none
NTFS Rechte setzen, aber die bestehenden Rechte müssen bestehen bleiben RRS feed

  • Frage

  • Hallo Gemeinde,

    ich möchte auf einem Fileserver ab dem Rootverzeichnis einen Benutzer lesend auf alle Unterordner zulassen.

    Die bestehenden Rechte müssen aber so bleiben, wie sie sind.

    Da gibt es doch bestimmte ein Kommando mit SET-ACL?

    Bislang habe ich das immer händisch über die GUI gemacht.

    Es handelt sich aber um tausende Verzeichnisse / Dateien.

    Daher ist es wichtig, da diese Berechtigung nur hinzugefügt wird und bestehende Berechtigungen nicht geändert werden dürfen.

    Vielen Dank und liebe Grüße

    Olli

    Mittwoch, 9. Dezember 2020 14:01

Antworten

Alle Antworten

  • Wenn du nicht mit Vererbung arbeitest musst du die Rechte in jedes Verzeichnis setzen, für die der User sie erhalten soll.
    https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1

    Siehe da nach Example3.

    Mittwoch, 9. Dezember 2020 14:19
  • Die Vererbung ist unterbrochen und jedes Verzeichnis hat seinen eigenen Berechtigungen.

    Wenn ich doch aber über die GUI die Rechte setzen würde, kann ich doch auch sagen "anwenden auf Diesen Ordner, Unterordner und Dateien".

    Daher dachte ich, daß das auch mit SET-ACL über die gesamten Ordner laufen lassen kann

    Mittwoch, 9. Dezember 2020 14:55
  • Klar, schau dir den Link an und beachte die Option -recure bei get-item.

    Powershell verwendet viele kleine Funktionsbausteine. Jeder Baustein erledigt seine Aufgabe besonders effektiv.
    Warum soll also set-acl etwas machen, was get-item erledigt?
    Wer weiß, ob die GUI das nicht ebenso macht.

    Es kommt halt auf die gewünschte Kombination an.

    Mittwoch, 9. Dezember 2020 14:58

  • Daher dachte ich, daß das auch mit SET-ACL über die gesamten Ordner laufen lassen kann

    Kannst Du auch. Du musst Dir die Inheritance Flags und die Propagation Flags anschauen, mit der richtigen Kombination erreicht man das.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 9. Dezember 2020 16:33
  • Und wenn, wie oben gesagt, keine Vererbung eingetragen ist?
    Dann kann doch ein neuer Eintrag nicht vererbt werden. Es steht nichts davon da, dass ich nur eine bestimmte Berechtigung vererben kann. Also entweder alle oder keine.

    "Diese Flags sind nur von Bedeutung, wenn Vererbungsflags vorhanden sind."

    Mittwoch, 9. Dezember 2020 17:00
  • Und wenn, wie oben gesagt, keine Vererbung eingetragen ist?
    Dann kann doch ein neuer Eintrag nicht vererbt werden. Es steht nichts davon da, dass ich nur eine bestimmte Berechtigung vererben kann. Also entweder alle oder keine.

    "Diese Flags sind nur von Bedeutung, wenn Vererbungsflags vorhanden sind."

    Ja, aber pro ACE, nicht für die gesamte ACL...

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 9. Dezember 2020 17:26
  • Also im Dialog gibt es die Flags für Vererbung nur für das Objekt, also Verzeichnis.
    Wenn ich es da anhake, werden alle ACE's, also Entries und somit die Liste (ACL), nach unten vererbt.
    Womit in den unteren Ebenen die aktuelle ACL, also Liste, durch einen Link auf die vererbte ACL ersetzt wird.

    Ist die Vererbung also über Powershell per ACE noch wilder zu steuern als es per ACL schon ist?

    Mittwoch, 9. Dezember 2020 19:32

  • Ist die Vererbung also über Powershell per ACE noch wilder zu steuern als es per ACL schon ist?

    Nein. Man kann die Vererbung per ACL nicht steuern. Der "Vererbung ein-/ausschalten" Button in der GUI nimmt Dir ein bisschen Arbeit ab, aber unter der Haube passiert dasselbe.

    Und auch per GUI kann man das alles steuern - auf ACE-Ebene halt.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 9. Dezember 2020 21:11
  • im Dialg gibt es bei der zu setzenden Berechtigung doch folgendes: "anwenden auf Diesen Ordner, Unterordner und Dateien"

    Das heißt für mich im Umkehrschluss, daß das eben auf diesen Ordner, Unterordner und Dateien vererbt wird. Auch wenn ich die allgemeine Vererbung deaktiviert habe.

    Wenn ich das also im obersten Ordner auswähle, sollte er doch nur diese eine Berechtigung komplett durchvererben und die vorhandenen Berechtigungen nicht anfassen, oder habe ich da einen Denkfehler?

    Donnerstag, 10. Dezember 2020 06:18
  • Moin,

    @TO: Nein, Du hast keinen Denkfehler, genau so funktioniert's ;-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 10. Dezember 2020 06:53
  • Danke Evgenij.

    Wie muss aber dann der Befehl aussehen, wenn ich "AccountA" auf ab C:\Share\ und auf alles darunter lesende Rechte erteilen möchte.

    Sorry, aber bevor ich da was vernageln, frage ich lieben den Profi ;-)

    Lieben Dank.

     

    Donnerstag, 10. Dezember 2020 07:33