Frage zu NTFS Berechtigung auf Fileserver

[Sizco 10]

Hallo.

Wir haben heute ein Phänomen auf unserem Fileserver entdeckt, welches wir nicht beheben können.

 

Zur Struktur:

Auf unserem Fileserver befinden sich diverse Freigaben und darunter eine Ordner-Ebene, in denen

die NTFS-Berechtigungen gesetzt werden.

 

Die Berechtigungen der Freigabe TEST sieht wie folgt aus:

Freigabeberechtigungen: Administratoren und die lokale Gruppe TEST haben Vollzugriff.

Sicherheit: Administratoren haben Vollzugriff, die lokale Gruppe TEST darf nur lesen (NUR dieser Ordner)

 

Eine Ebene darunter befindet sich der Ordner Archiv.

Dort sind die Berechtigungen wie folgt gesetzt:

Administratoren haben Vollzugriff (geerbt von der Freigabe)

die lokale Gruppe TEST hat alle Rechte, bis auf löschen. Die Rechte gelten für diesen Ordner, Unterordner und Dateien.

 

Neben dem Ordner Archiv habe ich noch einen weiteren Ordner "Allgemein" mit identischen Rechten angelegt.

 

Die Mitglieder der lokalen Gruppe TEST können nun direkt auf der Freigabe keinen Ordner anlegen und auch keinen der beiden Ordner (Archiv, Allgemein) umbenennen.

 

Wenn sie jedoch versuchen, den Ordner zu löschen, dann wird der komplette Inhalt gelöscht, aber der Ordner bleibt mit der Meldung "Zugriff verweigert" erhalten.

 

Genauso beim Verschieben. Am Ziel wird der komplette Ordner samt Inhalt erstellt, aber der Quellordner bleibt leer zurück.

 

Gibt es eine Möglichkeit die Rechte soweit einzuschränken, dass beim Löschversuch des Ordner NICHT der gesamte Inhalt gelöscht wird, bevor die Fehlermeldung erscheint?

[NilsK 2.922]

Moin,

 

das Problem liegt vermutlich in der Berechtigung "Delete Children" auf NTFS-Ebene, im deutschen GUI "Unterordner und Dateien löschen". Zudem könnte es auch sein, dass auf den Dateien noch das Löschen-Recht gewährt ist. Die Ansicht "Erweiterte Berechtigungen" kann da besseren Aufschluss geben.

 

Wer es mit Berechtigungen ernst meint, sollte gar nicht erst den Explorer dafür nutzen, sondern ein Spezialtool wie z.B. SetACL (kostenlos, Kommandozeile) oder SetACL Studio (sehr günstig, GUI).

 

Allgemein rate ich davon ab, Berechtigungen allzu granular einzustellen. In vielen Fällen erreicht man nicht das, was man sich vorgestellt hat und bemerkt das erst, wenn es zu spät ist. Erschwerend kommt hinzu, dass viele Applikationen sich sehr unterschiedlich verhalten, wenn sie auf unerwartete Berechtigungen stoßen.

 

Gruß, Nils

[Sizco 10]

Wir stellen die Berechtigungen immer über die "Erweiterten Sicherheitseinstellungen" ein.

Hier ein Beispiel für den Ordner Archiv:

 

Wenn ein Mitglied der Gruppe AGES010_GES_BT_Archiv_x jetzt versucht diesen Ordner zu löschen, dann wird im Hintergrund der gesamte Inhalt des Ordners gelöscht. Eine Fehlermeldung erscheint erst, wenn der Ordner leer ist. Dieses möchten wir gerne verhindern.

[NilsK 2.922]

Moin,

 

ja, der Screenshot bestätigt meine Vermutung. Das Häkchen "Unterordner und Dateien löschen" ist gesetzt. Damit darf der User die Dateien auch dann löschen, wenn man ihm in den Dateiberechtigungen das Löschen explizit verweigert.

 

Gruß, Nils

[Sizco 10]

Wenn ich den Haken rausnehme, dann kann der User ja gar keine Dateien oder Unterordner mehr unterhalb von Archiv löschen.

Das möchte ich ja nicht erreichen.

Der User soll unterhalb von Archiv normal arbeiten, also Datein/Oder anlegen, änern und löschen können.

Ich möchte nur verhindern, dass er den kompletten Ordner Archiv löscht oder verschiebt.

[NilsK 2.922]

Moin,

 

Wenn ich den Haken rausnehme, dann kann der User ja gar keine Dateien oder Unterordner mehr unterhalb von Archiv löschen.

 

nein. Du musst ihm dann eben für die Unterordner das Löschen-Recht geben.

 

Das angesprochene Recht heißt: Der User darf Unterordner und Dateien auch dann löschen, wenn er auf diese überhaupt keine Rechte hat.

 

Gruß, Nils

[iDiddi 27]

Das angesprochene Recht heißt: Der User darf Unterordner und Dateien auch dann löschen, wenn er auf diese überhaupt keine Rechte hat.

 

Das kann ich bestätigen. Hatte das Verhalten damals hier mal diskutiert:

 

https://www.mcseboard.de/windows-forum-security-47/spezielle-ntfs-berechtigungen-freigabe-174849.html

[Sizco 10]

Das mit dem Rechten verstehe ich ja, aber es geht immernoch um das Phänomen, dass erst der komplette Inhalt des Ordner gelöscht wird und anschließend die Fehlermeldung kommt, dass man keine Berechtigung zum Löschen des Ordners hat.

Zu diesem Zeitpunkt ist der Ordner dann aber schon leer. Warum kommt die Meldung nicht gleich, bevor etwas gelöscht wird?

[iDiddi 27]

Weil der Benutzer doch das Recht hat, Unterordner und Dateien zu löschen. Nur den Ordner Archiv darf er nicht löschen. Also ist es doch genau so, wie Du es wolltest(?). Warum sollte Windows hier anders handeln? Wo genau siehst Du dabei nun das Problem?

[Sizco 10]

Ja, du hast recht. Es verhält sich logisch gesehen so, wie ich es eingerichtet habe. Ich dachte nur, man könnte Windows dazu bringen, erst du Löschberechtigungen für den ordner zu prüfen, bevor der komplette Inhalt gelöscht wird.

[iDiddi 27]

Ich dachte nur, man könnte Windows dazu bringen, erst du Löschberechtigungen für den ordner zu prüfen, bevor der komplette Inhalt gelöscht wird.

Ich wüsste nicht, wie. Glaube nicht, dass man da was an dem Verhalten ändern kann. Sorry.