Sizco 10 Geschrieben 4. April 2012 Melden Teilen Geschrieben 4. April 2012 Hallo. Wir haben heute ein Phänomen auf unserem Fileserver entdeckt, welches wir nicht beheben können. Zur Struktur: Auf unserem Fileserver befinden sich diverse Freigaben und darunter eine Ordner-Ebene, in denen die NTFS-Berechtigungen gesetzt werden. Die Berechtigungen der Freigabe TEST sieht wie folgt aus: Freigabeberechtigungen: Administratoren und die lokale Gruppe TEST haben Vollzugriff. Sicherheit: Administratoren haben Vollzugriff, die lokale Gruppe TEST darf nur lesen (NUR dieser Ordner) Eine Ebene darunter befindet sich der Ordner Archiv. Dort sind die Berechtigungen wie folgt gesetzt: Administratoren haben Vollzugriff (geerbt von der Freigabe) die lokale Gruppe TEST hat alle Rechte, bis auf löschen. Die Rechte gelten für diesen Ordner, Unterordner und Dateien. Neben dem Ordner Archiv habe ich noch einen weiteren Ordner "Allgemein" mit identischen Rechten angelegt. Die Mitglieder der lokalen Gruppe TEST können nun direkt auf der Freigabe keinen Ordner anlegen und auch keinen der beiden Ordner (Archiv, Allgemein) umbenennen. Wenn sie jedoch versuchen, den Ordner zu löschen, dann wird der komplette Inhalt gelöscht, aber der Ordner bleibt mit der Meldung "Zugriff verweigert" erhalten. Genauso beim Verschieben. Am Ziel wird der komplette Ordner samt Inhalt erstellt, aber der Quellordner bleibt leer zurück. Gibt es eine Möglichkeit die Rechte soweit einzuschränken, dass beim Löschversuch des Ordner NICHT der gesamte Inhalt gelöscht wird, bevor die Fehlermeldung erscheint? Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 4. April 2012 Melden Teilen Geschrieben 4. April 2012 Moin, das Problem liegt vermutlich in der Berechtigung "Delete Children" auf NTFS-Ebene, im deutschen GUI "Unterordner und Dateien löschen". Zudem könnte es auch sein, dass auf den Dateien noch das Löschen-Recht gewährt ist. Die Ansicht "Erweiterte Berechtigungen" kann da besseren Aufschluss geben. Wer es mit Berechtigungen ernst meint, sollte gar nicht erst den Explorer dafür nutzen, sondern ein Spezialtool wie z.B. SetACL (kostenlos, Kommandozeile) oder SetACL Studio (sehr günstig, GUI). Allgemein rate ich davon ab, Berechtigungen allzu granular einzustellen. In vielen Fällen erreicht man nicht das, was man sich vorgestellt hat und bemerkt das erst, wenn es zu spät ist. Erschwerend kommt hinzu, dass viele Applikationen sich sehr unterschiedlich verhalten, wenn sie auf unerwartete Berechtigungen stoßen. Gruß, Nils Zitieren Link zu diesem Kommentar
Sizco 10 Geschrieben 4. April 2012 Autor Melden Teilen Geschrieben 4. April 2012 Wir stellen die Berechtigungen immer über die "Erweiterten Sicherheitseinstellungen" ein. Hier ein Beispiel für den Ordner Archiv: Wenn ein Mitglied der Gruppe AGES010_GES_BT_Archiv_x jetzt versucht diesen Ordner zu löschen, dann wird im Hintergrund der gesamte Inhalt des Ordners gelöscht. Eine Fehlermeldung erscheint erst, wenn der Ordner leer ist. Dieses möchten wir gerne verhindern. Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 4. April 2012 Melden Teilen Geschrieben 4. April 2012 Moin, ja, der Screenshot bestätigt meine Vermutung. Das Häkchen "Unterordner und Dateien löschen" ist gesetzt. Damit darf der User die Dateien auch dann löschen, wenn man ihm in den Dateiberechtigungen das Löschen explizit verweigert. Gruß, Nils Zitieren Link zu diesem Kommentar
Sizco 10 Geschrieben 4. April 2012 Autor Melden Teilen Geschrieben 4. April 2012 Wenn ich den Haken rausnehme, dann kann der User ja gar keine Dateien oder Unterordner mehr unterhalb von Archiv löschen. Das möchte ich ja nicht erreichen. Der User soll unterhalb von Archiv normal arbeiten, also Datein/Oder anlegen, änern und löschen können. Ich möchte nur verhindern, dass er den kompletten Ordner Archiv löscht oder verschiebt. Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 4. April 2012 Melden Teilen Geschrieben 4. April 2012 Moin, Wenn ich den Haken rausnehme, dann kann der User ja gar keine Dateien oder Unterordner mehr unterhalb von Archiv löschen. nein. Du musst ihm dann eben für die Unterordner das Löschen-Recht geben. Das angesprochene Recht heißt: Der User darf Unterordner und Dateien auch dann löschen, wenn er auf diese überhaupt keine Rechte hat. Gruß, Nils Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 4. April 2012 Melden Teilen Geschrieben 4. April 2012 Das angesprochene Recht heißt: Der User darf Unterordner und Dateien auch dann löschen, wenn er auf diese überhaupt keine Rechte hat. Das kann ich bestätigen. Hatte das Verhalten damals hier mal diskutiert: https://www.mcseboard.de/windows-forum-security-47/spezielle-ntfs-berechtigungen-freigabe-174849.html Zitieren Link zu diesem Kommentar
Sizco 10 Geschrieben 5. April 2012 Autor Melden Teilen Geschrieben 5. April 2012 Das mit dem Rechten verstehe ich ja, aber es geht immernoch um das Phänomen, dass erst der komplette Inhalt des Ordner gelöscht wird und anschließend die Fehlermeldung kommt, dass man keine Berechtigung zum Löschen des Ordners hat. Zu diesem Zeitpunkt ist der Ordner dann aber schon leer. Warum kommt die Meldung nicht gleich, bevor etwas gelöscht wird? Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 5. April 2012 Melden Teilen Geschrieben 5. April 2012 Weil der Benutzer doch das Recht hat, Unterordner und Dateien zu löschen. Nur den Ordner Archiv darf er nicht löschen. Also ist es doch genau so, wie Du es wolltest(?). Warum sollte Windows hier anders handeln? Wo genau siehst Du dabei nun das Problem? Zitieren Link zu diesem Kommentar
Sizco 10 Geschrieben 5. April 2012 Autor Melden Teilen Geschrieben 5. April 2012 Ja, du hast recht. Es verhält sich logisch gesehen so, wie ich es eingerichtet habe. Ich dachte nur, man könnte Windows dazu bringen, erst du Löschberechtigungen für den ordner zu prüfen, bevor der komplette Inhalt gelöscht wird. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 5. April 2012 Melden Teilen Geschrieben 5. April 2012 Ich dachte nur, man könnte Windows dazu bringen, erst du Löschberechtigungen für den ordner zu prüfen, bevor der komplette Inhalt gelöscht wird. Ich wüsste nicht, wie. Glaube nicht, dass man da was an dem Verhalten ändern kann. Sorry. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.