeit, diesen Bereich nach Umsetzung der CO-ACL auf "Subfolder and files" auszudehnen? Bzw.: Wie kann der eigentliche CO eines Ordners immer in der ACL von Unterordner und deren Dateien mit Vollzugriff aufscheinen?

 

Ich hoffe, ich habe mein Problem halbwegs verständlich beschrieben und bedanke mich für jede Hilfe!

 

LG Shaba

[IThome 10]

Wenn beim Ersteller-Besitzer Vollzugriff eingetragen ist und diese Berechtigung den Bereich Unterordner und Dateien umfasst, steht die Gruppe Ersteller-Besitzer auch in den ACLs der untergeordneten Ordner zusätzlich zu dem Benutzer, der diesen Ordner erstellt hat (er ist der Ersteller, demzufolge auch der Besitzer). Bei Dateien steht der Ersteller-Besitzer nicht mehr, wozu auch ... Die Datei wurde schon erstellt und der Besitzer steht also auch fest. Die Gruppe Ersteller-Besitzer wirkt sowieso nur dann, wenn jemand gerade etwas erstellt. Dann greifen die Berechtigungen, die dieser Gruppe gewährt werden. Der User muss also die Berechtigung zum Zufügen haben, damit er auch Berechtigungen der Gruppe Ersteller-Besitzer bekommen kann.

Ich glaube aber, dass ich nicht so ganz verstanden habe, was Du meinst ...

[Shaba 10]

Danke für die Antwort.

 

Doch, doch ... es geht schon in diese Richtung...

Bei mir steht der ursprüngliche Ersteller-Besitzer aber nicht mehr in der ACL, wenn ein anderer einen neuen Unterordner oder ein File in erstellt.

 

Bsp: Ersteller: User A --> Folder1 (A berechtigt User B für Modify): ACL: User A --> Full, User B --> Modify)

 

User B legt nun einen neuen Ordner B in Folder A. Nun ist aber bei mir User A nicht mehr in der ACL von Folder B und hat keinen Zugriff mehr darauf... User A sollte aber auf alle Unterordner und -files Zugriff haben.

[IThome 10]

Das ist das normale Verhalten, wenn Du die Gruppe Ersteller-Besitzer einsetzt. Wenn Du einen Ordner erstellst, wird der User zu den ACLs zugefügt, der den Ordner erstellt hat und der dann Besitzer dieses Ordners ist. Die Berechtigung, die nur durch die Einstellungen, die für die Ersteller-Besitzer gemacht wurden, kommen, gelten auch nur für genau den Ordner, den er erstellt hat und nicht für die Ordner, die darunter erstellt werden, eventuell von jemand anderem (der ebenso dann dort eingetragen wird, weil er die Berechtigungen der Ersteller-Besitzer bekommt). Diese Berechtigung wird also nicht vererbt. Die anderen Berechtigungen, die vererbbar sind (also z.B. die Berechtigung Administratoren - Vollzugriff oder Ersteller-Besitzer - Vollzugriff) werden je nach Konfiguration nach unten vererbt. Er bekommt also nur Berechtigungen von dem Ersteller-Besitzer, wenn er auch erstellt. Erstellt er nicht, bekommt er natürlich auch nicht die Berechtigungen, die den Ersteller-Besitzern zugewiesen wurden.

[Shaba 10]

OK, vielen Dank. Dann werde ich die User unterweisen müssen, dass sie den Besitzer des übergeordneten Objektes manuell in die ACL eintragen, damit der auch die entsprechenden Rechte darauf hat.

[IThome 10]

Oder besser die Berechtigungsstruktur ändern ...