none
Berechtigungen RRS feed

  • Frage

  • Hallo Ihr,

    in einem Ordner sind ca. 500 Unterordner. Die Berechtigungen passen - bis auf eine.
    Ein User hat sich ohne Vererbung von oben in jeden Ordner mit Schreibberechtigungen gesetzt.

    Ich möchte diesen User aus diesen Unterordnern entfernen. 
    Ich habe schon mit der icacls und Powershell verschiedenes versucht. Leider ohne Erfolg.

    Könnt ihr mir sagen, wie ich ein Script baue, welches jeden Unterordner durchgeht und den einen User aus den Berechtigungen enternt?

    Danke für eure Hilfe....

    Montag, 19. Juli 2021 14:49

Antworten

  • Moin,

    https://helgeklein.com/setacl/ dürfte für Dich besser geeignet sein. 


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 20. Juli 2021 06:50
  • OK, bei Samba bin ich raus. Auf Windows-Servern kann man - vorausgesetzt man hat keine hierarchische komplexe ACL-Struktur - die Berechtigungen incl. der Vererbung über die erweiterten Sicherheitseinstellungen eines Ordners konfigurieren. Dort gibt es eine Option, die da heißt: "Replace all child object permission entries with inheritable permission entries from this object"  .... hier mal ein Screenshot

    Advanced Security Settings for folders

    Auf deutschen Systemen heißt der dann "Alle Berechtigungseinträge für untergeordnete Objekte durch vererbbare Berechtigungseinträge von diesem Objekt ersetzen".

    Damit haben dann alle untergeordneten Objekte wieder genau die Berechtigungen, die man "hier oben" eingestellt hat und alle direkt eingetragenen Berechtigungen sind entfernt. Also keine Notwendigkeit ein aufwändiges Skript zu bauen. ;-) Na jedenfalls wenn ich nicht wieder etwas falsch verstanden habe. ;-) 


    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''

    Dienstag, 20. Juli 2021 07:52

Alle Antworten

  • Ich möchte diesen User aus diesen Unterordnern entfernen.

    Sind denn für jeden Unterordner neue Berechtigungen ohne Vererbung konfiguriert?

    Könnt ihr mir sagen, wie ich ein Script baue, welches jeden Unterordner durchgeht und den einen User aus den Berechtigungen enternt?

    Dafür sollte kein Script nötig sein. Wenn Du an der Vererbungswurzel die Berechtigungen anpasst und diese angepassten nach unten erzwingst, wird der Account aus den ACLs entfernt.

    Könnt ihr mir sagen, wie ich ein Script baue.

    Das kommt auf Deine bereits vorhandenen Kenntnisse an. Es liegt aber jenseits der Möglichkeiten eine Forums, jemandem eine komplexe Technologie wie eine Script-Sprache beizubringen. ;-)


    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''

    Montag, 19. Juli 2021 15:23
  • Hei,

    danke für die Antwort. 
    Das System was dahinter steht ist ein Samba - Server. Die Berechtigung war ursprünglich von oben vererbt.
    Die Vererbung wurde raus genommen und dabei wurde die Vererbung in einzelne ACL gewandelt.
    Deswegen haben wir jetzt den Salat. :-)

    Ich habe versucht, die Verzeichnisauflistung in eine Variable zu setzen und dann mittels icacls eine Schleife zu bauen. Hab ich nicht hinbekommen.....

    Die andere Ansatz wäre so etwas wie:
    dir | icacls /remove username

    Mit icacls * /remove user - arbeitet er zwar alle Ordner sichtbar durch - schreibt zum Schluss dass 507 Dateien erfolgreich verarbeitet wurden und 0 Verarbeitungsfehler aufgetreten sind. Aber geändert hat sich nix......

    Über einen weiteren Ansatz würde ich mich schon freuen..... :-)

    Dank euch


    • Bearbeitet STNZCL Dienstag, 20. Juli 2021 05:55
    Dienstag, 20. Juli 2021 05:44
  • Moin,

    https://helgeklein.com/setacl/ dürfte für Dich besser geeignet sein. 


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 20. Juli 2021 06:50
  • OK, bei Samba bin ich raus. Auf Windows-Servern kann man - vorausgesetzt man hat keine hierarchische komplexe ACL-Struktur - die Berechtigungen incl. der Vererbung über die erweiterten Sicherheitseinstellungen eines Ordners konfigurieren. Dort gibt es eine Option, die da heißt: "Replace all child object permission entries with inheritable permission entries from this object"  .... hier mal ein Screenshot

    Advanced Security Settings for folders

    Auf deutschen Systemen heißt der dann "Alle Berechtigungseinträge für untergeordnete Objekte durch vererbbare Berechtigungseinträge von diesem Objekt ersetzen".

    Damit haben dann alle untergeordneten Objekte wieder genau die Berechtigungen, die man "hier oben" eingestellt hat und alle direkt eingetragenen Berechtigungen sind entfernt. Also keine Notwendigkeit ein aufwändiges Skript zu bauen. ;-) Na jedenfalls wenn ich nicht wieder etwas falsch verstanden habe. ;-) 


    Live long and prosper!

    (79,108,97,102|%{[char]$_})-join''

    Dienstag, 20. Juli 2021 07:52
  • Vielen Dank für die Antworten. 

    Ich habe ein kleines Script gebaut, welches unter einem Windows Server funktioniert und die Berechtigungen wie gewünscht ändert. Unter meinem Samba klappt das aus irgendeinem Grund nicht (mehr). 

    Es ist auch tatsächlich so - als die Vererbung von dem einen User weggemacht worden ist, so sollte er ja aus den untergeordneten Ordner die Berechtigung auch raus nehmen. 
    Hat er auch bei ca. 2/3 gemacht. Bei einem Drittel ist alles geblieben wie es war. 
    Die Berechtigung wurde auch nicht aufgebrochen und dadurch wurden sie auch nicht in explizite Berechtigungen geändert. 

    Mir ist das ganze ein Rätsel. 

    Dennoch vielen Dank für eure Hilfe.

    Donnerstag, 22. Juli 2021 05:35