websurfer83 0 Geschrieben 19. Februar 2018 Melden Teilen Geschrieben 19. Februar 2018 (bearbeitet) Hallo zusammen, bevor ich zu meiner Problemstellung komme, hier zunächst die Ausgangslage: In einer AD-Umgebung existiert ein Funktionsaccount, welcher es bisher ermöglichte, von Rechnern, die nicht Mitglied der Domäne sind, auf SMB-Freigaben innerhalb der Domäne zuzugreifen (Vollzugriff). Dies war vor allem für Laptops gedacht, die sich von außerhalb der VPN verbunden haben. Nun wurden aber sämtliche Laptops ebenfalls in die Domäne mit aufgenommen und damit ist dieser Funktionsaccount für den SMB-Zugriff nun obsolet geworden und soll gelöscht werden. Das Problem ist nun, dass die mit diesem Funktionsaccount erstellten und abgelegten Dateien nun dem eigentlichen AD-Benutzer "überschrieben" werden sollen. In den Freigabeordnern liegen allerdings eben nicht nur Dokumente, die den Funktionsaccount als Besitzer haben, sondern auch Dateien von anderen Besitzern, die unangetastet bleiben sollen. Deshalb ist das Ändern des Besitzers über die Explorer-GUI mit Vererbung nicht möglich. Meine Frage: Gibt es irgend ein Skript/eine Funktion, mit der man gezielt die Dateien des Benutzers "Funktion_SMB" auf den Benutzer "Mustermann" (oder ähnlich) "überschreiben" kann? Die Berechtigungen beider User sind identisch und sollen daher so übernommen werden. Ich hoffe, dass es für das Problem eine Lösung gibt. Viele Grüße und herzlichen Dank websurfer83. bearbeitet 19. Februar 2018 von websurfer83 Zitieren Link zu diesem Kommentar
MurdocX 957 Geschrieben 19. Februar 2018 Melden Teilen Geschrieben 19. Februar 2018 Folgendes: "Vollzugriff" Benötigt kein Benutzer, sondern nur der Admin! Für die Benutzer sollte "Ändern" das höchste der Gefühle sein. Die Dateien sollten im Besitz der Administratoren sein, damit auch Berechtigungen problemlos von den lokalen Admins verwaltet werden können. Übernehmen der Dateiownerships für alle Dateien und Ordner * takeown.exe /F D:\MeineFiles\* /A /R Die Frage wäre nun noch, ob es in deinem Fall überhaupt nötig ist die Besitzer-Berechtigung zu behalten und welcher Usecase sich daraus bei euch ergibt? Zitieren Link zu diesem Kommentar
websurfer83 0 Geschrieben 19. Februar 2018 Autor Melden Teilen Geschrieben 19. Februar 2018 Hallo, danke, ja, das mit dem "Ändern" meinte ich auch, sorry. Wenn ein User in einem Freigabeordner eine Datei erstellt, ist sie natürlich in dessen Besitz und nicht im Besitz des Admin. Das soll auch so bleiben. Wenn der Funktionsaccount gelöscht werden soll, muss vorher ein neuer Besitzer eingetragen werden, da sonst kein gültiger Besitzer mehr vorhanden ist. Das Problem bei dem von dir genannten Kommando ist, dass eben ALLE Dateien den neuen Besitzer erhalten, es sollen aber nur die Dateien des bisherigen Funktionsaccounts einen neuen Besitzer erhalten. Wie könnte man das lösen? Vielen Dank und viele Grüße websurfer83. Zitieren Link zu diesem Kommentar
MurdocX 957 Geschrieben 19. Februar 2018 Melden Teilen Geschrieben 19. Februar 2018 Nur weil man es immer so gemacht hat, heißt das ja noch lange nicht das man es weiterhin so machen muss Das könntest du z.B. über die Powershell machen. Der Befehl zum auslesen des Besitzers lautet Get-Acl um den Besitzer zu ändern könntest du z.B. diesem Blog hier folgen: https://learn-powershell.net/2014/06/24/changing-ownership-of-file-or-folder-using-powershell/ Leider habe ich noch nicht verstanden was der Sinn und Zweck der Aktion ist, denn der ist ja maßgeblich für die Aktion, oder? Zitieren Link zu diesem Kommentar
websurfer83 0 Geschrieben 19. Februar 2018 Autor Melden Teilen Geschrieben 19. Februar 2018 Leider habe ich noch nicht verstanden was der Sinn und Zweck der Aktion ist, denn der ist ja maßgeblich für die Aktion, oder? Klar, habe ich aber doch bereits geschrieben: Momentan gehören die Dateien dem User "Funktion_SMB". Dieser soll aber gelöscht werden. Nach dem Löschen steht bei den Dateien unter Besitzer dann irgend ein "S-XXXX-usw." drin, weil es den vorherigen Besitzer nicht mehr gibt. Um diesen sinnfreien undefinierbaren Besitzer zu verhindern, sollen sie vorher dem eigentlichen Besitzer zugeführt werden. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 19. Februar 2018 Melden Teilen Geschrieben 19. Februar 2018 (bearbeitet) Die Frage ist, welchen Vorteil Du Dir versprichst den Besitzer der Daten zu verändern. Du solltest auf der Freigabe alle Benutzern max. das Recht "Ändern" erteilen. Im NTFS würde ich das Recht "Ersteller-Besitzer" nach Möglichkeit ganz entfernen. Zumal es bei dem Recht "Ändern" auf de Freigabe keine praktische Funktion mehr hat. Als Admin möchte man es üblicherweise nicht, wenn ein User selbst NTFS-Rechte vergeben darf. Das gibt u.a. nervige Fehler bei der Datensicherung. Der Besitzer hat dann nur noch einen informellen Wert, solange eine Administrator-Gruppe Vollzugriff hat. bearbeitet 19. Februar 2018 von zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.