phoenixcp 10 Geschrieben 9. Oktober 2007 Melden Teilen Geschrieben 9. Oktober 2007 Hallo Freunde Ich weiß, ich habe mich in letzter Zeit hier ein wenig rar gemacht, aber das ist leider projektbedingt bei mir. Nachdem ich mich die letzten 2 Tage mit einem komischen Rechteproblem rumgeschlagen habe, bin ich mit meinem Latein am Ende und befrage euch: Ich lege im Netz einen Ordner an und versehe den anhand Konzept mit Berechtigungen. Dazu zählt: - Vollzugriff für Administratoren - Ownership für lokale Administratoren auf dem Server - Deny Delete für Everyone Alle setze ich über XCACLS.vbs. Allerdings trat dabei ein komisches Phänomen auf: Wenn ich über die Kommandozeile cscript xcacls.vbs C:\Temp\Rechtetest /E /D Everyone:A /Spec A[/Code] für Everyone das Deny Delete auf diesen Folder setzen will, klappt das auch sauber und ohne Fehlermeldung. Nur zu meinem Erstaunen erhalte ich trotz der Aussage das lokale Administratoren Vollzugriff haben beim Zugriff auf diesen Ordner den Fehler "Zugriff verweigert". Ich habe das ganze soweit eroiert, das ich sagen kann, das das genau dann passiert, wenn ich das Deny Delete setze. Die Berechtigungen auf diesen Ordner sehen so aus: [Code]Microsoft (R) Windows Script Host, Version 5.6Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.Starting XCACLS.VBS (Version: 5.2) Script at 9.10.2007 09:13:31Startup directory:"C:\Programme\XCACLS"Arguments Used: Filename = "C:\temp\Rechtetest"**************************************************************************Directory: C:\temp\RechtetestPermissions:Type Username Permissions Inheritance Denied \Jeder Special (EA) This Folder Only Allowed VORDEFINIERT\Administra Full Control This Folder, Subfolde Allowed NT-AUTORITÄT\SYSTEM Full Control This Folder, Subfolde Allowed VI\carstenp Full Control This Folder Only Allowed \ERSTELLER-BESITZER Special (Unknown) Subfolders and Files Allowed VORDEFINIERT\Benutzer Read and Execute This Folder, Subfolde Allowed VORDEFINIERT\Benutzer Advanced (Create Fold This Folder and Subfo Allowed VORDEFINIERT\Benutzer Advanced (Create File This Folder and Subfo No Auditing setOwner: VORDEFINIERT\Administratoren**************************************************************************Operation CompleteElapsed Time: 18,49609 seconds.Ending Script at 9.10.2007 09:13:50[/Code] Jemand ne schlaue Idee woran das liegen kann? Ich stocher hier echt im leeren.... Danke im Vorraus... Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 9. Oktober 2007 Autor Melden Teilen Geschrieben 9. Oktober 2007 Update: Wenn ich dasselbe per icacls mit der Kommandozeile icacls.exe C:\temp\Rechtetest /deny Jeder:D[/Code] durchführe, bekomme ich das selbe Problem... Ideen? Ansätze? Ratschläge? Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 11. Oktober 2007 Autor Melden Teilen Geschrieben 11. Oktober 2007 Kurzes Update am Rande: Wir haben zu diesem Problem mittlerweile einen Case bei MS aufgemacht. Dabei wurde uns mitgeteilt, das xcacls.vbs ein unsupported Tool ist, und man aufgrund dessen versucht, einen Weg mit icacls.exe aus dem SP2 für W2k3 zu finden. Da icacls.exe leider keine Rechtevererbung ausschalten kann, wird das ganze wohl auf eine Mischlösung zwischen icacls.exe und xcacls.vbs hinauslaufen. Gerade bekam ich eine Statusmail zu meinem Problem, in der mir mitgeteilt wurde, das der MS-Engineer das selbe Problem auch beim Einsatz von icacls.exe nachvollziehen kann. Man wird versuchen eine neuer Version von icacls.exe aus Redmond zu erhalten und das Problem damit weiter zu analysieren. Schaun wir mal auf was das ganze hinausläuft. Ob ich da wohl grade meinen ersten MS-Bug gefunden habe? :) Wir harren der Dinge die da kommen mögen. Zitieren Link zu diesem Kommentar
tacher 10 Geschrieben 11. Oktober 2007 Melden Teilen Geschrieben 11. Oktober 2007 Habs kurz durchgetestet und kann sagen, dass es wirklich stimmt. Ich hab aber rausgefunden wie man es in der Theorie löschen kann. Es gibt zwei ACE die es zu setzen Gilt. DELETE und DELETE SUBFOLDERS AND FILES Ich hab bis jetzt leider kein Tool gefunden, welches die beiden Settings unterscheidet. selbst subinacl kennt nur DELETE. Subinacl setzt Delete Subfolders and Files erst auf Deny wenn man wirklich einen Deny mit Fullcontrol macht. Senbst "CRPXEWD" zu denyen bringt nix, dann ist weiterhin alles bis auf "fullcontrol" und "delete subfolders and files" markiert Ich hab rausgefunden, dass nur das setzen BEIDER Settings den gewünschten Effekt bringt, wenn man nur eine alleine setzt kann der Admin weiterhin löschen. Ich vermute das passiert weil der Admin ja weiterhin eins der beiden Delete recht hat und nur den Deny auf das andere hat. Sprich er versucht mit Hilfe beider Rechte den Delete durchzuführen, wenn eins gelingt wird das File gelöscht. Ich nehme an die beiden Flags FILE_DELETE_CHILD-0x40 und DELETE-0x10000 müssten gesetzt sein Binär File Delete Child: 0100 0000 Delette: 1 0000 0000 0000 0000 0000 Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 12. September 2008 Autor Melden Teilen Geschrieben 12. September 2008 Ok, da es grade wieder mal ein Thema um xcacls.vbs gab, wo ich auch hierauf verwiesen habe, möchte ich das Thema trotz fast einem Jahr "rumliegen" nochmal anschneiden und endgültig abschließen. Problem ist oben dargestellt. Nach längerer Bearbeitungszeit durch den MS Support konnte festgestellt werden, das es sich um einen Bug in der Kommandozeilenhilfe von xcalcs.vbs handelte. Der korrekte Parameter für ein Deny Delete war somit nicht /D sondern /DE. Warum auch immer führe der Parameter /D zu dieser Situation, die dafür sorgte, das man beim Zugriff auf den Ordner ein "Access Denied" bekam. Off-Topic:So, und jetzt stell ich mich in die Ecke und schäm mich, weil ich selber kein Feedback auf das Thema gegeben habe, nachdem ich die "Lösung" von MS in der Hand hatte... Sorry Leute... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.