queensheep 10 Geschrieben 14. September 2011 Melden Teilen Geschrieben 14. September 2011 Hallo zusammen, ich habe ein Problem mit NTFS-Berechtigungen bezügl. „deny delete“ und „deny delete subfolders and files“ und ich würde gerne verstehen warum das so ist. Es gibt den Ordner D:\ordner1\ordner2. Die Gruppe Domain\tecadmingroup ist auf dem Server in der lokalen Administratorengruppe und auf D:\ sind Vollzugriffsrechte für die lokale Administratorengruppe, die weitervererbt werden. Nun habe ich folgenden Befehl ausgeführt: icacls D:\ordner1\ordner2 /deny Domain\tecadmingroup: (OI)(CI)(D,DC) Mit icacls sieht das nun so aus: D:\ordner1>icacls ordner2 ordner2 Domain\tecadmingroup: (OI)(CI)(DENY)(D,DC) NT AUTHORITY\SYSTEM: (I)(OI)(CI)(F) BUILTIN\Administrators: (I)(OI)(CI)(F) Ein User der Gruppe Domain\tecadmingroup erhält beim Zugriff auf ordner2 die Meldung "Access is denied". Schaue ich mir über den Security-Tab von ordner2 die effektiven Berechtigungen für diesen User an, so erhalte ich für alles die Berechtigung außer Fullcontrol, Delete und Delete subfolders and files. Woher kommt dieses „Access is denied“? Kann mir das jemand erklären? :confused: Gruß, queensheep Zitieren Link zu diesem Kommentar
queensheep 10 Geschrieben 15. September 2011 Autor Melden Teilen Geschrieben 15. September 2011 Hallo, ich habe bei meiner Suche zu diesem Problem rausgefunden, dass dies ein bekannter Bug von Windows unter W2k3 war: http://www.mcseboard.de/windows-forum-allgemein-83/rechteproblem-xcacls-vbs-deny-delete-fuehrt-zugriff-verweigert-122477.html Da könnte man doch meinen, dass es nun unter 2k8 behoben ist. Gruß, Queensheep Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 15. September 2011 Melden Teilen Geschrieben 15. September 2011 Willkommen an Board Damit wissen wir auch, dass Du von einer Umgebung mit W2K3 sprichst. ;) Das nächste Mal möchtest Du solche Grundlageninformationen von Anfang an mitgeben. Du wirst dann schneller oder überhaupt Antworten bekommen. Zitieren Link zu diesem Kommentar
queensheep 10 Geschrieben 15. September 2011 Autor Melden Teilen Geschrieben 15. September 2011 Hallo, nein, ich spreche von einer Windows Server 2008 umgebung (nicht R2). Ich hatte die Angabe nur in der Überschrift gemacht "2k8 Ordnerrechte deny delete". Gut, zukünftig werde ich es genauer schreiben. Interessant an dem Problem ist. Wenn ich über die grafische Oberfläche gehe, funktioniert es wie gewünscht, führe ich es mit icacls aus, habe ich den beschriebenen Effekt. Gruß, Queensheep Zitieren Link zu diesem Kommentar
queensheep 10 Geschrieben 22. September 2011 Autor Melden Teilen Geschrieben 22. September 2011 Hallo, in der Dokumentation zu den Parametern von ICACLS hat sich bei Windows ein Fehler eingeschlichen. Hier wird als Parameter "D" angegeben, um das Recht "deny-delete" zu setzen. Wenn man diesen Parameter aber für eine Gruppe benutzt, darf danach keiner mehr auf das Verzeichnis zugreifen. Richtig müsste der Parameter "DE" heißen um das entsprechende Recht zu setzen. In meinem Beispiel müsste dies richtig heißen: icacls D:\ordner1\ordner2 /deny Domain\tecadmingroup: (OI)(CI)(DE,DC) Liebe Grüße, queensheep Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.