Alith Anar 40 Geschrieben 15. Oktober 2015 Melden Teilen Geschrieben 15. Oktober 2015 (bearbeitet) Hallo, ich möchte diverse Netzwerkfreigaben erstellen. Berechtigungen setzen und Vererbung abschalten ist kein Problem. Dabei lasse ich die bestehenden Berechtigungen bestehen. Meine Frage ist nun, wie bekomme ich a ) SYSTEM wieder in den Ordnerb ) die Domain Users aus dem Root Ordner wieder raus ? $Regel=New-Object System.Security.AccessControl.Filesystemaccessrule("<Domain>\Users", "Read", "deny") $acl.removeaccessrule($Regel) Funktioniert leider nicht bearbeitet 15. Oktober 2015 von Alith Anar Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 19. Oktober 2015 Melden Teilen Geschrieben 19. Oktober 2015 Hi, so einfach ist das mit der PowerShell nicht. Hier mal ein Beispiel für die Berechtigungsanlage eines Users auf ein neu erstellten Ordner: New-Item -Path $HomeDir -Type Directory -Force $HomeDirACL=Get-Acl $HomeDir $IdentityReference='DOMAIN\'+$User.SamAccountName $FileSystemAccessRights=[System.Security.AccessControl.FileSystemRights]"FullControl" $InheritanceFlags=[System.Security.AccessControl.InheritanceFlags]"ContainerInherit, ObjectInherit" $PropagationFlags=[System.Security.AccessControl.PropagationFlags]"None" $AccessControl=[System.Security.AccessControl.AccessControlType]"Allow" $AccessRule=New-Object System.Security.AccessControl.FileSystemAccessRule($IdentityReference,$FileSystemAccessRights,$InheritanceFlags,$PropagationFlags,$AccessControl) $HomeDirACL.AddAccessRule($AccessRule) Set-ACL -Path $HomeDir -AclObject $HomeDirACL Nicht sonderlich schön. Eventuell fehlt dir aber auch nur das Set-ACL cmdlet. Wenn es schnell und einfach ohne großen Aufwand sein soll, dann nimm icacls. Geht sehr einfach die Befehle in der PowerShell zusammenzubauen. $CommandInherit = "icacls.exe "+ $FolderPath + " /inheritance:d" cmd.exe /c $CommandInherit Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 19. Oktober 2015 Melden Teilen Geschrieben 19. Oktober 2015 Statt cmd.exe aufrufen würde ich start-prozess oder & nutzen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 22. Oktober 2015 Melden Teilen Geschrieben 22. Oktober 2015 Wieso Vererbung abschalten? Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 22. Oktober 2015 Autor Melden Teilen Geschrieben 22. Oktober 2015 Danke für die Infos @Magheinz Weil bei einer Laufwerksfreigabe de Benutzer nur die Ordner sehen sollen, auf die Sie berechtigt sind. Wenn ich die Vererbung nicht aktiviere, sieht am Ende doch jeder alles ;) Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 23. Oktober 2015 Melden Teilen Geschrieben 23. Oktober 2015 Ich fürchte, hier liegt eine Fehlannahme vor. Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 23. Oktober 2015 Autor Melden Teilen Geschrieben 23. Oktober 2015 Was / Wen meinst du ? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 23. Oktober 2015 Melden Teilen Geschrieben 23. Oktober 2015 Danke für die Infos @Magheinz Weil bei einer Laufwerksfreigabe de Benutzer nur die Ordner sehen sollen, auf die Sie berechtigt sind. Wenn ich die Vererbung nicht aktiviere, sieht am Ende doch jeder alles ;) Dafür gibts doch ABE... Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 23. Oktober 2015 Autor Melden Teilen Geschrieben 23. Oktober 2015 (bearbeitet) Korrekt. Die aktiviere ich ja auch im Gesamtscript über: New-SmbShare -path "<Pfad>" -FolderEnumerationMode AccessBased -ReadAccess "Domänen-Benutzer" -Name "<Freigabename>$" Auf der Rootfreigabe gebe ich den Domänenbenutzern in den Sicherheitseinstellungen leserechte und den Netzwerkbenutzern Vollzugriff.Innerhalb dieser Freigabe werden dann die einzelnen Gruppenlaufwerke angelegt und mit den individuellen Berechtigungen versehen. Dafür muss ich aber die Vererbung des Roots abschalten, ansonsten sieht am Ende doch jeder alles. bearbeitet 23. Oktober 2015 von Alith Anar Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Oktober 2015 Melden Teilen Geschrieben 23. Oktober 2015 (bearbeitet) Auf der Rootfreigabe gebe ich den Domänenbenutzern in den Sicherheitseinstellungen leserechte und den Netzwerkbenutzern Vollzugriff. Moin, ich meine, das ist doch von hinten durch die Brust ins Auge. Das Problem, der Weg zum Ziel sollte neu überdacht werden. Ein Vorschlag, so in der Art habe ich es gemacht: Der Ordner "Root", Rechte darauf haben Administrator, Administratoren, System und die angelegte Sicherheitsgruppe Root. In Root z.B 1.Unterordner, dieser erbt nicht von Root, Rechte darauf vergeben an Administrator, Administratoren, und die angelegte Sicherheitsgruppe 1.Unterordner. Mitglied der Sicherheitsgruppe 1.Unterordner ist die Sicherheitsgruppe Root; damit erhalt ein Member der Sicherheitsgruppe 1.Unterordner Recht auf den Ordner Root. Durch ABE werden Ordner ohne Rechte darauf nicht gesehen. Der Ordner "Root" ist freigegeben. Das ist das grundlegende Prinzip, sehr einfach strukturiert, ich muss es wohl nicht weiter ausführen. Edit Oder man verzichtet auf die Mitgliedschaft der Sicherheitsgruppe Root in der Sicherheitsgruppe 1.Unterordner und mach den Benutzer zum Member von SG Root und SG 1.Unterordner. bearbeitet 23. Oktober 2015 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.