Jump to content

Rechteproblem - XCacls.vbs - Deny Delete führt zu "Zugriff verweigert"


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Freunde

 

Ich weiß, ich habe mich in letzter Zeit hier ein wenig rar gemacht, aber das ist leider projektbedingt bei mir. Nachdem ich mich die letzten 2 Tage mit einem komischen Rechteproblem rumgeschlagen habe, bin ich mit meinem Latein am Ende und befrage euch:

 

Ich lege im Netz einen Ordner an und versehe den anhand Konzept mit Berechtigungen. Dazu zählt:

- Vollzugriff für Administratoren

- Ownership für lokale Administratoren auf dem Server

- Deny Delete für Everyone

 

Alle setze ich über XCACLS.vbs. Allerdings trat dabei ein komisches Phänomen auf:

Wenn ich über die Kommandozeile

cscript xcacls.vbs C:\Temp\Rechtetest /E /D Everyone:A /Spec A[/Code]

für Everyone das Deny Delete auf diesen Folder setzen will, klappt das auch sauber und ohne Fehlermeldung. Nur zu meinem Erstaunen erhalte ich trotz der Aussage das lokale Administratoren Vollzugriff haben beim Zugriff auf diesen Ordner den Fehler "Zugriff verweigert". Ich habe das ganze soweit eroiert, das ich sagen kann, das das genau dann passiert, wenn ich das Deny Delete setze.

 

Die Berechtigungen auf diesen Ordner sehen so aus:

 

[Code]
Microsoft (R) Windows Script Host, Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.

Starting XCACLS.VBS (Version: 5.2) Script at 9.10.2007 09:13:31

Startup directory:
"C:\Programme\XCACLS"

Arguments Used:
Filename = "C:\temp\Rechtetest"



**************************************************************************
Directory: C:\temp\Rechtetest

Permissions:
Type Username Permissions Inheritance

Denied \Jeder Special (EA) This Folder Only
Allowed VORDEFINIERT\Administra Full Control This Folder, Subfolde
Allowed NT-AUTORITÄT\SYSTEM Full Control This Folder, Subfolde
Allowed VI\carstenp Full Control This Folder Only
Allowed \ERSTELLER-BESITZER Special (Unknown) Subfolders and Files
Allowed VORDEFINIERT\Benutzer Read and Execute This Folder, Subfolde
Allowed VORDEFINIERT\Benutzer Advanced (Create Fold This Folder and Subfo
Allowed VORDEFINIERT\Benutzer Advanced (Create File This Folder and Subfo

No Auditing set

Owner: VORDEFINIERT\Administratoren
**************************************************************************


Operation Complete
Elapsed Time: 18,49609 seconds.

Ending Script at 9.10.2007 09:13:50



[/Code]

 

Jemand ne schlaue Idee woran das liegen kann? Ich stocher hier echt im leeren....

 

 

Danke im Vorraus...

Link zu diesem Kommentar

Kurzes Update am Rande:

 

Wir haben zu diesem Problem mittlerweile einen Case bei MS aufgemacht. Dabei wurde uns mitgeteilt, das xcacls.vbs ein unsupported Tool ist, und man aufgrund dessen versucht, einen Weg mit icacls.exe aus dem SP2 für W2k3 zu finden.

 

Da icacls.exe leider keine Rechtevererbung ausschalten kann, wird das ganze wohl auf eine Mischlösung zwischen icacls.exe und xcacls.vbs hinauslaufen.

 

Gerade bekam ich eine Statusmail zu meinem Problem, in der mir mitgeteilt wurde, das der MS-Engineer das selbe Problem auch beim Einsatz von icacls.exe nachvollziehen kann. Man wird versuchen eine neuer Version von icacls.exe aus Redmond zu erhalten und das Problem damit weiter zu analysieren.

 

Schaun wir mal auf was das ganze hinausläuft. Ob ich da wohl grade meinen ersten MS-Bug gefunden habe? :) Wir harren der Dinge die da kommen mögen.

Link zu diesem Kommentar

Habs kurz durchgetestet und kann sagen, dass es wirklich stimmt.

 

Ich hab aber rausgefunden wie man es in der Theorie löschen kann.

 

Es gibt zwei ACE die es zu setzen Gilt.

 

DELETE

und

DELETE SUBFOLDERS AND FILES

 

Ich hab bis jetzt leider kein Tool gefunden, welches die beiden Settings unterscheidet. selbst subinacl kennt nur DELETE. Subinacl setzt Delete Subfolders and Files erst auf Deny wenn man wirklich einen Deny mit Fullcontrol macht. Senbst "CRPXEWD" zu denyen bringt nix, dann ist weiterhin alles bis auf "fullcontrol" und "delete subfolders and files" markiert

 

Ich hab rausgefunden, dass nur das setzen BEIDER Settings den gewünschten Effekt bringt, wenn man nur eine alleine setzt kann der Admin weiterhin löschen. Ich vermute das passiert weil der Admin ja weiterhin eins der beiden Delete recht hat und nur den Deny auf das andere hat. Sprich er versucht mit Hilfe beider Rechte den Delete durchzuführen, wenn eins gelingt wird das File gelöscht.

 

Ich nehme an die beiden Flags

 

FILE_DELETE_CHILD-0x40 und DELETE-0x10000 müssten gesetzt sein

 

Binär

 

File Delete Child: 0100 0000

 

Delette: 1 0000 0000 0000 0000 0000

Link zu diesem Kommentar
  • 11 Monate später...

Ok, da es grade wieder mal ein Thema um xcacls.vbs gab, wo ich auch hierauf verwiesen habe, möchte ich das Thema trotz fast einem Jahr "rumliegen" nochmal anschneiden und endgültig abschließen.

 

Problem ist oben dargestellt. Nach längerer Bearbeitungszeit durch den MS Support konnte festgestellt werden, das es sich um einen Bug in der Kommandozeilenhilfe von xcalcs.vbs handelte. Der korrekte Parameter für ein Deny Delete war somit nicht /D sondern /DE. Warum auch immer führe der Parameter /D zu dieser Situation, die dafür sorgte, das man beim Zugriff auf den Ordner ein "Access Denied" bekam.

 

Off-Topic:

So, und jetzt stell ich mich in die Ecke und schäm mich, weil ich selber kein Feedback auf das Thema gegeben habe, nachdem ich die "Lösung" von MS in der Hand hatte... Sorry Leute...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...