none
Problem mit NTFS-Berechtigungen für Share über Gruppenmitgliedschaft RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich baue aktuell einen hierarchischen share für Kundenprojekte auf und versuche meinen Benutzern die Zugriffsrechte über Sicherheitsgruppen zu limitieren. Access based enumeration ist auf dem Fileserver (noch 2008 R2) eingeschaltet.

    Die Struktur sieht so aus:

    \\server\share (Share-Berechtigungen sind "full acces" für "Jeder")

    Unterhalb des Shares ist jeweils ein Ordner pro Jahr, in dem jeweils Unterordner pro Kunde und darunter ein Ordner pro Projekt liegen.

    Es existieren Gruppen pro Jahr (P2019-L , P2020-L, etc...) die folgende Reche auf das jeweilige Jahr haben:

    Dadurch kann der Benutzer den Ordner sehen, aber darunterliegende Daten nur, wenn er dort auch entsprechende Rechte hat.

    Die Kunden-Ordner haben dieselben Berechtigungseinträge, auf den Projektordner bekommt die entsprechende Gruppe Vollzugriff.

    Das Problem ist das folgende:

    Das ganze funktioniert nur, wenn ich anstelle der Gruppe *einmal* direkt den Benutzer mit diesen Rechten hier eingetragen habe - danach kann ich den wieder löschen und dann reicht es, wenn er in der entsprechenden Gruppe ist.

    Woran könnte das liegen?

    Montag, 5. August 2019 09:45
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    Ich bin einen Schritt weiter. Das Problem hängt damit zusammen, dass ich die Berechtigungen mit icacls setze.

    Folgendes Kommando verwende ich:

    icacls %1 /grant %2:(X,RD,RA,REA,RC)
    (%1 ist das Verzeichnis, %2 die Usergruppe.)

    Danach zeigt icacls folgende Rechte an:

    . DOMAIN\P2030-L:(Rc,RD,REA,X,RA)

    Also exakt das, was oben mit icacls gesetzt wurde.

    Wenn ich die oben genannten Berechtigungen manuell über den Berechtigungsdialog setze, kommt aber folgendes raus:
      
    . DOMAIN\P2030-L:(RX)

    In dem Fall hat der User auch sofort Zugriff.

    RX entspricht "Lesen, ausführen". In den erweiterten Berechtigungen werden exakt dieselben Einstellungen angezeigt, wie nach dem oben genannten "grant" Befehl, nur das es in dem Fall dann einfach nicht funktioniert.

    Reprduzieren lässt sich das so:

    Schritt 1: icacls <verzeichnis> /grant <group>:(X,RD,RA,REA,RC)
    Ergebnis: Kein Zugriff, icacls Anzeige: . DOMAIN\P2030-L:(Rc,RD,REA,X,RA)

    Schritt 2: Man füge *irgendeinen* Benutzer (mit Standardrechten) zu den Berechtigungen hinzu
    Ergebnis: Zugriff funktioniert, icalcs-Anzeige: . DOMAIN\P2030-L:(RX)

    Es scheint, als ob icacls die ACLs falsch setzt, wenn die Kombination der "erweiterten" Rechte genau einem der "einfachen" Rechte entspricht, siehe auch Abschnitt "remarks" unter https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/icacls

    Verwende ich /grant <group>:(RX) dann funktioniert alles auf Anhieb.


    Montag, 5. August 2019 12:57
    |