Benutzer mit den meisten Antworten
ICACLS Berechtigungen auf Unterordner

Frage
-
*Win2K8 R2 Server SP1*
Hallo zusammen,
ich kämpfe bereits seit einigen Tagen mit einer ICACLS Feinheit, komme aber leider trotz umfangreicher Recherchen im Netz nicht weiter. Vielleicht kann mir ja jemand einen Tipp geben.
Folgende (recht einfache) Situation:
ich möchte mit Hilfe von ICACLS den Hauptbenutzern des Servers auf den Ordner D:\test, all seine Unterordner und alle Dateien Vollzugriff erteilen. Dazu benutze ich folgenden Befehl:
icacls.exe D:\test /grant hauptbenutzer:(OI)(CI)F /t
Auf den ersten Blick scheint alles wunderbar zu funktionieren, aber beim genauen hinsehen (unter advanced) fällt einem auf, daß auf den Unterordner "1" die Gruppe Hauptbenutzer immer zwei Berechtigungen bekommt:
inherited from: <not inherited> und D:\test (darf leider noch keine Screenshots posten).
Ich hätte es am liebsten so, daß es auf den Unterordnern nur eine neu hinzugefügte Berechtigung gibt (inherited from: D:\test), quasi als ob man manuell über die Sicherheitseinstellungen der Gruppe Hauptbenutzer das Vollzugriffrecht erteilt hätte (darf leider noch keine Screenshots posten).
Welcher Parameter müsste zum Kommandoaufruf hingefügt werden, damit es auf die Art und Weise klappt?
Würde mich über konstruktive Antworten sehr freuen!
Antworten
-
So, grad noch mal drüber nachgedacht ;-)
IO heißt "Nur Unterordner und Dateien", daher in der GUI dann "speziell". War aber eh der falsche Gedanke...
Laß bei Icacls das /T weg, dann kriegst Du das gleiche Ergebnis wie in der GUI. Mit /T wird die angegebene ACL nicht nur auf "Test" gesetzt (inkl. Vererbung), sondern auch direkt auf jedem Unterordner, daher zwei Einträge.
Martin
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))
Restore the forum design - my user defined Cascading Style Sheet!- Als Antwort markiert win_admin Dienstag, 10. September 2013 15:01
Alle Antworten
-
Wenn schon kein Screenshot: Dann poste doch den Output von "icacls d:\test" und "icaclcs d:\test\1".
Martin
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))
Restore the forum design - my user defined Cascading Style Sheet! -
Wenn schon kein Screenshot: Dann poste doch den Output von "icacls d:\test" und "icaclcs d:\test\1".
Martin
Hi Martin,
so sehen die Berechtigungen aus, nachdem ich diese mit icacls gesetzt habe:
C:\>icacls d:\test
d:\test BUILTIN\Hauptbenutzer:(OI)(CI)(F)
BUILTIN\Administratoren:(I)(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
BUILTIN\Benutzer:(I)(OI)(CI)(RX)
BUILTIN\Benutzer:(I)(CI)(AD)
BUILTIN\Benutzer:(I)(CI)(WD)
C:\>icacls d:\test\1
d:\test\1 BUILTIN\Hauptbenutzer:(OI)(CI)(F)
BUILTIN\Hauptbenutzer:(I)(OI)(CI)(F)
BUILTIN\Administratoren:(I)(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
BUILTIN\Benutzer:(I)(OI)(CI)(RX)
BUILTIN\Benutzer:(I)(CI)(AD)
BUILTIN\Benutzer:(I)(CI)(WD)so sieht der Output vom Unterordner 1 aus, wenn ich die Berechtigung manuell über Sicherheit setze:
C:\>icacls d:\test\1
d:\test\1 BUILTIN\Hauptbenutzer:(I)(OI)(CI)(F)
BUILTIN\Administratoren:(I)(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
BUILTIN\Benutzer:(I)(OI)(CI)(RX)
BUILTIN\Benutzer:(I)(CI)(AD)
BUILTIN\Benutzer:(I)(CI)(WD)- Bearbeitet win_admin Dienstag, 10. September 2013 08:35
-
(IO) fehlt im icacls, dann paßt es.
Martin
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))
Restore the forum design - my user defined Cascading Style Sheet! -
(IO) fehlt im icacls, dann paßt es.
Martin
Habe den Aufruf mit (IO) ergänzt:
C:\>icacls.exe D:\test /grant hauptbenutzer:(IO)(OI)(CI)F /t
hat leider nicht ganz zum gewünschten Ergebnis geführt. Jetzt sieht der Output folgendermaßen aus:
C:\>icacls d:\test
d:\test BUILTIN\Hauptbenutzer:(OI)(CI)(IO)(F)
BUILTIN\Administratoren:(I)(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
BUILTIN\Benutzer:(I)(OI)(CI)(RX)
BUILTIN\Benutzer:(I)(CI)(AD)
BUILTIN\Benutzer:(I)(CI)(WD)C:\>icacls d:\test\1
d:\test\1 BUILTIN\Hauptbenutzer:(OI)(CI)(IO)(F)
BUILTIN\Hauptbenutzer:(I)(OI)(CI)(F)
BUILTIN\Administratoren:(I)(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
BUILTIN\Benutzer:(I)(OI)(CI)(RX)
BUILTIN\Benutzer:(I)(CI)(AD)
BUILTIN\Benutzer:(I)(CI)(WD)1. Beim Hauptordner d:\test steht jetzt bei den Berechtigungen für die Hauptbenutzer - special statt full control
2. es werden immer noch zwei unterschiedliche Berechtigungen für Hauptbenutzer an den Unterordnern angelegt und eine von den beiden lautet jetzt ebenfalls special statt full control
-
So, grad noch mal drüber nachgedacht ;-)
IO heißt "Nur Unterordner und Dateien", daher in der GUI dann "speziell". War aber eh der falsche Gedanke...
Laß bei Icacls das /T weg, dann kriegst Du das gleiche Ergebnis wie in der GUI. Mit /T wird die angegebene ACL nicht nur auf "Test" gesetzt (inkl. Vererbung), sondern auch direkt auf jedem Unterordner, daher zwei Einträge.
Martin
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
And if IT bothers me - coke bottle design refreshment :))
Restore the forum design - my user defined Cascading Style Sheet!- Als Antwort markiert win_admin Dienstag, 10. September 2013 15:01
-
So, grad noch mal drüber nachgedacht ;-)
IO heißt "Nur Unterordner und Dateien", daher in der GUI dann "speziell". War aber eh der falsche Gedanke...
Laß bei Icacls das /T weg, dann kriegst Du das gleiche Ergebnis wie in der GUI. Mit /T wird die angegebene ACL nicht nur auf "Test" gesetzt (inkl. Vererbung), sondern auch direkt auf jedem Unterordner, daher zwei Einträge.
Martin
Danke Martin, genau das war die Quelle des Übels ;)
mich hat nur die Rückmeldung "Successfully processed 1 files; Failed processing 0 files" ohne /T irritiert. Sieht jetzt aber alles genauso aus, wie ich es haben wollte.
Vielen Dank für den Tipp!
Gruß,
der win_admin :)
-
Ich würde eine andere Gruppe als die Hauptbenutzer verwenden. Wer weiss wie lange es sie noch gibt. Sie waren schon mal weg und sind kurzfristig wieder da ...
Tschö
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter