Server2016 - NTFS-Rechte Homelaufwerk

[Jian 10]

Hi,

ich habe einen Server 2016 mit Homelaufwerke für die User. In jedem User-Ordner gibt es einen Ordner, den der User nicht löschen soll.

Unter 2012R2 war dies kein Problem: Vererbung raus, Rechte setzen, passt.

Beim 2016er scheint sich hier was geändert zu haben und ich schaffe es nicht, dies umzusetzen.

 

Die Freigaberechte lauten auf: JEDER - Ändern

NTFS-Rechte: hier habe ich mit div. Kombinationen gespielt, aber zu keinem sinnvollen Ergebnis gekommen. Sobald der User Leserecht hat, kann er auch Ordner umbenennen (was bei dem einen nicht der Fall sein soll)

Wie gesagt, bei EINEM Ordner im Userlaufwerk soll der User diesen nicht löschen oder umbenennen können.

Hab auch mit Deny-Rechten gespielt, hat aber auch nichts gebracht.

Der User ist direkt berechtigt, nicht über Gruppen. Es gibt auch keine weiteren Gruppenrechte auf dem Hauptordner

 

Kann mir jemand sagen, wie ich das einstellen soll, damit dies funktioniert? Von 2003-2012R2 war dies eingentlich nie ein Problem....

 

Schöne Grüße

Jian

[Weingeist 159]

Bist Du Dir sicher, dass nicht Write-Rechte vererbt worden sind? Habe zwar noch keine produktive Server 2016 Umgebung (mir ist die App-GUI mit ihren 100 Firewall-Freigaben pro User und die IOPS für die Telemetrie immer noch ein graus, Datenschutz ganz zu schweigen), aber ich kann mir nicht vorstellen, dass MS eine Freigabe-Write-Berechtigung an NTFS weiterreicht.

[Jian 10]

ich wüßte nicht woher.

Hab alles mehrfach gecheckt und getestet, komme aber nicht weiter

[NorbertFe 2.089]

Windows 2016 verhält sich NTFS seitig nicht anders als 2012R2. Im zweifel nimm dir mal das setacl Studio (gibts inzwischen kostenfrei) und arbeite damit. Ist deutlich einfacher als sich durch die zig Ebenen des Explorers zu klicken.

[zahni 558]

Ohne zu wissen, was da nicht geht: wir haben bzw. hatten auch ein paar Ordner auf seinem Home-Laufwerk, die der User nicht löschen soll.

Maßnahme: Wir  erzeugen die Ordner im Anmeldeskript einfach neu. Wenn der Ordner immer wieder auftaucht, hört der User auf  den zu verschieben.

[Jian 10]

Das Tool setacl-Studio zeigt auch nichts anderes an.

Es scheint so, dass Rechte auf dem Hauptorder, die nur für "Unterordner und Dateien" gelten sollten, erst ab der zweiten Unterstruktur greift....

[Weingeist 159]

Jetzt verstehe ich auch was Du erreichen möchtest. Sie sollen den Ordner selber nicht umbenenen können, innerhalb des Ordners aber dennoch Schreibrechte haben. Das ist etwas tricky.

 

Lösen kannst Du es, indem Du mit den erweiterten Einstellungen jweils für alle Gruppen zwei Berechtigungssätze erstellst. Einen Satz für diesen Ordner UND einen Satz für Unterordner und Dateien. Gleichzeitig musst Du auf dem Hauptornder selber die Vererbung deaktivieren, damit Du granulare Einstellungen treffen kannst bzw. diese nicht überschrieben werden von oben.

Die granularen Einstellungen gibt es dann nur unter Erweitert, also der Button ganz unten im Sicherheitsfenster. Da deaktivierst Du die Vererbung (kannst ja der einfachheit halber die Rechte kopieren und dann abändern).

Da legst Du Leserechte für alle fest (für diesen Ordner). Der Zweite Satz (Button hinzufügen für die gleiche Zugriffsgruppe) stattest Du für die gleiche Gruppe mit Schreibrechten für Unterordner und Dateien aus. Wenn Du das im gleichen Fenster machst, dann überschreibst das vorherige. Du musst also zwingend eines hinzufügen. Der Wechsel des Dropdowns = überschreiben des aktuellen Satzes und nicht das setzen von zusätzliches Rechten.

 

Wenn Du auch den Admin Schreibrechte wegnimmst, aber Zugriff auf Sicherheitseinstellungen erlaubst, dann poppt auch bei denen ein UAC auf und wird so nicht versehentlich geändert.

EDIT: Habe noch eine Grafik hochgeladen, falls es etwas kompliziert zu verstehen ist. =)

 

bearbeitet 12. November 2018 von Weingeist
Bild