Jump to content

Rechteverteilung per Script

hirnibus

Von hirnibus
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hirnibus Fellow

hirnibus   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich möchte die Rechte per Script verteilen für verschieden Freigaben auf dem Server. für .bat Scripte gibts ja den Befehl cacls. Funktioniert dieser Befehl auch für Freigaben auf einem Server oder nur Lokal?

Desweiteren bin ich auf der suche wie ich spezielle Berechtigungen für einen Ordner per script setzen kann. Mit cacls kann man nur Vollzugriff, Schreiben, Lesen, Verweigern. Ich würde jedoch gerne die Option Berechtigung lesen/änder und Besitzrecht übernehmen verweigern.

 

danke

 

und

 

tschüss

Link zu diesem Kommentar
Hirgelzwift

Hirgelzwift   10

Geschrieben
Geschrieben

mit cacls kannst du die berechtigungen auf dateiebene setzen. dabei könntest du in einem script auch einen absoluten pfad angeben z.B. \\server\freigabe\*.* /e /t /g benutzer:c

 

Damit würdest du auf dem server auf der freigabe alle dateien mit allen unterverzeichnissen die ACL um den benutzer erweitern mit den rechten: change

 

weitergehende spezielle rechte können meines wissens mit cacls nicht vergeben werden.

 

besitzrechte kann man mit cacls auch nicht übernehmen.

 

ich bin mir nicht sicher ob es dafür andere (3rd party) tools gibt.

Link zu diesem Kommentar
hirnibus Fellow

hirnibus   10

Geschrieben
  • Autor
Geschrieben
mit cacls kannst du die berechtigungen auf dateiebene setzen. dabei könntest du in einem script auch einen absoluten pfad angeben z.B. \\server\freigabe\*.* /e /t /g benutzer:c

 

Damit würdest du auf dem server auf der freigabe alle dateien mit allen unterverzeichnissen die ACL um den benutzer erweitern mit den rechten: change

 

weitergehende spezielle rechte können meines wissens mit cacls nicht vergeben werden.

 

besitzrechte kann man mit cacls auch nicht übernehmen.

 

ich bin mir nicht sicher ob es dafür andere (3rd party) tools gibt.

 

danke die erste Frage wäre hiermit beantwortet:-)

 

zur 2ten Frage: ich will nicht mit cacls Besitzrechte übernehmen, sondern dem User das Recht Besitzrechte zu lesen / zu ändern verbieten. Auf den Ordner muss der Admin und User x Zugriff haben. Doch User x darf weder die Besitzrechte anschauen noch verändern können. Manuell kannn man dies bewerkstelligen. Mit cacls geht es meines Erachtens nicht. Gibts da evt. ein anderes Tool?

Link zu diesem Kommentar
hirnibus Fellow

hirnibus   10

Geschrieben
  • Autor
Geschrieben
Vielleicht hilft Dir XCACLS weiter, was für einen Server hast Du ?

 

es taucht ein Problem auf wen ich bestimmte Berechtigungen verbieten möchte:

 

wenn ich xcacls \\serverpfad\freigabename /D %username% /yes eingebe, verweigert er dem User brav alles wenn ich jedoch nur Change Permission und Take Ownershipt ändern will sprich: xcacls \\serverpfad\freigabename /D %username%:O;P /yes

 

kommt diese Fehlermeldung: ERROR: Zuordnung von Kontenname und Sicherheitskennung wurde nicht durchgeführt!

 

hat jemand eine Ahnung was das bedeuten könnte?

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Ist diese Syntax korrekt ? Ich denke mit /d und /r verweigerst Du bzw. entziehst Du komplett und nicht selektiv und deswegen ist der Username einfach falsch.

Warum verweigerst Du jemandem etwas (womit man eh sparsam umgehen sollte) ? Da die Berechtigungen eines Ordners standardmässig ersetzt werden , kannst Du den Gruppen doch gleich die passenden, restriktiven Berechtigungen vergeben, z.B. Administratoren Vollzugriff und Benutzern Lesen auf das Verzeichnis C:\XCACLS

XCACLS C:\XCACLS /P Administratoren:F;F /Y

XCACLS C:\XCACLS /E /P Benutzer:R;R

Ich verweigere also nichts, sondern lege genau fest, was erlaubt ist (beim ersten Mal ersetze ich die ACL, beim zweiten Mal füge ich einen Eintrag hinzu)

Link zu diesem Kommentar
hirnibus Fellow

hirnibus   10

Geschrieben
  • Autor
Geschrieben
Ist diese Syntax korrekt ? Ich denke mit /d und /r verweigerst Du bzw. entziehst Du komplett und nicht selektiv und deswegen ist der Username einfach falsch.

Warum verweigerst Du jemandem etwas (womit man eh sparsam umgehen sollte) ? Da die Berechtigungen eines Ordners standardmässig ersetzt werden , kannst Du den Gruppen doch gleich die passenden, restriktiven Berechtigungen vergeben, z.B. Administratoren Vollzugriff und Benutzern Lesen auf das Verzeichnis C:\XCACLS

XCACLS C:\XCACLS /P Administratoren:F;F /Y

XCACLS C:\XCACLS /E /P Benutzer:R;R

Ich verweigere also nichts, sondern lege genau fest, was erlaubt ist (beim ersten Mal ersetze ich die ACL, beim zweiten Mal füge ich einen Eintrag hinzu)

 

verweigert wird desshalb, weil es sich um einen Ordner mit Klausuren handelt. Der Admin soll Vollzugriff haben, der Schüler darf aber nur lesen und schreiben und darf auf keinen Fall die Berechtigungen lesen oder verändern dürfen, da sonst logischerweise die Klausuren untereinander Freigegeben werden.

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Kann er doch, sobald der User etwas in diesem Ordner ablegt, ist er der Besitzer dieser abgelegten Ressource. Da kann ich verweigern wie ich will, die Berechtigungen ändern kann er immer (natürlich nur auf die von ihm angelegten Resourcen). Soll der User diese Klausuren nur in diesen Ordner reinschieben, also den Inhalt dieses Ordners gar nicht lesen (so wie ein Briefkasten) ?

Link zu diesem Kommentar
hirnibus Fellow

hirnibus   10

Geschrieben
  • Autor
Geschrieben
Kann er doch, sobald der User etwas in diesem Ordner ablegt, ist er der Besitzer dieser abgelegten Ressource. Da kann ich verweigern wie ich will, die Berechtigungen ändern kann er immer (natürlich nur auf die von ihm angelegten Resourcen). Soll der User diese Klausuren nur in diesen Ordner reinschieben, also den Inhalt dieses Ordners gar nicht lesen (so wie ein Briefkasten) ?

 

genau. Er soll die Datei einfach in den Ordner reinschieben. Ausserdem darf er nur die Berechtigung des Ordners nicht ändern. Bei der Datei ist der User logischerweise der Besitzer da kann man gar nichts dagegen machen. :cry:

Link zu diesem Kommentar
hirnibus Fellow

hirnibus   10

Geschrieben
  • Autor
Geschrieben
das würde theoretisch auch funktionieren, wenn der Benutzer nicht gleichzeitig Besitzer vom Ordner wäre. Ich muss also gezielt Berechtigungen ändern und Berechtigungen übernehmen verbieten.

 

habe gerade herausgefunden, dass man Besitzrechte lesen/ändern /übernehmen nur dann einem User verbieten kann wenn er nicht gleichzeitig bereits Besizter des Ordners/Datei ist.

 

Kann man also den Besitzer eines Ordners per batch script ändern?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...