Shared Folder umbenennen zerschiesst ACL

[notimportant 0]

Hallo zusammen,

 

ist das folgende Verhalten unter einem Standard-Windows-Fileserver immer (noch?) Standard?

 

• ich habe eine Ordnerstruktur Ordner1\Ordner2\Ordner3
• Auf "Ordner1" setze ich eine beliebige NTFS-Berechtigungsstruktur
• Ordner1 gebe ich als \\Servername\Freigabename frei.
• Ändere ich jetzt den Namen des freigegebenen Ordners lokal auf dem Server mit der explorer.exe von "Ordner1" in "Ordner4711" ohne die Freigabe vorher zu beenden passieren zwei Dinge:

1. die Freigabe wird gelöscht... Logisch
2. Die ACL auf Ordner1/Ordner4711 wird gelöscht und komplett durch eine ACL mit Admin/Admingruppe/System ersetzt und natürlich nach unten weiterverebt.

 

(der gleiche Vorgang mit einer elevated Powershell + Rename-Item sieht schon wieder anders aus, da bleiben die ACLs erhalten)

(Beende ich die Freigabe vorher funktioniert alles problemlos)

 

Ist das wirklich das Standardverhalten? Fühlt sich schon arg buggy an.

 

Grüße

[NilsK 2.940]

Moin,

 

mag sein, dass der Explorer da nicht gut arbeitet. Das wäre nicht die einzige Stelle im Zusammenhang mit Berechtigungen. Allgemein sollte man den Explorer nicht verwenden, um Dateiserver zu verwalten.

 

Gruß, Nils

 

[notimportant 0]

Dass der Explorer Probleme hat ist bei uns ja durchaus bekannt und dass das Nutzen remote über UNC-Pfad bspw. sinnvoller ist. Das Ausmaß der Auswirkungen bei diesem spezifischen Fall ist aber schon erstaunlich und als Defaultfall ohne Rückmeldedialog schon arg ungünstig...

 

Aber was heißt Explorer (gar) nicht verwenden? Berechtigungstools sind bspw. im Einsatz, wenn ich aber einen einzigen neuen Ordner in der Unterstruktur anlege muss/(will) ich ja nicht zwingend die Powershell bemühen. Als alternative File Explorer zeigt etwa der Total Commander das obige Verhalten nicht, qDir wiederum schon.

 

Gibt es für den "Browsen, Klicken und Anlegen"-Fall einen anderen Best-Practice-Ersatz? Bin für Empfehlungen immer sehr dankbar.

 

Grüße

 

 

[NilsK 2.940]

Moin,

 

ich mache keinen Betrieb und muss keine Server verwalten, daher habe ich da keine belastbaren Praxiserfahrungen. Total Commander wird aber oft für sowas genannt. 

 

Eine andere Stelle, an der sich der Explorer hanebüchen verhält, habe ich hier beschrieben:

 

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Gruß, Nils

 

[daabm 1.358]

Der Explorer verhält sich da nicht hanebüchen, sondern "as designed". Kann man umgehen mit der Elevated-unelevated-factory (dann läuft er fröhlich durchaus als Admin), aber das ist dann eine Support-Grauzone. Oder man verwendet generell nicht die Builtin-Admins, sondern erstellt passende Delegationsgruppen mit entsprechenden Rechten - dann ist UAC auch raus. UAC ist eh kein Security Feature, sondern nur "Convenience" (behauptet MSFT)...

[notimportant 0]

vor 10 Stunden schrieb NilsK:

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Vielen Dank für den Hinweis. Das war grob im Hinterkopf vorhanden, ist hier aber perfekt beschrieben und kommt sofort ins Einsteigerhandbuch!

Den Umweg den Explorer anzupassen kannte ich so noch nicht. Auch interessant.

 

Vielen Dank für die Antworten und Tipps. Haben sehr weitergeholfen!

Grüße

[NilsK 2.940]

Moin,

 

vor 11 Stunden schrieb daabm:

Der Explorer verhält sich da nicht hanebüchen, sondern "as designed".

an der Stelle ist "as designed" aber nun mal hanebüchen. Dass Microsoft extra Code gebaut hat, der so funktioniert, macht es doch nicht besser. Der Explorer manipuliert die ACL, ohne darüber ordentlich Auskunft zu geben. 

 

Und was den Rest betrifft - ja, steht ja auch in meinem Artikel. 

 

Gruß, Nils