notimportant 1 Geschrieben 23. Juni 2020 Melden Teilen Geschrieben 23. Juni 2020 Hallo zusammen, ist das folgende Verhalten unter einem Standard-Windows-Fileserver immer (noch?) Standard? ich habe eine Ordnerstruktur Ordner1\Ordner2\Ordner3 Auf "Ordner1" setze ich eine beliebige NTFS-Berechtigungsstruktur Ordner1 gebe ich als \\Servername\Freigabename frei. Ändere ich jetzt den Namen des freigegebenen Ordners lokal auf dem Server mit der explorer.exe von "Ordner1" in "Ordner4711" ohne die Freigabe vorher zu beenden passieren zwei Dinge: die Freigabe wird gelöscht... Logisch Die ACL auf Ordner1/Ordner4711 wird gelöscht und komplett durch eine ACL mit Admin/Admingruppe/System ersetzt und natürlich nach unten weiterverebt. (der gleiche Vorgang mit einer elevated Powershell + Rename-Item sieht schon wieder anders aus, da bleiben die ACLs erhalten) (Beende ich die Freigabe vorher funktioniert alles problemlos) Ist das wirklich das Standardverhalten? Fühlt sich schon arg buggy an. Grüße Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 23. Juni 2020 Melden Teilen Geschrieben 23. Juni 2020 Moin, mag sein, dass der Explorer da nicht gut arbeitet. Das wäre nicht die einzige Stelle im Zusammenhang mit Berechtigungen. Allgemein sollte man den Explorer nicht verwenden, um Dateiserver zu verwalten. Gruß, Nils Zitieren Link zu diesem Kommentar
notimportant 1 Geschrieben 23. Juni 2020 Autor Melden Teilen Geschrieben 23. Juni 2020 Dass der Explorer Probleme hat ist bei uns ja durchaus bekannt und dass das Nutzen remote über UNC-Pfad bspw. sinnvoller ist. Das Ausmaß der Auswirkungen bei diesem spezifischen Fall ist aber schon erstaunlich und als Defaultfall ohne Rückmeldedialog schon arg ungünstig... Aber was heißt Explorer (gar) nicht verwenden? Berechtigungstools sind bspw. im Einsatz, wenn ich aber einen einzigen neuen Ordner in der Unterstruktur anlege muss/(will) ich ja nicht zwingend die Powershell bemühen. Als alternative File Explorer zeigt etwa der Total Commander das obige Verhalten nicht, qDir wiederum schon. Gibt es für den "Browsen, Klicken und Anlegen"-Fall einen anderen Best-Practice-Ersatz? Bin für Empfehlungen immer sehr dankbar. Grüße Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.968 Geschrieben 23. Juni 2020 Beste Lösung Melden Teilen Geschrieben 23. Juni 2020 Moin, ich mache keinen Betrieb und muss keine Server verwalten, daher habe ich da keine belastbaren Praxiserfahrungen. Total Commander wird aber oft für sowas genannt. Eine andere Stelle, an der sich der Explorer hanebüchen verhält, habe ich hier beschrieben: [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 23. Juni 2020 Melden Teilen Geschrieben 23. Juni 2020 Der Explorer verhält sich da nicht hanebüchen, sondern "as designed". Kann man umgehen mit der Elevated-unelevated-factory (dann läuft er fröhlich durchaus als Admin), aber das ist dann eine Support-Grauzone. Oder man verwendet generell nicht die Builtin-Admins, sondern erstellt passende Delegationsgruppen mit entsprechenden Rechten - dann ist UAC auch raus. UAC ist eh kein Security Feature, sondern nur "Convenience" (behauptet MSFT)... Zitieren Link zu diesem Kommentar
notimportant 1 Geschrieben 24. Juni 2020 Autor Melden Teilen Geschrieben 24. Juni 2020 vor 10 Stunden schrieb NilsK: [Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Vielen Dank für den Hinweis. Das war grob im Hinterkopf vorhanden, ist hier aber perfekt beschrieben und kommt sofort ins Einsteigerhandbuch! Den Umweg den Explorer anzupassen kannte ich so noch nicht. Auch interessant. Vielen Dank für die Antworten und Tipps. Haben sehr weitergeholfen! Grüße Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 24. Juni 2020 Melden Teilen Geschrieben 24. Juni 2020 Moin, vor 11 Stunden schrieb daabm: Der Explorer verhält sich da nicht hanebüchen, sondern "as designed". an der Stelle ist "as designed" aber nun mal hanebüchen. Dass Microsoft extra Code gebaut hat, der so funktioniert, macht es doch nicht besser. Der Explorer manipuliert die ACL, ohne darüber ordentlich Auskunft zu geben. Und was den Rest betrifft - ja, steht ja auch in meinem Artikel. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.