Netscape 11 Geschrieben 21. Februar 2011 Melden Geschrieben 21. Februar 2011 Hi, ich möchte setACL Berechtigungen über ein Skript für mehrere Ordner setzen. Dieses Skript soll aber später von den Usern gestartet werden. Das Skript (etwas gekürzt) sieht folgendermaßen aus: @echo off mkdir "%foldername%" mkdir "%foldername%\TeamA" mkdir "%foldername%\TeamA\Folder1" mkdir "%foldername%\TeamA\Folder2" mkdir "%foldername%\TeamA\Folder3" mkdir "%foldername%\TeamA\Folder4" mkdir "%foldername%\TeamA\Folder5" mkdir "%foldername%\TeamA\Folder6" mkdir "%foldername%\TeamA\Folder7" mkdir "%foldername%\TeamA\Folder8" mkdir "%foldername%\TeamA\Folder9" mkdir "%foldername%\TeamA\Folder10" mkdir "%foldername%\TeamB" mkdir "%foldername%\TeamB\Folder1" mkdir "%foldername%\TeamB\Folder2" mkdir "%foldername%\TeamB\Folder3" mkdir "%foldername%\TeamB\Folder4" goto setacl_job :setacl_job %setacl_bin% ^ -on "%foldername%" -ot file ^ -actn ace -ace "n:domain\it-team;p:read,write,change,write_dacl" -actn setprot -op "dacl:p_nc" -rec cont_obj -actn clear -clr dacl ^ -actn ace -ace "n:domain\TeamA;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamB;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn rstchldrn -rst dacl goto setacl_TeamA :setacl_TeamA %setacl_bin% ^ -on "%foldername%\TeamA" -ot file ^ -actn ace -ace "n:domain\Administrator;p:full;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\it-team;p:full;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamA;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamB;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn setprot -op "dacl:p_nc" -rec cont_obj ^ -actn clear -clr dacl ^ -actn rstchldrn -rst dacl goto setacl_TeamB :setacl_TeamB %setacl_bin% ^ -on "%foldername%\TeamB" -ot file ^ -actn ace -ace "n:domain\Administrator;p:full;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\it-team;p:full;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamB;p:read_ex,write,change,list_folder,write_dacl;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamA;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamC;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn ace -ace "n:domain\TeamD;p:read_ex,list_folder;i:so,sc;m:set;w:dacl" ^ -actn setprot -op "dacl:p_nc" -rec cont_obj ^ -actn clear -clr dacl ^ -actn rstchldrn -rst dacl :exit exit Problem ist, wenn ich mit einem User, der Mitglied der Gruppe TeamA ist, das Skript starte, dann bekomm ich von setACL die Fehlermeldung: "Writing SD to ... failed. Zugriff verweigert." Mit dem Administrator funktioniert es ohne Probleme. Krieg ich das auch ohne Adminrechte zum laufen? Hat da jemand eine Idee? Zitieren
DLensing 14 Geschrieben 22. Februar 2011 Melden Geschrieben 22. Februar 2011 Hallo netscape, sollen die Ordner lokal angelegt werden oder im Netzwerk? Werden die Ordner durch den User angelegt und nur die Berechtigungen werden nicht gesetzt ? Liebe Grüße Daniel Zitieren
Netscape 11 Geschrieben 22. Februar 2011 Autor Melden Geschrieben 22. Februar 2011 (bearbeitet) Die Ordner sollen auf einem Netzlaufwerk erstellt werden. Die Ordner werden angelegt. Die Probleme treten erst beim setzen der Berechtigungen auf. Ich sollte noch dazu sagen, dass das Share auf einem 2008 R2 Server liegt. bearbeitet 22. Februar 2011 von Netscape Zitieren
DLensing 14 Geschrieben 23. Februar 2011 Melden Geschrieben 23. Februar 2011 Hallo, Schau doch bitte einmal, ob der Anwender in den neu erstellten Ordnern überhaupt das Recht besitzt Einstellungen an der Sicherheit vorzunehmen. Hört sich fast so an, als ob das nich gegeben ist. Liebe Grüße Daniel Zitieren
Netscape 11 Geschrieben 7. März 2011 Autor Melden Geschrieben 7. März 2011 Hi, also die Gruppen haben das Recht "Berechtigungen ändern". Zitieren
Netscape 11 Geschrieben 18. März 2011 Autor Melden Geschrieben 18. März 2011 Also, nachdem ich jetzt auch einer Gruppe Vollzugriff gegeben hatte und es immer noch nicht ging, habe ich mal die Freigabeberechtigungen geprüft. Die Gruppe hat das Recht auf Lesen und Ändern. Nachdem ich der Gruppe Vollzugriff auf die Freigabeberechtigung gestattet hatte, funktioniert es jetzt. Aber kann mir einer erlären wieso das so ist? Zitieren
NilsK 2.982 Geschrieben 18. März 2011 Melden Geschrieben 18. März 2011 Moin, es war schon immer so, dass die Freigabeberechtigung "Ändern" nicht das Verwalten von Berechtigungen erlaubt. Bisweilen setzt man das auch extra ein, um Anwender am Ändern von Berechtigungen über Freigaben zu hindern. Gruß, Nils Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.