Microsoft Windows Vista Community Forums - Vistaheads
Recommended Download



Welcome to the Microsoft Windows Vista Community Forums - Vistaheads, YOUR Largest Resource for Windows Vista related information.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so , join our community today!

If you have any problems with the registration process or your account login, please contact us.

Driver Scanner

ACL: Löschen von Ordnerstruktur verweigern - aber wie?

microsoft.public.de.windows.vista.dateisystem






Speedup My PC
Reply
  #1 (permalink)  
Old 08-07-2007
tschultze
 

Posts: n/a
ACL: Löschen von Ordnerstruktur verweigern - aber wie?
Hallo zusammen,

ich sammle gerade meine ersten Erfahrungen im Bezug auf ACLs (Vista UE) und
bin bei folgendem "Problem" am Verzweifeln:

Beispiel:

+ "Basisordner"
+-- "Unterordner" (vom Basisordner)

Ich möchte, dass ein bestimmter User den Basisordner und zugehörigen
Unterordner nicht löschen darf, ansonsten aber vollen Zugriff auf diese zwei
Ordner erhält. Dieser User soll zudem Vollzugriff auf alle Ordner und Dateien
erhalten, welche unter dem Unterordner gespeichert sind.

Nach meinem Verständnis sollten folgende Einstellungen für den
entsprechenden User in der ACL des Basisordners ausreichend sein, sofern
diese Zuweisungen die Berechtigungen aller Unterordner und Dateien ersetzen:

+ Zulassen ; User ; Vollzugriff ; nicht geerbt ; Diesen Ordner, Unterordner
und Dateien
+ Verweigern ; User ; Löschen ; nicht geerbt ; Diesen Ordner und Unterordner
; mit der aktivierten Option "Apply these permissions to objects and/or
containers within this container only"

Wenn ich mir nun die effektiven Berechtigungen des Users zu den beiden
Ordnern ansehe, so sind diese bei beiden Ordnern identisch - Löschen ist
verweigert, die restlichen Berechtigungen sind zugelassen.
Wenn ich jetzt versuche, den Basisordner zu löschen, dann bekomme ich wie
erwartet eine entsprechende Meldung "Zugriff verweigert". So sollte es auch
mit dem Unterordner sein, doch den kann ich problemlos löschen.

Wie stelle ich also sicher, dass sowohl der Basisordner als auch der
Unterordner von einem User nicht gelöscht werden darf, dieser aber
Vollzugriff auf alle Dateien und Ordner erhält, welche im Unterordner
gespeichert sind?

Ich habe diesen Effekt auch unter Win 2003 Server SP1 nachstellen können.
Anscheinend habe ich hier irgendwo einen Denkfehler drin. Hilfe und Tipps
sind willkommen!!!

Danke und viele Grüße,
tschultze
Reply With Quote
Sponsored Links
  #2 (permalink)  
Old 08-07-2007
Oliver Weisse
 

Posts: n/a
Re: ACL: Löschen von Ordnerstruktur verweigern - aber wie?
tschultze schrieb:
> Hallo zusammen,

...
> Ich möchte, dass ein bestimmter User den Basisordner und zugehörigen
> Unterordner nicht löschen darf, ansonsten aber vollen Zugriff auf diese zwei
> Ordner erhält. Dieser User soll zudem Vollzugriff auf alle Ordner und Dateien
> erhalten, welche unter dem Unterordner gespeichert sind.

...
> + Zulassen ; User ; Vollzugriff ; nicht geerbt ; Diesen Ordner, Unterordner
> und Dateien
> + Verweigern ; User ; Löschen ; nicht geerbt ; Diesen Ordner und Unterordner
> ; mit der aktivierten Option "Apply these permissions to objects and/or
> containers within this container only"

...
>
> Danke und viele Grüße,
> tschultze

Ich würde es nicht so machen, denn:

- Wenn Du einem Benutzer Vollzugriff gibst, hat er auch die Berechtigung
"Besitz übernehmen" und kann sich damit jederzeit verweigerte
Berechtigungen wiederbeschaffen.

- Wenn Du das Löschen von Dateien verweigerst, wird z.B. Word nie mehr
temporäre Dateien löschen können, was zu Ärger führt.

- Verweigern ist immer eine ungeliebte, administrative Notbremse. Schau
mal, wie weit Du mit unterschiedlichen Ordner- und Dateiberechtigungen
auf Basis von "Ändern" kommst.


Beste Grüße,
Oliver

Reply With Quote
  #3 (permalink)  
Old 08-11-2007
Daniel Melanchthon [MS]
 

Posts: n/a
Re: Löschen von Ordnerstruktur verweigern - aber wie?
tschultze wrote:
> Ich möchte, dass ein bestimmter User den Basisordner und zugehörigen
> Unterordner nicht löschen darf, ansonsten aber vollen Zugriff auf diese
> zwei Ordner erhält. Dieser User soll zudem Vollzugriff auf alle Ordner
> und Dateien erhalten, welche unter dem Unterordner gespeichert sind.


Vollzugriff ist die falsche Berechtigung, da Vollzugriff
auch das Recht beinhaltet, den Besitz zu übernehmen
und Rechte selbst vergeben zu können.

Vermutlich reicht Dir Ändern völlig.

> + Zulassen ; User ; Vollzugriff ; nicht geerbt ; Diesen Ordner,
> Unterordner und Dateien


Damit darf er alles mit dem Ordner und den Unterordnern.
Das willst Du ja gerade nicht.

> Ich habe diesen Effekt auch unter Win 2003 Server SP1 nachstellen können.
> Anscheinend habe ich hier irgendwo einen Denkfehler drin. Hilfe und Tipps
> sind willkommen!!!


Ein explizites Allow siegt über ein vererbtes Deny:

Subordinate Explicit Grant Overrides Inherited Denial
http://support.microsoft.com/default...;en-us;q233419

Gib ihm doch nur Lesen/Ausführen auf den Basisordner und den Unterordner
und dann Ändern auf Dateien und Unterordner der Unterordner.

Viele Grüße!
--
..aniel Melanchthon:.
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!

Reply With Quote
  #4 (permalink)  
Old 08-23-2007
tschultze
 

Posts: n/a
RE: ACL: Löschen von Ordnerstruktur verweigern - aber wie?
Danke für die Tipps, dann war ich wohl völlig falsch davor.

Viele Grüße,
tschultze
Reply With Quote
  #5 (permalink)  
Old 08-23-2007
tschultze
 

Posts: n/a
RE: ACL: Löschen von Ordnerstruktur verweigern - aber wie?
Danke für die Tipps, dann war ich wohl völlig falsch davor.

Viele Grüße,
tschultze
Reply With Quote
Reply


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off

Similar Threads
Thread Thread Starter Forum Replies Last Post
Wie schaff' ich HP LaserJet 1010 von Update-Seite Hanuman microsoft.public.de.windows.vista.hardware 1 11-24-2007 19:51
Löschen von Mails im Ordner GELÖSCHTE DATEIEN unter Windows Mail ReMa microsoft.public.de.windows.vista.sonstiges 1 06-04-2007 18:10
Wie von Vista 64 bit zu 32 bit (Omnibook nx9420) Robert Gummi microsoft.public.de.windows.vista.installation 1 05-28-2007 13:47
Wie .dbx-Dateien von XP-OE übertragen? Erich microsoft.public.de.windows.vista.sonstiges 1 04-20-2007 21:25
Re: Administratorrechte - Löschen und Verschieben von Dateien panthertom microsoft.public.de.windows.vista.administration 3 04-09-2007 21:16




All times are GMT +1. The time now is 13:25.




Driver Scanner - Free Scan Now

Vistaheads.com is part of the Heads Network. See also XPHeads.com , Win7Heads.com and Win8Heads.com.


Design by Vjacheslav Trushkin for phpBBStyles.com.
Powered by vBulletin® Version 3.6.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0 RC 2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120