User7070 10 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Hallo, habe folgendes Problem: In einem Ordner unter Windows Server 2003 SP1 wurde die Berechtigung von "Jeder" auf verschiedene Benutzergruppen umgestellt, die alle Vollzugriff haben. Zum Zeitpunkt der Umstellung wurde der Domän-Admin "vergessen" und nachträglich hinzugefügt. Jetzt tritt folgendes Problem auf: Der Domänen-Admin kann nicht auf alle Verzeichnisse zugreifen und zwar nur auf die Verzeichnisse, wo dieser nicht der Besitzer des Ordners ist. Weiterhin können verschiede Benutzer aus verschieden Gruppen nicht auf alle Verzeichnisse bzw. Dateien zugreifen. Was noch aufgefallen ist: Ordner 0 => NTFS Berechtigungen gesetzt und nach unten vererbt Ordner 1 => Vollzugriff Ordner 2 => Vollzugriff Ordner 3 unterhalb von Ordner 2 => Vollzugriff Ordner 4 unterhalb von Ordner 3 => Kein Zugriff mehr Ordner 5 => Vollzugriff Kann mir bitte jemand sagen, wie man das wieder gerade ziehen kann? Danke! User7070 Zitieren
IThome 10 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Eine Möglichkeit wäre, den Besitz des Rootordners zu übernehmen und für alle Unterordner zu ersetzen. Dann eine entsprechende Berechtigung setzen und nach unten durchdrücken "Berechtigungen für alle untergeordneten Objekte ducrh die angezeigten Einträge, sofern anwendbar, ersetzen". Die abweichenden Unterordner müssen natürlich wieder angepasst werden. Ist aber schwer zu sagen (bei den gegebenen Informationen), wie man jetzt genau vorgehen muss. Zitieren
User7070 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Im Rootordner ist der Administrator Besitzer des Ordners. Ist ein echtes Problem bei 400000 Dateien und 70000 Ordnern. User7070 Zitieren
IThome 10 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Aber in den Unterordnern nicht, deswegen die Besitzübernahme in allen untergeordneten Ordnern. Das Dumme ist nur, dass die Berechtigungen ersetzt werden ... Da gebe ich Dir absolut recht, bei dieser Menge rächt sich so ein Fehler ... edit: ich probier grad mal was mit SUBINACL Zitieren
ChristianHemker 10 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Ich würde auch in den sauren Apfel beißen und alle Berechtigungen von Grund auf neu setzen, schon allein aus Sicherheitsgründen. Zitieren
IThome 10 Geschrieben 8. Mai 2006 Melden Geschrieben 8. Mai 2006 Nach einem kurzen Test folgende Ergebnisse SUBINACL /SUBDIRECTORIES C:\BASIS\*.* /SETOWNER=Administratoren macht die Builtin-Administratoren zum Besitzer aller Ordner und Dateien unterhalb von C:\Basis SUBINACL /SUBDIRECTORIES C:\BASIS\*.* /GRANT=Administratoren=Full fügt die Administratoren mit Vollzugriff zu allen Ordnern und Dateien zu (ohne die bestehenden Berechtigungen zu verändern) edit:hm, zu früh gefreut ... weiteres Testen erforderlich :) edit2: So, jetzt hab ich´s ... SUBINACL /SUBDIRECTORIES C:\BASIS\*.* /GRANT=Administratoren=Full reicht aus, dieser Befehl fügt die Administratoren zur ACL zu, ohne die Besitzrechte zu verändern. Voraussetzung ist, dass er Zugriff auf den Basisordner hat (im obersten Ordner hat er ja Besitzrecht und demzufolge auch Zugriff). Ich habe mir zumTest einen Ordner BASIS erstellt mit den Berechtigungen Administratoren-Vollzugriff und Jeder-Ändern. Dann habe ich mich abgemeldet, mich als Domänenbenutzer angemeldet und unterhalb von C:\BASIS einen Baum von Unterordnern erstellt (beginnend mit Ordner1) und in jeden Ordner eine Datei gespeichert. Dann habe ich in Ordner1 die Vererbung unterbrochen und nur dem User, der alle Unterordner und Dateien erstellt hat, den alleinigen Zugriff gewährt. Danach wieder als Administrator angemeldet und den obigen Befehl ausgeführt . Falls Du das ebenso machen möchtest, probiere es vorher aus und vergewissere Dich, dass es das Ergebnis liefert, was erwünscht ist ... Zitieren
User7070 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Ich kann das komplette Verzechnis doch auch per NTBackup auf eine FAT32 Partition sichern - dann sind die Berechtigungen nicht mehr vorhanden. Neues Verzeichnis anlegen, Restore des Backups und dann nur noch den alten Ordner entsorgen... Oder habe ich einen Denkfehler? User7070 Zitieren
IThome 10 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Sicher kannst Du das, aber dann kannst Du die Berechtigungen auch von Grund auf neu setzen (ohne vorherige Sicherung) ... Zitieren
Gadget 37 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Moin, Im Rootordner ist der Administrator Besitzer des Ordners. Ist ein echtes Problem bei 400000 Dateien und 70000 Ordnern. User7070 bei einem so mächtigen Datenverzeichnis würde ich unbedingt eine eigene Sicherheitsvorlage für deine Rechtestruktur erstellen u. diese dann regelmäßig (geplant) überprüfen lassen. MMC / Sicherheitskonfiguration u. Analyse / Dateisystem LG Gadget Zitieren
User7070 10 Geschrieben 9. Mai 2006 Autor Melden Geschrieben 9. Mai 2006 Sicher kannst Du das, aber dann kannst Du die Berechtigungen auch von Grund auf neu setzen (ohne vorherige Sicherung) ... Alle Berechtigungen entfernen und komplett neu setzen oder wie kann ich das verstehen? User7070 Zitieren
ChristianHemker 10 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Ja, das wäre wahrscheinlich einfacher (auch wenn es viel Arbeit ist). Sicherer ist es auf jeden Fall, da sich bei einem Neuafbau nicht so schnell Fehler einschleichen. Wie wäre es mit Ressourcengruppen wie bei AGDLP? Das kann einem das Leben spätereinfacher machen, auch wenn es am Anfang sehr viel mehr Arbeit ist. Zitieren
IThome 10 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Genau, in der Root die Berechtigung setzen, die für alle Unterordner gilt und dann die Berechtigungen in den Unterordnern ersetzen lassen. Danach die Unterordner entsprechend ergänzen , Vererbung deaktivieren oder was auch immer notwendig ist. Musst Du aber wirklich nur die Administratoren den ACLs zufügen und nichts weiter, dann mache es mit SUBINACL ... Zitieren
User7070 10 Geschrieben 9. Mai 2006 Autor Melden Geschrieben 9. Mai 2006 Mittlerweile habe ich festgestellt, dass die Vererbung plötzlich nicht mehr greift - das heisst, das die einzelnen Gruppen dann nur noch die Berechtigungen "Lesen und Ausführen" besitzen. Obwohl der übergeordnete Ordner alle Berechtigungen besitzt und diese ja auch zum Teil nach unten durchvererbt - aber warum das jetzt so ist verstehe ich nun wirklich nicht mehr. :suspect: Zitieren
ChristianHemker 10 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Hast du vererbungskette vielleicht irgendwo unterbrochen? Ansonsten kannst du ja auch die berechtigungen wieder von oben "durchdrücken" und somit die Vererbungskette wieder instand setzen. Zitieren
User7070 10 Geschrieben 9. Mai 2006 Autor Melden Geschrieben 9. Mai 2006 Nein, die Vererbungskette ist nicht unterbrochen - alle Berechtigungen sind nicht anwählbar (Es sei denn, ich hebe die Vererbung auf). Nach ersten Tests mit SubinACL habe ich dem Administrator die Besitzrechte gegeben und konnte dann die Vererbung nach unten durch drücken. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.