AFM_Adm 11 Geschrieben 9. Februar 2017 Melden Teilen Geschrieben 9. Februar 2017 Hallo beisammen, das Verhalten der Vererbung von NTFS Berechtigungen beim Verschieben (nicht copy&paste) hat sich zwischen XP, Win7 und jetzt Win10 ja öfters geändert und ließ sich per Registry teils ja auch anpassen. Mir ist bei Windows 10 aufgefallen, dass anscheinend immer die Berechtigungen des Zielordners vererbt werden, aber nur wenn derjenige der die Daten per Windows Explorer verschiebt auch der Besitzer ist. Könnt ihr dieses Verhalten bestätigen? Wie kann ich dieses Verhalten dahingehend ändern, dass unabhängig vom Besitzer der Daten immer die Berechtigungen vom Zielverzeichnis vererbt werden? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 10. Februar 2017 Melden Teilen Geschrieben 10. Februar 2017 Das wird nicht gehen - nur der Besitzer und Administratoren haben das Recht, Berechtigungen zu ändern. Und wenn beim Verschieben immer geerbt werden soll, müßte das auch beim "gewöhnlichen Benutzer" passieren. Du verstehst? Das ist ja auch der technisch große Unterschied zwischen Verschieben auf dem gleichen Laufwerk und auf verschiedenen Laufwerken. Beim gleichen Laufwerk ist es hinterher die gleiche Datei wie vorher, sie hängt jetzt nur wo anders rum. Bei verschiedenen Laufwerken ist es eine neue Datei. Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 13. Februar 2017 Autor Melden Teilen Geschrieben 13. Februar 2017 Ok, technisch gesehen verständlich. Bloß wie soll ich das den Usern erklären, glaube nicht das das alle verstehen :cry: Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Hier sollte es korrekt beschrieben sein: https://support.microsoft.com/en-us/help/310316/how-permissions-are-handled-when-you-copy-and-move-files-and-folders "MoveSecurityAttributes" steuert das Kopierverhalten auf dem gleichen Volume. Da technisch der Move in ein Kopieren und Löschen gewandelt wird, erben die Dateien in jedem Fall die Rechte des Zielordners. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Moin, das Problem dabei ist, dass die Client-Implementierung sich hier nach Windows XP geändert hat, möglicherweise sogar mehrfach. Daher ist es schwer vorherzusagen, was nun wirklich passiert und wie man das in den Griff bekommt. Ich bin mit einem Kunden gerade in einem Projekt, wo das eine Rolle spielt. Eine richtig schöne Lösung scheint es dafür nicht zu geben. Gruß, Nils Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 13. Februar 2017 Autor Melden Teilen Geschrieben 13. Februar 2017 Ok, also bleibt nur die Option den Usern zu sagen, dass sie nie verschieben sondern nur kopieren und die Daten am bisherigen Speicherort löschen sollen? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Moin, das kann man so nicht beantworten, weil es von den konkreten Anforderungen abhängt. Mögliche Elemente zur Umsetzung umfassen organisatorische Vorgaben, wie du sie nennst, Reparaturskripte, eingeschränkte Berechtigungen, gezieltes Aufteilen von Datenspeichern, Umstieg auf andere Techniken (Sharepoint, DMS ...) ... Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Ist wirklich sehr verworren: http://www.active-directory-faq.de/2015/03/windows-7-geaendertes-verhalten-beim-verschieben/ Persönlich meine ich, dass niemand eine Funktion braucht, welche die Rechte beim Verschieben erhält. Ich habe es gerade mal unter Windows 7 probiert: Verschieben als Normal-User (maximal Recht "Ändern"): Rechte werden verschoben Mit Admin-Rechten: Rechte des Zielordners werden vererbt. Technisch nachvollziehbar, da die Rechte wohl vom Client gesetzt werden, aber wenig hilfreich. Das erinnert mit sofort wieder an mein anderes Problem bei vererbten Rechten, das ich mit Nils im Nachbar-Thread diskutiert habe.... Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Moin, ja, das ist nachvollziehbar. Das Dateisystem selbst behält die Berechtigungen beim Verschieben auf demselben Volume bei, weil sich die Metadaten des Objekts nicht ändern. Der Client kann dies beeinflussen, wenn der User die Rechte dazu hat (Berechtigungen ändern) - aber nur, wenn er eine Funktion dafür hat (mit Bordmitteln nur der Explorer, soweit ich weiß) und wenn das auch klappt (bei Windows 7 klappt das nicht immer, es gab mal einen Hotfix, der in aktuellen Installationen aber wohl nicht mehr funktioniert). Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Die Alternative wäre, wenn der Explorer das Verschieben durch ein Kopieren und Löschen ersetzen würde (und sei es nur per GPO). Doch das mag man wohl nicht. Habe es übrigens auf der Netapp probiert. Verhalten gleich, ist also ein reines Client-Thema. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 13. Februar 2017 Melden Teilen Geschrieben 13. Februar 2017 Ein "saublöder" Trick wäre, das Zielverzeichnis auch noch unter einem anderen Laufwerk bereitzustellen - dann rafft der Explorer das IMHO nicht mehr und macht Copy/Delete. Aber auch das kannst Du den Usern schwerlich erklären... :) Zitieren Link zu diesem Kommentar
AFM_Adm 11 Geschrieben 21. Februar 2017 Autor Melden Teilen Geschrieben 21. Februar 2017 Also Anforderung ist, dass die User Dateien auf dem gleichen Volume in andere Unterordner verschieben können und dabei die Berechtigungen von dem Zielordner übernommen werden. Egal ob Besitzer der Datei (ist vielleicht auch gar nicht mehr im Unternehmen tätig) oder "nur" Schreib-Berechtigungen. Momentan sehe ich keine andere Möglichkeit außer das die User die Dateien kopieren und am Quellort löschen, somit werden die Berechtigungen vom Zielordner übernommen. Den technischen Hintergrund wird und will keiner der User verstehen, auch wenn er für uns Admins klar ist ;) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 21. Februar 2017 Melden Teilen Geschrieben 21. Februar 2017 Moin, ja, die Anforderung trifft man bisweilen an. Mein Stand ist, dass es da keine wirklich schöne Lösung gibt. Der Client-Workaround (der je nach Windows-Version mal funktioniert, mal nicht) setzt voraus, dass die User Berechtigungen ändern dürfen. Ist das nicht gegeben, dann greift die Logik des Dateisystems (bzw. es bleibt dabei). Es gibt wohl Leute, die regelmäßig Skripte abfeuern, um die Berechtigungen zurückzusetzen. Das ist aber keine schöne Lösung, weil sehr ressourcenintensiv und nicht zuverlässig. Manchen Kunden reicht es in der Praxis auch, es so hinzunehmen, wie es ist, und in nötigen Fällen (die dort eher selten auftreten) manuell zu korrigieren. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 21. Februar 2017 Melden Teilen Geschrieben 21. Februar 2017 Halten wir fest: Vererbbare Rechte wurden mit irgendeinem ServicePack unter NT 4.0 an das NTFS angehäckelt. NTFS kannte im ursprünglichen Design keiner vererbbaren Rechte. Die gewählte Lösung ist eher eine Psdeudo-Vererbung, da die Rechte trotzdem auf jedem Objekt eingetragen werden. Damit musste man am NTFS nur wenig ändern. Es wird wirklich mal Zeit für ein echtes neues Dateisystem. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 21. Februar 2017 Melden Teilen Geschrieben 21. Februar 2017 (bearbeitet) Moin, Halten wir fest: Vererbbare Rechte wurden mit irgendeinem ServicePack unter NT 4.0 an das NTFS angehäckelt. NTFS kannte im ursprünglichen Design keiner vererbbaren Rechte. Die gewählte Lösung ist eher eine Psdeudo-Vererbung, da die Rechte trotzdem auf jedem Objekt eingetragen werden. ich kann es nicht belegen, aber ich meine, dass das nicht zutrifft. Soweit ich weiß, war das Berechtigungssystem inkl. Vererbung schon in der NTFS-Version 1 enthalten (kam mit NT 3.1, also der ersten Version), und tatsächlich werden die ACLs auch nicht pro Objekt gespeichert. sondern in einer Art verteilten Datenbankstruktur. Ich habe aber leider nicht genug Zeit, das nachzurecherchieren. EDIT: Jetzt habe ich doch eine Quelle gefunden: http://www.pcguide.com/ref/hdd/file/ntfs/secInherit-c.html Die Darstellung dort untermauert deine Aussage teilweise: Demnach hatte NTFS 1.1 (NT4; vermutlich auch 1.0, aber das steht da nicht) nur statische Vererbung (wurde nur beim Erzeugen einer Datei einmalig gesetzt), und dynamische Vererbung kam mit NTFS 2.0 (Windows 2000 bzw. NT SP4) dazu. In der Tat erinnere ich mich, dass das SP4 damals einiges änderte und dass man auf NT-Rechnern SP4 brauchte, wenn man auf Windows-2000-NTFS-Partitionen zugreifen wollte. Allerdings ist das hier nur funktional beschrieben, die Datenstrukturen sind, meine ich mich zu erinnern, technisch nicht ganz so simpel, wie dort angedeutet wird. Wobei man aus dem Text durchaus rauslesen kann, dass die Berechtigungen eben nicht für jedes Objekt gespeichert sind, sondern bei jedem Zugriff geprüft werden müssen. Ist aber am Ende auch egal. Ändert nämlich nichts am Problem. :D Gruß, Nils bearbeitet 21. Februar 2017 von NilsK Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.