Benutzer mit den meisten Antworten
NTFS Rechte setzen, aber die bestehenden Rechte müssen bestehen bleiben

Frage
-
Hallo Gemeinde,
ich möchte auf einem Fileserver ab dem Rootverzeichnis einen Benutzer lesend auf alle Unterordner zulassen.
Die bestehenden Rechte müssen aber so bleiben, wie sie sind.
Da gibt es doch bestimmte ein Kommando mit SET-ACL?
Bislang habe ich das immer händisch über die GUI gemacht.
Es handelt sich aber um tausende Verzeichnisse / Dateien.
Daher ist es wichtig, da diese Berechtigung nur hinzugefügt wird und bestehende Berechtigungen nicht geändert werden dürfen.
Vielen Dank und liebe Grüße
Olli
Antworten
-
Daher dachte ich, daß das auch mit SET-ACL über die gesamten Ordner laufen lassen kann
Evgenij Smirnov
- Als Antwort vorgeschlagen Denniver ReiningMVP, Moderator Sonntag, 13. Dezember 2020 10:44
- Als Antwort markiert Denniver ReiningMVP, Moderator Montag, 14. Dezember 2020 17:46
-
Wenn du nicht mit Vererbung arbeitest musst du die Rechte in jedes Verzeichnis setzen, für die der User sie erhalten soll.
https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1- Als Antwort vorgeschlagen Denniver ReiningMVP, Moderator Sonntag, 13. Dezember 2020 10:44
- Als Antwort markiert Denniver ReiningMVP, Moderator Montag, 14. Dezember 2020 17:46
Alle Antworten
-
Wenn du nicht mit Vererbung arbeitest musst du die Rechte in jedes Verzeichnis setzen, für die der User sie erhalten soll.
https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1- Als Antwort vorgeschlagen Denniver ReiningMVP, Moderator Sonntag, 13. Dezember 2020 10:44
- Als Antwort markiert Denniver ReiningMVP, Moderator Montag, 14. Dezember 2020 17:46
-
Die Vererbung ist unterbrochen und jedes Verzeichnis hat seinen eigenen Berechtigungen.
Wenn ich doch aber über die GUI die Rechte setzen würde, kann ich doch auch sagen "anwenden auf Diesen Ordner, Unterordner und Dateien".
Daher dachte ich, daß das auch mit SET-ACL über die gesamten Ordner laufen lassen kann
-
Klar, schau dir den Link an und beachte die Option -recure bei get-item.
Powershell verwendet viele kleine Funktionsbausteine. Jeder Baustein erledigt seine Aufgabe besonders effektiv.
Warum soll also set-acl etwas machen, was get-item erledigt?
Wer weiß, ob die GUI das nicht ebenso macht.Es kommt halt auf die gewünschte Kombination an.
- Bearbeitet Der Suchende Mittwoch, 9. Dezember 2020 14:59
-
Daher dachte ich, daß das auch mit SET-ACL über die gesamten Ordner laufen lassen kann
Evgenij Smirnov
- Als Antwort vorgeschlagen Denniver ReiningMVP, Moderator Sonntag, 13. Dezember 2020 10:44
- Als Antwort markiert Denniver ReiningMVP, Moderator Montag, 14. Dezember 2020 17:46
-
Und wenn, wie oben gesagt, keine Vererbung eingetragen ist?
Dann kann doch ein neuer Eintrag nicht vererbt werden. Es steht nichts davon da, dass ich nur eine bestimmte Berechtigung vererben kann. Also entweder alle oder keine."Diese Flags sind nur von Bedeutung, wenn Vererbungsflags vorhanden sind."
- Bearbeitet Der Suchende Mittwoch, 9. Dezember 2020 17:04
-
Und wenn, wie oben gesagt, keine Vererbung eingetragen ist?
Dann kann doch ein neuer Eintrag nicht vererbt werden. Es steht nichts davon da, dass ich nur eine bestimmte Berechtigung vererben kann. Also entweder alle oder keine."Diese Flags sind nur von Bedeutung, wenn Vererbungsflags vorhanden sind."
Evgenij Smirnov
-
Also im Dialog gibt es die Flags für Vererbung nur für das Objekt, also Verzeichnis.
Wenn ich es da anhake, werden alle ACE's, also Entries und somit die Liste (ACL), nach unten vererbt.
Womit in den unteren Ebenen die aktuelle ACL, also Liste, durch einen Link auf die vererbte ACL ersetzt wird.Ist die Vererbung also über Powershell per ACE noch wilder zu steuern als es per ACL schon ist?
-
Ist die Vererbung also über Powershell per ACE noch wilder zu steuern als es per ACL schon ist?
Nein. Man kann die Vererbung per ACL nicht steuern. Der "Vererbung ein-/ausschalten" Button in der GUI nimmt Dir ein bisschen Arbeit ab, aber unter der Haube passiert dasselbe.
Und auch per GUI kann man das alles steuern - auf ACE-Ebene halt.
Evgenij Smirnov
-
im Dialg gibt es bei der zu setzenden Berechtigung doch folgendes: "anwenden auf Diesen Ordner, Unterordner und Dateien"
Das heißt für mich im Umkehrschluss, daß das eben auf diesen Ordner, Unterordner und Dateien vererbt wird. Auch wenn ich die allgemeine Vererbung deaktiviert habe.
Wenn ich das also im obersten Ordner auswähle, sollte er doch nur diese eine Berechtigung komplett durchvererben und die vorhandenen Berechtigungen nicht anfassen, oder habe ich da einen Denkfehler?
-
Moin,
@TO: Nein, Du hast keinen Denkfehler, genau so funktioniert's ;-)
Evgenij Smirnov