chrismue 97 Geschrieben 11. Februar Melden Teilen Geschrieben 11. Februar Hallo zusammen, ich habe hier ein merkwürdiges Verhalten auf einem migrierten Fileserver bei einem Kunden. Der interne Admin ist mit diesem Problem an uns herangetreten. Ich habe eine Freigabe "Share". Hier ist über die erweiterte Freigabe "Jeder" mit Vollzugriff eingerichtet. PS Q:\> Get-SMBShareAccess -Name Share Name ScopeName AccountName AccessControlType AccessRight ---- --------- ----------- ----------------- ----------- Share * VORDEFINIERT\Administratoren Allow Full Share * Jeder Allow Full Nun ist es so, dass am Freitag die NTFS Berechtigungen dieses Shares verändert waren. Die Sicherheitseinstellungen waren so geändert, dass der Admin keine Leseberechtigungen mehr im Ordner Sicherheit hatte und sich nicht den aktuellen Besitzer anzeigen lassen konnte. Auf allen Unterordnern im Share bestand kein Zugriff. Wir haben dann zunächst den Besitz der Ordner übernommen und haben dann festgestellt, dass einige Gruppen unter dem Reiter "Sicherheit" entfernt wurden. Die NTFS Berechtigungen konnten wir rekonstruieren. Trotzdem haben die User weiterhin keinen Zugriff auf das Share. Im Rahmen weiterer Prüfungen haben wir festgestellt, dass wohl auch noch Berechtigungen mit dem Freigabeassistenten gesetzt wurden. Wenn ich hier eine der Gruppen entfernen möchte, startet der Assistent, läuft ca. 90-120 Min und nachher ist die Gruppe immer noch da drin. Ein Deaktivieren des Freigabeassistenten über die Registry brachte keinen Erfolg. Wenn ich die komplette Freigabe in der Registry lösche, sind diese Einträge immer noch da, Der RegKey unter SYSTEM\CurrentControlSet\Services\LanmanServer\Shares sheint sich nur auf die erweiterte Freigabe zu beziehen. Ebenfalls verstehe ich nicht, warum der Zugriff auf Freigabeebene für "Sachbearbeiter" gesperrt ist, da diese unter dem Freigabeassistenten "Lesen und Schreiben" dürfen? Kann mir jemand sagen, wo ich ansetzen kann, um die Einträge aus dem Assistenten zu entfernen? Das Share befindet sich auf einer separaten VHDX. Würde es etwas bringen den Server neu aufzusetzen und die Shares neu zu setzen und nicht wie bei der jetzigen Migration (2012R2 zu 2019) den RegKey zu kopieren? Danke jetzt schon mal fürs Lesen. Gruß chrismue Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 11. Februar Melden Teilen Geschrieben 11. Februar vor 26 Minuten schrieb chrismue: Nun ist es so, dass am Freitag die NTFS Berechtigungen dieses Shares verändert waren. Tja, wer jeder auf voll setzt, will das offensichtlich mal erleben. ;) vor 26 Minuten schrieb chrismue: Würde es etwas bringen den Server neu aufzusetzen und die Shares neu zu setzen und nicht wie bei der jetzigen Migration (2012R2 zu 2019) den RegKey zu kopieren? Das ist doch vollkommen egal. Wenn da sowieso nur jeder auf Vollzugriff vergeben wird. 1 Zitieren Link zu diesem Kommentar
daabm 1.356 Geschrieben 11. Februar Melden Teilen Geschrieben 11. Februar vor 4 Stunden schrieb chrismue: Kann mir jemand sagen, wo ich ansetzen kann, um die Einträge aus dem Assistenten zu entfernen? Vergiß den Assistenten. Freigaben und NTFS-ACLs macht man nicht über Assistenten. Zitieren Link zu diesem Kommentar
chrismue 97 Geschrieben 11. Februar Autor Melden Teilen Geschrieben 11. Februar Ich nutze den Assistent auch nicht. Ich bekomme die Einträge nur nicht entfernt. Ziel soll sein, nur die erweiterte Freigabe zu nutzen. Gruß chrismue Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 11. Februar Melden Teilen Geschrieben 11. Februar vor 50 Minuten schrieb chrismue: Ich nutze den Assistent auch nicht. Ich bekomme die Einträge nur nicht entfernt. Ziel soll sein, nur die erweiterte Freigabe zu nutzen. Dann direkt über die Eigenschaften der Freigabe, besser per Powershell und vor allem das Recht Vollzugriff bei der Freigabe raus Zitieren Link zu diesem Kommentar
NilsK 2.939 Geschrieben 12. Februar Melden Teilen Geschrieben 12. Februar Moin, Ich kann euch nicht folgen. Es gibt nur zwei Ebenen: NTFS-Berechtigungen und Freigabe-Berechtigungen. Die sog. "Erweiterte Freigabe" ist nur eine Bezeichnung aus dem unseligen Assistenten. Da dort anscheinend gerade Chaos herrscht, wäre es vermutlich am sinnvollsten, die Freigabe komplett zu entfernen und danach für den Verzeichnisbaum alle NTFS-Berechtigungen zurückzusetzen. Dann kann man die Berechtigungen gezielt und systematisch neu aufbauen. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 13. Februar Melden Teilen Geschrieben 13. Februar Am 11.2.2024 um 12:03 schrieb chrismue: Hier ist über die erweiterte Freigabe "Jeder" mit Vollzugriff eingerichtet. Wie bereits mehrfach erwähnt, ist das keine gute Idee. Nachfolgend die Erklärung warum: https://www.hasslinger.com/index.php/de/blog/das-missverstaendniss-mit-besitz-uebernehmen-und-den-ntfs-sowie-freigaberechten Evtl. möchtest Du auch noch das AGDLP-Prinzip anwenden, wenn es Dir was bringt. Ich habe z. B. da das "DL" weggelassen, weil keinen Nutzen. https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Zitieren Link zu diesem Kommentar
NilsK 2.939 Geschrieben 13. Februar Melden Teilen Geschrieben 13. Februar Moin, hm, das hat der Herr Haßlinger aber nicht so richtig schön erklärt. [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net] https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/ Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.