Navy 11 Geschrieben 2. Dezember 2013 Melden Teilen Geschrieben 2. Dezember 2013 Hi, ich bin gerade dabei mir Gedanken zu machen über ein Skript zur Berechtigung. Umfeld grob vereinfacht: Netzlaufwerk auf einem 2012R2: \\server\Daten\Projekte_Brauereien\Projekt#1.....Projekt#n Auf der Gesamtstruktur können alle Gruppen lesen und es gibt 2 Gruppen. Gruppe 1 soll in den Verzeichnisen Projekt#x schreiben können aber die Struktur an sich nicht ändern und Gruppe 2 Kann neue Projektordner anlegen/verschieben usw. In der Wurzel ist die Gruppe 1 nur lesend eingerichtet und das wird so durchvererbt. Wenn die Gruppe 2 ein neues Projekt anlegt berechtigen sie die Gruppe 1 darauf gleich noch schreibend. Das würde ich gerne automatisieren und mir kamen 2 Ansätze: 1. ein Script das im Ordner Projekte alle Unterordner der Reihe nach die Vererbung aufbricht und die Gruppe1 berechtigt. 2. ein Script das die neuen Projektordner nach Abfrage des Namens gleich richtig berechtigt anlegt. Sind diese Ansätze gangbar? Was ist mit der Laufzeit des Scripts 1? Wird jedesmal wirklich neu berechtigt? Dadurch würde die Laufzeit des Scripts wohl uninteressant dafür ist es einfacher zu handhaben. Ich bin für alle Dankanstöße offen wie ich es so handhaben kann das die Gruppe 2 nicht mehr Vollzugriff auf die Ordner braucht und keine Operationen mehr per Hand ausführen müssen. Gruß und Dank im Voraus Ben P.S.: Wer noch weiter Denken möchte, es gibt neben Projekte Brauereien auch noch andere z.B. Projekte_ Destillerien und hier kann es sein das es noch Unterordner nach Ortschaft gibt (\Projekte_Destillerien\Hamburg\Projekt#1....Projekt#n) Bitte als Brainstorming sehen was gibt es für Möglichkeiten für mich, also auch ganz andere Ideen. Danke. Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 3. Dezember 2013 Melden Teilen Geschrieben 3. Dezember 2013 Verstehe nicht warum da dafür ein Script schreiben willst? Kleinste NTFS Rechte für Gruppe 1 oben vergeben, auf den Unterordnern ggf. die Berechtigungen für Gruppe 1 höher setzen (lassen). Gruppe 2 hat entsprechend auf dem ersten Ordner hohe Berechtigungen. Zitieren Link zu diesem Kommentar
s-rosenkranz 0 Geschrieben 3. Dezember 2013 Melden Teilen Geschrieben 3. Dezember 2013 Hi, ich verstehe allerdings auch nicht, warum du hier Scripten willst. Erweiterte NTFS - Berechtigungen. Damit hast du die Möglichkeit alles das abzubilden, was du haben willst: für Ordner, Unterordner und Dateien auch getrennt. Auf der obersten Ebene vergibst du für deine Gruppe 1 das Recht die Ordner und Unterordner zu lesen, in einem zweiten Schritt, vergibst du der Gruppe 1 das Recht nur Dateien zu schreiben. Entsprechend gehst du bei den Berechtigungen für Gruppe 2 vor. Et voilà hast du genau das was du willst oder hab ich da jetzt noch etwas übersehen? PS. Die Vererbung rate ich dir nur im Sonderfall aufzubrechen. Es gibt andere Wege. Gruß Sebastian Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 5. Dezember 2013 Melden Teilen Geschrieben 5. Dezember 2013 Du kannst auch auf die übergeordneten Ordner die geringste Berechtigungen (Ordnerinhalt auflisten) setzten, damit die User zumindest durch die Ordnerstruktur browsen können. Damit können keine Inhalte gelesen werden, Du erlaubst aber, dass sie zumindest zu einem bestimmten Unterordner kommen, für den Du sie zum Beispiel berechtigt hast. So mache ich das bei ähnlichen Anforderungen. Zitieren Link zu diesem Kommentar
Navy 11 Geschrieben 9. Dezember 2013 Autor Melden Teilen Geschrieben 9. Dezember 2013 Ok, 3 mal Thema verfehlt ;) Lag wohl auch an der Komplexen Beschreibung. Hintergrund ist das das Gruppe 2 in einen neuen Projektordner eine Grundstruktur mit ca 15 Ordnern/Unterordnern reinkopiert. Ab dieser Ebene soll Gruppe 1 schreiben können (auch Unterordner anlegen und verschieben / umbenennen) aber die Grundstruktur soll sie nicht kaputt machen können(Ich weiß nicht wie oft ich einen verschwundenen Ordner im Nachbarordner gefunden habe). Wenn das ohne die Vererbung aufzubrechen geht wäre ich schon sehr verwundert. Bis jetzt bricht jemand in Gruppe 2 beim Anlegen eines neuen Projekts die Vererbung per Hand auf und berechtigt danach die Gruppe 1 schreibend auf die Unterordner, dies wollte ich automatisieren, daß hier weniger passieren kann. Ich denke das ich wohl ein script schreiben werde das in der Grundstruktur mit abgelegt wird und dann relativ vom Ausführungsort die Berechtigungen setzt und nicht absolut durch die ganze Struktur sich arbeitet. Gruß Ben Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 9. Dezember 2013 Melden Teilen Geschrieben 9. Dezember 2013 Hallo, vom Lesen erhalte ich den Eindruck, es handle sich um einen Tiefwurzeler. Mein Gedanke spontaner Gedanke war, einen Flachwurzler anzulegen. Zitieren Link zu diesem Kommentar
Navy 11 Geschrieben 9. Dezember 2013 Autor Melden Teilen Geschrieben 9. Dezember 2013 An der Struktur kann ich leider nichts ändern, die ist gegeben und auch nicht änderbar. Fangen wir mal kleiner an. Wie würde ich Vorgehen wenn ich in der PS im Ordner d:\test\ bin und dem unterordner projekt1 1. die Vererbung aufbrechen und 2. der Gruppe1 zusätzlich Schreibrechte vergeben will? Gruß Ben Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 9. Dezember 2013 Melden Teilen Geschrieben 9. Dezember 2013 (bearbeitet) Nach nochmaligen Durchlesen glaube ich zu wissen, was Du benötigst, habe dafür aber keine wirkliche Lösung parat, habe auch nicht die Routine dafür, mache das nicht jeden Tag erneut. In einem Zuständigkeitsbereich habe ich aber so etwas Ähnliches: Eine Struktur wird per Skript angelegt und die Berechtigungen vergeben. Beim Anlegen der Struktur(Ordner, Subs) wird vom oben nur vererbt das System, der Administrator, Ersteller/Besitzer, danach werden weitere Berechtigungen vergeben für die Gruppen, auf einige Subs auch der Besitz geändert. In dem Skript mache ich das mit cacls und subinacl, in einem anderen mit setacl von Helge Klein. Ich frage mich (und dich) ob es dir etwas nützt, wenn ich dir einige Zeilen hier reinsetze? Sie sind Bestandteil eines grösseren Skripes, eines über viele Jahre Gewachsenen (Du verstehst, was ich meine?). Es entfernt auch später händisch gesetzte Berchtigigungen bei einem abermaligen Durchlauf. Ich hab da einges entfernt. :Credentialscacls %UserHome% /e /g %Candidate%:fcacls %UserHome%\* /e /g %Candidate%:fcacls %UserHome% /e /g Bru:fcacls %UserHome%\* /e /g Bru:fcacls %UserHome% /e /r %Group%cacls %UserHome%\* /e /r %Group%cacls %UserHome% /e /r Namsencacls %UserHome%\* /e /r Namsencacls %UserHome% /e /r Fosscacls %UserHome%\* /e /r Fosscacls %UserHome% /e /r Jedersubinacl /subdirectories %UserHome% /setowner=%Candidate%rem pausegoto :eof bearbeitet 9. Dezember 2013 von lefg Zitieren Link zu diesem Kommentar
Navy 11 Geschrieben 17. Dezember 2013 Autor Melden Teilen Geschrieben 17. Dezember 2013 Setacl sieht sehr interessant aus, danke dir, werd mich am WE mal damit beschäftigen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 17. Dezember 2013 Melden Teilen Geschrieben 17. Dezember 2013 Viel Erfolg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.