none
ICACLS Berechtigungen auf Unterordner RRS feed

  • Frage

  • *Win2K8 R2 Server SP1*

    Hallo zusammen,

    ich kämpfe bereits seit einigen Tagen mit einer ICACLS Feinheit, komme aber leider trotz umfangreicher Recherchen im Netz nicht weiter. Vielleicht kann mir ja jemand einen Tipp geben.

    Folgende (recht einfache) Situation:

    ich möchte mit Hilfe von ICACLS den Hauptbenutzern des Servers auf den Ordner D:\test, all seine Unterordner und alle Dateien Vollzugriff erteilen. Dazu benutze ich folgenden Befehl:

    icacls.exe D:\test /grant hauptbenutzer:(OI)(CI)F /t

    Auf den ersten Blick scheint alles wunderbar zu funktionieren, aber beim genauen hinsehen (unter advanced) fällt einem auf, daß auf den Unterordner "1" die Gruppe Hauptbenutzer immer zwei Berechtigungen bekommt:

    inherited from: <not inherited> und D:\test (darf leider noch keine Screenshots posten).

    Ich hätte es am liebsten so, daß es auf den Unterordnern nur eine neu hinzugefügte Berechtigung gibt (inherited from: D:\test), quasi als ob man manuell über die Sicherheitseinstellungen der Gruppe Hauptbenutzer das Vollzugriffrecht erteilt hätte (darf leider noch keine Screenshots posten).


    Welcher Parameter müsste zum Kommandoaufruf hingefügt werden, damit es auf die Art und Weise klappt?

    Würde mich über konstruktive Antworten sehr freuen!

    Montag, 9. September 2013 15:20

Antworten

  • So, grad noch mal drüber nachgedacht ;-)

    IO heißt "Nur Unterordner und Dateien", daher in der GUI dann "speziell". War aber eh der falsche Gedanke...

    Laß bei Icacls das /T weg, dann kriegst Du das gleiche Ergebnis wie in der GUI. Mit /T wird die angegebene ACL nicht nur auf "Test" gesetzt (inkl. Vererbung), sondern auch direkt auf jedem Unterordner, daher zwei Einträge.


    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    • Als Antwort markiert win_admin Dienstag, 10. September 2013 15:01
    Dienstag, 10. September 2013 14:08

Alle Antworten

  • Wenn schon kein Screenshot: Dann poste doch den Output von "icacls d:\test" und "icaclcs d:\test\1".

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Dienstag, 10. September 2013 08:16
  • Wenn schon kein Screenshot: Dann poste doch den Output von "icacls d:\test" und "icaclcs d:\test\1".

    Martin


    Hi Martin,

    so sehen die Berechtigungen aus, nachdem ich diese mit icacls gesetzt habe:

    C:\>icacls d:\test
    d:\test BUILTIN\Hauptbenutzer:(OI)(CI)(F)
               BUILTIN\Administratoren:(I)(OI)(CI)(F)
               NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
               CREATOR OWNER:(I)(OI)(CI)(IO)(F)
               BUILTIN\Benutzer:(I)(OI)(CI)(RX)
               BUILTIN\Benutzer:(I)(CI)(AD)
               BUILTIN\Benutzer:(I)(CI)(WD)

    C:\>icacls d:\test\1
    d:\test\1 BUILTIN\Hauptbenutzer:(OI)(CI)(F)
                  BUILTIN\Hauptbenutzer:(I)(OI)(CI)(F)
                  BUILTIN\Administratoren:(I)(OI)(CI)(F)
                  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
                  CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                  BUILTIN\Benutzer:(I)(OI)(CI)(RX)
                  BUILTIN\Benutzer:(I)(CI)(AD)
                  BUILTIN\Benutzer:(I)(CI)(WD)

    so sieht der Output vom Unterordner 1 aus, wenn ich die Berechtigung manuell über Sicherheit setze:

    C:\>icacls d:\test\1
    d:\test\1 BUILTIN\Hauptbenutzer:(I)(OI)(CI)(F)
                  BUILTIN\Administratoren:(I)(OI)(CI)(F)
                  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
                  CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                  BUILTIN\Benutzer:(I)(OI)(CI)(RX)
                  BUILTIN\Benutzer:(I)(CI)(AD)
                  BUILTIN\Benutzer:(I)(CI)(WD)

    • Bearbeitet win_admin Dienstag, 10. September 2013 08:35
    Dienstag, 10. September 2013 08:25
  • (IO) fehlt im icacls, dann paßt es.

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Dienstag, 10. September 2013 09:12
  • (IO) fehlt im icacls, dann paßt es.

    Martin


    Habe den Aufruf mit (IO) ergänzt:

    C:\>icacls.exe D:\test /grant hauptbenutzer:(IO)(OI)(CI)F /t

    hat leider nicht ganz zum gewünschten Ergebnis geführt. Jetzt sieht der Output folgendermaßen aus:

    C:\>icacls d:\test
    d:\test BUILTIN\Hauptbenutzer:(OI)(CI)(IO)(F)
            BUILTIN\Administratoren:(I)(OI)(CI)(F)
            NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
            CREATOR OWNER:(I)(OI)(CI)(IO)(F)
            BUILTIN\Benutzer:(I)(OI)(CI)(RX)
            BUILTIN\Benutzer:(I)(CI)(AD)
            BUILTIN\Benutzer:(I)(CI)(WD)

    C:\>icacls d:\test\1
    d:\test\1 BUILTIN\Hauptbenutzer:(OI)(CI)(IO)(F)
              BUILTIN\Hauptbenutzer:(I)(OI)(CI)(F)
              BUILTIN\Administratoren:(I)(OI)(CI)(F)
              NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
              CREATOR OWNER:(I)(OI)(CI)(IO)(F)
              BUILTIN\Benutzer:(I)(OI)(CI)(RX)
              BUILTIN\Benutzer:(I)(CI)(AD)
              BUILTIN\Benutzer:(I)(CI)(WD)

    1. Beim Hauptordner d:\test steht jetzt bei den Berechtigungen für die Hauptbenutzer - special statt full control

    2. es werden immer noch zwei unterschiedliche Berechtigungen für Hauptbenutzer an den Unterordnern angelegt und eine von den beiden lautet jetzt ebenfalls special statt full control

    Dienstag, 10. September 2013 09:26
  • So, grad noch mal drüber nachgedacht ;-)

    IO heißt "Nur Unterordner und Dateien", daher in der GUI dann "speziell". War aber eh der falsche Gedanke...

    Laß bei Icacls das /T weg, dann kriegst Du das gleiche Ergebnis wie in der GUI. Mit /T wird die angegebene ACL nicht nur auf "Test" gesetzt (inkl. Vererbung), sondern auch direkt auf jedem Unterordner, daher zwei Einträge.


    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    • Als Antwort markiert win_admin Dienstag, 10. September 2013 15:01
    Dienstag, 10. September 2013 14:08
  • So, grad noch mal drüber nachgedacht ;-)

    IO heißt "Nur Unterordner und Dateien", daher in der GUI dann "speziell". War aber eh der falsche Gedanke...

    Laß bei Icacls das /T weg, dann kriegst Du das gleiche Ergebnis wie in der GUI. Mit /T wird die angegebene ACL nicht nur auf "Test" gesetzt (inkl. Vererbung), sondern auch direkt auf jedem Unterordner, daher zwei Einträge.


    Martin

    Danke Martin, genau das war die Quelle des Übels ;)

    mich hat nur die Rückmeldung "Successfully processed 1 files; Failed processing 0 files" ohne /T irritiert. Sieht jetzt aber alles genauso aus, wie ich es haben wollte.

    Vielen Dank für den Tipp!

    Gruß,

    der win_admin :)

    Dienstag, 10. September 2013 15:07
  • Ich würde eine andere Gruppe als die Hauptbenutzer verwenden. Wer weiss wie lange es sie noch gibt. Sie waren schon mal weg und sind kurzfristig wieder da ...

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Mittwoch, 11. September 2013 19:54