ct78 10 Geschrieben 15. Januar 2019 Melden Teilen Geschrieben 15. Januar 2019 Hallo zusammen, ich habe ein aktuelles Problem mit zwei Verzeichnissen auf einem Windows 2016 FileServer und Windows 10 als Client. Ordnerstruktur: \Volume1\Daten\Projekte (Auf dem Ordner Projekte (inkl. Unterordner + Dateien) sitzen Rechte lesen,schreiben etc. für die Gruppe "Projekte") \Volume1\User\John Doe (Auf diesen Ordner hat nur der jeweilige User lese und schreibrechte) Prinzipiell funktioniert die Rechtevergabe soweit. Bis heute der User "John Doe" eine Datei aus seinem Userverzeichnis in den Projekte Ordner verschoben hat. Hier wurden die kompletten ACL´s der Datei mitkopiert und kein Mitlgied der Projekte Gruppe konnte diese Datei sehen. Beim kopieren der Datei werden die Rechte allerdings sauber auf den Projekte Ordner gesetzt. Nach etwas Rechere hier im Forum ist dieses Verhalten wohl bekannt und auch die Änderung diverser Registryeinträge brachte keinen Erfolg. Interessant ist allerdings, dass wenn ich als Domänen Admin angemeldet bin und die Datei vom User nach Projekte verschiebe, die Rechte richtig gesetzt werden. Wo habe ich den Fehler? Warum funktioniert es beim Administrator aber nicht beim User und Besitzer der Datei? Danke für eure Hilfe. Gruß Christian Zitieren Link zu diesem Kommentar
jreckzigel 10 Geschrieben 15. Januar 2019 Melden Teilen Geschrieben 15. Januar 2019 https://support.microsoft.com/en-us/help/310316/how-permissions-are-handled-when-you-copy-and-move-files-and-folders Zitat By default, an object inherits permissions from its parent object, either at the time of creation or when it is copied or moved to its parent folder. The only exception to this rule occurs when you move an object to a different folder on the same volume. In this case, the original permissions are retained.Additionally, note the following rules: The Everyone group is granted Allow Full Control permissions to the root of each NTFS drive. Deny permissions always take precedence over Allow permissions. Explicit permissions take precedence over inherited permissions. If NTFS permissions conflict -- for example, if group and user permissions are contradictory -- the most liberal permissions take precedence. Permissions are cumulative. To preserve permissions when files and folders are copied or moved, use the Xcopy.exe utility with the /O or the /X switch. The object’s original permissions will be added to inheritable permissions in the new location. To add an object's original permissions to inheritable permissions when you copy or move an object, use the Xcopy.exe utility with the –O and –X switches. To preserve existing permissions without adding inheritable permissions from the parent folder, use the Robocopy.exe utility, which is available in the Windows 2000 Resource Kit. For additional information about the Windows 2000 Resource Kit, visit the following Microsoft Web site: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true You can modify how Windows Explorer handles permissions when objects are copied or moved to another NTFS volume. When you copy or move an object to another volume, the object inherits the permissions of its new folder. However, if you want to modify this behavior to preserve the original permissions, modify the registry as follows. Zitieren Link zu diesem Kommentar
ct78 10 Geschrieben 15. Januar 2019 Autor Melden Teilen Geschrieben 15. Januar 2019 (bearbeitet) Genau das habe ich schon getestet. ForceCopyAclwithFile auf 0 gesetzt und MoveSecurityAttributes ebenfalls auf 0. Beides ohne Erfolg. Oder muss ich diese Registry Einträge auf dem Server setzen? bearbeitet 15. Januar 2019 von ct78 Zitieren Link zu diesem Kommentar
jreckzigel 10 Geschrieben 16. Januar 2019 Melden Teilen Geschrieben 16. Januar 2019 ohne das getestet zu haben: Ich würde den Registry Eintrag dort setzen wo das Volume liegt (am Server) Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 16. Januar 2019 Melden Teilen Geschrieben 16. Januar 2019 Moin, das liegt daran das der User der moved das Recht nicht hat die Permissions zu ändern. Der Domänen-Admin hat das Recht Permissions zu setzen. Zitieren Link zu diesem Kommentar
ct78 10 Geschrieben 17. Januar 2019 Autor Melden Teilen Geschrieben 17. Januar 2019 Hmmm, ich habe der Gruppe Projekte mal zusätzlich das Recht Berechtigung ändern gegeben und Vollzugriff zum testen. Allerdings auch ohne Erfolg. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 17. Januar 2019 Melden Teilen Geschrieben 17. Januar 2019 Wo hast Du denn die Regkeys gesetzt? MoveSecurityAttributes muss in LocalMachine, die Andere beim User. Danach mal neu Anmelden, um den Explorer neu zu starten. Zitieren Link zu diesem Kommentar
ct78 10 Geschrieben 17. Januar 2019 Autor Melden Teilen Geschrieben 17. Januar 2019 (bearbeitet) ja, die beiden Registry Keys sitzen definitiv richtig. Ich habe jetzt mal einen Testuser in die Gruppe Domänen Admins gepackt und siehe da dann werden die Rechte sauber neu gesetzt beim verschieben. Packe ich den User in die "Projekte" Gruppe dann werden die User Ordner Rechte mit verschoben. Jetzt habe ich schon der "Projekte" Gruppe testweise Vollzugriff direkt auf die komplette Freigabe geben und die Rechte werden immer noch nicht richtig gesetzt. Was ist bei Vollzugriff "Domänen-Admins" im Vergleich zur "Projekte Gruppe" anders? Das würde ja generell die Aussage von Tektronix bestätigen.... nur wo muß ich was ändern? Gibts ne GPO dafür? bearbeitet 17. Januar 2019 von ct78 Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 18. Januar 2019 Melden Teilen Geschrieben 18. Januar 2019 Moin, schau mal hier: Solarwinds Unter "Kostenlose Systemverwaltungstools" "Weitere kostenlose Software für die Netzwerkverwaltung" gibt es den Permissions Analyzer for Active Directory. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.