NTFS Berechtigungen beim verschieben von Dateien auf gleichem Volume

[AFM_Adm 11]

Hallo beisammen,

 

das Verhalten der Vererbung von NTFS Berechtigungen beim Verschieben (nicht copy&paste) hat sich zwischen XP, Win7 und jetzt Win10 ja öfters geändert und ließ sich per Registry teils ja auch anpassen.

Mir ist bei Windows 10 aufgefallen, dass anscheinend immer die Berechtigungen des Zielordners vererbt werden, aber nur wenn derjenige der die Daten per Windows Explorer verschiebt auch der Besitzer ist.

 

Könnt ihr dieses Verhalten bestätigen?

Wie kann ich dieses Verhalten dahingehend ändern, dass unabhängig vom Besitzer der Daten immer die Berechtigungen vom Zielverzeichnis vererbt werden?

[daabm 1.335]

Das wird nicht gehen - nur der Besitzer und Administratoren haben das Recht, Berechtigungen zu ändern. Und wenn beim Verschieben immer geerbt werden soll, müßte das auch beim "gewöhnlichen Benutzer" passieren. Du verstehst?

 

Das ist ja auch der technisch große Unterschied zwischen Verschieben auf dem gleichen Laufwerk und auf verschiedenen Laufwerken. Beim gleichen Laufwerk ist es hinterher die gleiche Datei wie vorher, sie hängt jetzt nur wo anders rum. Bei verschiedenen Laufwerken ist es eine neue Datei.

[AFM_Adm 11]

Ok, technisch gesehen verständlich. Bloß wie soll ich das den Usern erklären, glaube nicht das das alle verstehen :cry:

[zahni 550]

Hier sollte es korrekt beschrieben sein:

 

https://support.microsoft.com/en-us/help/310316/how-permissions-are-handled-when-you-copy-and-move-files-and-folders

 

"MoveSecurityAttributes"  steuert das Kopierverhalten auf dem gleichen Volume. Da technisch der Move in ein Kopieren und Löschen gewandelt wird, erben die Dateien in jedem Fall die Rechte des Zielordners.

[NilsK 2.922]

Moin,

 

das Problem dabei ist, dass die Client-Implementierung sich hier nach Windows XP geändert hat, möglicherweise sogar mehrfach. Daher ist es schwer vorherzusagen, was nun wirklich passiert und wie man das in den Griff bekommt.

 

Ich bin mit einem Kunden gerade in einem Projekt, wo das eine Rolle spielt. Eine richtig schöne Lösung scheint es dafür nicht zu geben.

 

Gruß, Nils

[AFM_Adm 11]

Ok, also bleibt nur die Option den Usern zu sagen, dass sie nie verschieben sondern nur kopieren und die Daten am bisherigen Speicherort löschen sollen?

[NilsK 2.922]

Moin,

 

das kann man so nicht beantworten, weil es von den konkreten Anforderungen abhängt. Mögliche Elemente zur Umsetzung umfassen organisatorische Vorgaben, wie du sie nennst, Reparaturskripte, eingeschränkte Berechtigungen, gezieltes Aufteilen von Datenspeichern, Umstieg auf andere Techniken (Sharepoint, DMS ...) ...

 

Gruß, Nils

[zahni 550]

Ist  wirklich sehr  verworren:

 

http://www.active-directory-faq.de/2015/03/windows-7-geaendertes-verhalten-beim-verschieben/

 

Persönlich meine ich, dass niemand eine Funktion braucht, welche die Rechte beim Verschieben erhält.

Ich habe es gerade mal unter  Windows 7 probiert: Verschieben als Normal-User (maximal Recht "Ändern"): Rechte werden verschoben

Mit  Admin-Rechten: Rechte des Zielordners werden vererbt. Technisch nachvollziehbar, da die Rechte wohl vom Client gesetzt werden, aber wenig hilfreich.

 

Das erinnert mit sofort wieder an mein anderes Problem bei vererbten Rechten, das ich mit  Nils im Nachbar-Thread diskutiert  habe.... 

[NilsK 2.922]

Moin,

 

ja, das ist nachvollziehbar. Das Dateisystem selbst behält die Berechtigungen beim Verschieben auf demselben Volume bei, weil sich die Metadaten des Objekts nicht ändern.

Der Client kann dies beeinflussen, wenn der User die Rechte dazu hat (Berechtigungen ändern) - aber nur, wenn er eine Funktion dafür hat (mit Bordmitteln nur der Explorer, soweit ich weiß) und wenn das auch klappt (bei Windows 7 klappt das nicht immer, es gab mal einen Hotfix, der in aktuellen Installationen aber wohl nicht mehr funktioniert).

 

Gruß, Nils

[zahni 550]

Die Alternative wäre, wenn der Explorer das Verschieben durch ein Kopieren und Löschen ersetzen würde (und sei es nur per GPO). Doch das mag man wohl nicht.

Habe es übrigens auf der Netapp probiert. Verhalten gleich, ist also ein reines Client-Thema.

[daabm 1.335]

Ein "saublöder" Trick wäre, das Zielverzeichnis auch noch unter einem anderen Laufwerk bereitzustellen - dann rafft der Explorer das IMHO nicht mehr und macht Copy/Delete. Aber auch das kannst Du den Usern schwerlich erklären... :)

[AFM_Adm 11]

Also Anforderung ist, dass die User Dateien auf dem gleichen Volume in andere Unterordner verschieben können und dabei die Berechtigungen von dem Zielordner übernommen werden. Egal ob Besitzer der Datei (ist vielleicht auch gar nicht mehr im Unternehmen tätig) oder "nur" Schreib-Berechtigungen.

 

Momentan sehe ich keine andere Möglichkeit außer das die User die Dateien kopieren und am Quellort löschen, somit werden die Berechtigungen vom Zielordner übernommen. Den technischen Hintergrund wird und will keiner der User verstehen, auch wenn er für uns Admins klar ist ;)

[NilsK 2.922]

Moin,

 

ja, die Anforderung trifft man bisweilen an. Mein Stand ist, dass es da keine wirklich schöne Lösung gibt.

Der Client-Workaround (der je nach Windows-Version mal funktioniert, mal nicht) setzt voraus, dass die User Berechtigungen ändern dürfen. Ist das nicht gegeben, dann greift die Logik des Dateisystems (bzw. es bleibt dabei).

Es gibt wohl Leute, die regelmäßig Skripte abfeuern, um die Berechtigungen zurückzusetzen. Das ist aber keine schöne Lösung, weil sehr ressourcenintensiv und nicht zuverlässig.

 

Manchen Kunden reicht es in der Praxis auch, es so hinzunehmen, wie es ist, und in nötigen Fällen (die dort eher selten auftreten) manuell zu korrigieren.

 

Gruß, Nils

[zahni 550]

Halten wir fest: Vererbbare Rechte wurden mit irgendeinem ServicePack unter NT 4.0 an das NTFS angehäckelt. NTFS kannte im ursprünglichen Design keiner vererbbaren Rechte. Die gewählte Lösung  ist eher eine Psdeudo-Vererbung, da die Rechte trotzdem auf jedem Objekt eingetragen werden. Damit musste man am NTFS nur wenig ändern. Es wird wirklich mal Zeit  für ein echtes neues  Dateisystem.  

[NilsK 2.922]

Moin,

 

Halten wir fest: Vererbbare Rechte wurden mit irgendeinem ServicePack unter NT 4.0 an das NTFS angehäckelt. NTFS kannte im ursprünglichen Design keiner vererbbaren Rechte. Die gewählte Lösung  ist eher eine Psdeudo-Vererbung, da die Rechte trotzdem auf jedem Objekt eingetragen werden.

 

ich kann es nicht belegen, aber ich meine, dass das nicht zutrifft. Soweit ich weiß, war das Berechtigungssystem inkl. Vererbung schon in der NTFS-Version 1 enthalten (kam mit NT 3.1, also der ersten Version), und tatsächlich werden die ACLs auch nicht pro Objekt gespeichert. sondern in einer Art verteilten Datenbankstruktur. Ich habe aber leider nicht genug Zeit, das nachzurecherchieren.

 

EDIT: Jetzt habe ich doch eine Quelle gefunden: http://www.pcguide.com/ref/hdd/file/ntfs/secInherit-c.html

Die Darstellung dort untermauert deine Aussage teilweise: Demnach hatte NTFS 1.1 (NT4; vermutlich auch 1.0, aber das steht da nicht) nur statische Vererbung (wurde nur beim Erzeugen einer Datei einmalig gesetzt), und dynamische Vererbung kam mit NTFS 2.0 (Windows 2000 bzw. NT SP4) dazu. In der Tat erinnere ich mich, dass das SP4 damals einiges änderte und dass man auf NT-Rechnern SP4 brauchte, wenn man auf Windows-2000-NTFS-Partitionen zugreifen wollte.

Allerdings ist das hier nur funktional beschrieben, die Datenstrukturen sind, meine ich mich zu erinnern, technisch nicht ganz so simpel, wie dort angedeutet wird. Wobei man aus dem Text durchaus rauslesen kann, dass die Berechtigungen eben nicht für jedes Objekt gespeichert sind, sondern bei jedem Zugriff geprüft werden müssen.

 

Ist aber am Ende auch egal. Ändert nämlich nichts am Problem. :D

 

Gruß, Nils

bearbeitet 21. Februar 2017 von NilsK