Jump to content

move security attributes


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich stehe grade vor genau dem selben Problem. Jedoch haben wir Windows Server 2012R2 mit einem DFS und die Clients sind alle Windows 7 

 

Wenn User innerhalb ihrer Laufwerke oder speziell innerhalb von Abteilungslaufwerken Dateien zwischen Ordnern verschieben, bleiben die Berechtigungen von der Quelle erhalten. 

 

Meine Frage:

Ist das ein Clientspezifisches verhalten, also muss der Registry Key auf dem Client angepasst werden, was bei mir nicht funktionierte bisher, auch das HotFix Paket lässt sich nicht installieren

(Dieses Microsoft-Fix kann nicht aiusgeführt werden, da für den Computer ein Microsoft-Download bzw. ein Microsoft-Update erforderlich ist.)

 

oder ist das eine Serverspezifische Einstellung? Zu Windows Server 2012 konnte ich dazu jedoch absolut nichts finden.

 

 

Das verschieben innerhalb von Laufwerken durch Anwender ist IMHO kein Organisatorisches Problem sondern ein ganz normaler verwaltungstechnischer Vorgang. 

z.B. werden abgeschlossene Projekte in ein Archiv Ordner verschoben auf dem eben nicht mehr alle Zugriff haben. 

Daher sollten dort auch die Berechtigungen entfernt werden und durch die des übergeordneten Objektes ersetzt werden.

Alles andere ergibt auch von der Logik her absolut keinen Sinn, jedenfalls sehe ich ihn nicht .... 

Link zu diesem Kommentar

Hi,

 

den Artikel kenne ich natürlich bereits.

Wie schon gesagt der Key ist auf meinem Testclient gesetzt trotz dem ändert das nichts am Move verhalten.

Das MSI Paket welches ich dort runter laden kann, gibt die oben genannte Fehlermeldung zurück.

 

Client: Windows 7 x64

 

Gruß

Tobias

 

edit: ich dachte unten der DL wäre der Hotfix... der Link ist aber ganz unscheinbar ganz oben. 

bearbeitet von mr.schrotti
Link zu diesem Kommentar

Hast Du den Wert auf 0 oder 1 gesetzt am Client? Welche Dateiversion, Datum und Größe hat denn die Shell32.dll auf den Clients? Welchen Hotfix hast Du genau heruntergeladen? Welchen Dateinamen hat der?

 

Welche Rechte haben die Quellordner und welche die Zielordner? Hast Du Dich mit den möglichen Konsequenzen beschäftigt, denn es gibt einen guten Grund für die Standardeinstellung?

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar

@Daniel

 

Welchen Grund meinst du ?

 

Ich finde das bei uns auch störend, wenn der Einkaufsleiter einen Angebotsordner erstellt hat, diesen in das Verzeichnis des Sachbearbeiters VERSCHIEBT und der Sachbearbeiter dann nicht darauf zugreifen kann. Dann heißt es meist : "Sch... EDV  wieso kann Kollege xy nicht mit den Daten arbeiten". Ich hätte gerne einen guten Grund warum das so ist, damit ich den Kollegen an dieser Stelle den Wind aus den Segeln nehmen kann.

Link zu diesem Kommentar

Ich finde das bei uns auch störend, wenn der Einkaufsleiter einen Angebotsordner erstellt hat, diesen in das Verzeichnis des Sachbearbeiters VERSCHIEBT und der Sachbearbeiter dann nicht darauf zugreifen kann. Dann heißt es meist : "Sch... EDV  wieso kann Kollege xy nicht mit den Daten arbeiten". Ich hätte gerne einen guten Grund warum das so ist, damit ich den Kollegen an dieser Stelle den Wind aus den Segeln nehmen kann.

 

Da heißt es dann auch berechtigterweise "Sch.. EDV". Da sollten doch im Arbeitsordner für Angebote und Sachbearbeiter entsprechende Rechte gesetzt sein. Oder sollen Sachbearbeiter nicht auf den Ordner des Einkaufsleiters zugreifen können? Na dann hat das doch auch seinen guten Grund.

 

Wenn eine Datei von einem Speicherort an einen anderen Speicherort, ob auf demselben oder einem anderen Volume kopiert wird, wird eine neue Datei im Zielordner erstellt. Die Datei erbt die Berechtigungen, die Access Control List (ACL) vom übergeordneten Ordner.

 

Wenn eine Datei von einem Speicherort zu einem anderen auf demselben Volume verschoben wird, behält die Datei die Sicherheitsbeschreibung. Es wird nur der Zeiger auf die Ressource geändert.

 

Wenn eine Datei von einem Speicherort zu einem anderen auf ein anderes Volume verschoben wird, dient dies ähnlich wie die Kopie, außer aus den Quellpfad die Datei gelöscht wird. Die verschobene Datei erbt die Berechtigungen vom übergeordneten Ordner.

 

In Summe geht es auch um eine Risikoabwägung. Ein Verschieben auf der gleichen Partition erfolgt durch Ändern der Verzeichniseinträge. Da werden keine Datenblöcke angefaßt. Da dass in Sekundenbruchteilen passiert und wenn man es unbewußt macht, man den Vorgang somit kaum mitbekommt, ist es sinnvoll, dass die originalen Berechtigungen nicht verändert werden. Damit sind restriktiver konfigurierte Ordner und Daten weiterhin geschützt, auch wenn sie in unrestriktivere Ordner verschoben werden. Im Falle des Kopierens werden ja tatsächlich Daten kopiert. Das dauert dann auch dementsprechend und erfolgt in der Regel nicht unbewußt.

 

Have fun!

Daniel

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar

Hallo Daniel,

unsere Struktur sieht so aus :

 

\Einkauf

\Einkauf\Vorbereitung\Projektname --> hier hat NUR der EK-Leiter Zugriff

\Einkauf\Aktiv\ --> hier haben EK-Leiter und Sachbearbeiter Zugriff

 

Wenn nun der EK-Leiter seine Daten VERSCHIEBT ergibt sich dann

\Einkauf\Aktiv\Projektname --> hIer kann ohne Eingriff wiederums nur der EK-Leiter zugreifen

 

und dieses Verhalten lässt sich mit meinem Kenntnisstand nicht ändern und aus deinen Ausführungen entnehme ich dass es sich auch nicht ändern lässt

 

Aus diesem Grund nehme ich die Argumentation "It's a security Feature not a bug" ja auch gerne in meine Argumentationsliste auf, aber "Sch... EDV" ist da nicht das Argument...

Link zu diesem Kommentar

Nur eine Frage der Organisation. Wenn Du zum Beispiel zwei Freigaben machst und den Zugriff auf NTFS-Ebene entsprechend beschränkst:

 

E: = \Einkauf\Aktiv\

V: = \Einkauf\Vorbereitung

 

Wenn jetzt der EK-Leiter das vorbereitete Projekt von V: nach E: verschiebt, werden die Berechtigungen vererbt.

 

Oder Du bringst ihm bei, beim verschieben die STRG-Taste gedrückt zu halten. Dann kopiert er den Inhalt und die Rechte werden ebenfalls vererbt. Dann muss er nur noch den Quellordner danach löschen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...