Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?

Hallo,
nachdem ich mich nun etwas mit den mit
icacls
betreffende mögliche Berechtigungseinstellungen
eingelesen habe:

Möchte, dass ein bestimmter Benutzer
Dateien im Verzeichnis Desktop nicht löschen kann,
auch wenn eine neue Datei dazukommt.

Wie kann man es einrichten, dass ein DENY delete
automatisch vererbt wird?

Danke für einen Tipp
Erhard

PS. Was ich bis jetzt gemacht habe:

Dem Benutzer zum Verzeichnis die Berechtigung
"Löschen" und "Unterordner und Dateien Löschen"
entzogen.

Auflistung der Berechtigungen:

H:\Users\Keanu>icacls Desktop
Desktop VISTULT\KeanuDENY)(D,DC)
VISTULT\KeanuI)(OI)(CI)(F)
NT-AUTORITÄT\SYSTEMI)(OI)(CI)(F)
VORDEFINIERT\AdministratorenI)(OI)(CI)(F)

mit

H:\Users\Keanu\Desktop>icacls * /deny VISTULT\KeanuD)

konnte ich dem Benutzer die Berechtigung die Dateien zu löschen verwehren.

Auflistung der Berechtigungen einer solchen Datei:

H:\Users\Keanu\Desktop>icacls 1678*.lnk
1678 - Edition.lnk VISTULT\KeanuDENY)(D)
VISTULT\KeanuI)(F)
NT-AUTORITÄT\SYSTEMI)(F)
VORDEFINIERT\AdministratorenI)(F)

Erhard Glueck:

> Möchte, dass ein bestimmter Benutzer
> Dateien im Verzeichnis Desktop nicht löschen kann,
> auch wenn eine neue Datei dazukommt.

Es ist OK, gewisse Dinge auf dem Desktop zu schützen.
Einem User aber zu verbieten, auf dem eigenen Desktop
keine *eigenen* Dateien erstellen, ändern, löschen zu dürfen,
wäre IMHO absoluter Schwachsinn.

hpm

Hallo Hans-Peter,
wie ich jetzt entdeckte,
habe ich da wirklich Mist gebaut.

Ist aber etwas mystisch.

Setze ich die Verweigerung Löschen mit dem
Windows Explorer->Eigenschaften->Sicherheits Dialog
für jede Verknüpfung separat,
ist das Verhalten wie beabsichtigt:

Der Benutzer, kann seine Links im Desktop weiter verwenden
aber nicht löschen.


Setze ich die Verweigerung Löschen mit dem Kommando
icacls * /deny VISTULT\KeanuD)

und klickt man danach auf ein Desktop Icon
tut sich nichts mehr Vernünftiges.


Trügerischer Weise zeigt die Auflistung von
icacls *
in beiden Fällen das gleiche, z.B.:
1678 - Edition.lnk VISTULT\KeanuDENY)(D)
VISTULT\KeanuI)(F)
NT-AUTORITÄT\SYSTEMI)(F)
VORDEFINIERT\AdministratorenI)(F)


Setzt man dann dieses Kommando ab:

icacls * /reset

hat man den Schaden repariert.

Gruß
Erhard

Erhard Glueck:

> Hallo Hans-Peter,
> wie ich jetzt entdeckte,
> habe ich da wirklich Mist gebaut.
>
> Ist aber etwas mystisch.

Na ja, nicht wirklich. Vor allem schießt du dir selbst ins Knie, wenn du
den Desktop nach allen Regeln der Kunst systematisch vermurkst.
Der User muss auf alle Fälle bestimmte Grundrechte darauf haben.

hpm

"Hans-Peter Matthess" <hpmwi@t-online.de> schrieb im Newsbeitrag
news:h78ngs$9ce$01$1@news.t-online.com...
> Erhard Glueck:
>
>> Hallo Hans-Peter,
>> wie ich jetzt entdeckte,
>> habe ich da wirklich Mist gebaut.
>>
>> Ist aber etwas mystisch.
>
> Na ja, nicht wirklich. Vor allem schießt du dir selbst ins Knie, wenn du
> den Desktop nach allen Regeln der Kunst systematisch vermurkst.
> Der User muss auf alle Fälle bestimmte Grundrechte darauf haben.
>
> hpm

Um meinem sicherlich akademischen Interesse nachzugeben,
habe ich das Verhalten in einem anderen neuen Ordner
nachvollzogen.
Dort verhält es sich ebenso:

Setze ich die Verweigerung Löschen mit dem Kommando
icacls * /deny VISTULT\KeanuD)

und doppelklickt man danach auf ein solches Icon
im Windows Explorer tut sich
nichts mehr Vernünftiges.


Allerdings zeigt die Auflistung von
icacls *
in beiden Fällen das gleiche, z.B.:
1678 - Edition.lnk VISTULT\KeanuDENY)(D)
VISTULT\KeanuI)(F)
NT-AUTORITÄT\SYSTEMI)(F)
VORDEFINIERT\AdministratorenI)(F)

Gruß
Erhard

Erhard Glueck:

> VISTULT\KeanuDENY)(D)
> VISTULT\KeanuI)(F)

Das passt auch nicht wirklich zusammen.

hpm

"Hans-Peter Matthess" <hpmwi@t-online.de> schrieb im Newsbeitrag
news:h7b3k8$l9n$02$1@news.t-online.com...
> Erhard Glueck:
>
>> VISTULT\KeanuDENY)(D)
>> VISTULT\KeanuI)(F)
>
> Das passt auch nicht wirklich zusammen.
>
> hpm

Nun habe ich einen neuerlichen Anlauf genommen,
um mit icacls
das löschen und nur das Löschen von
Dateien einschließlich Verknüpfungen zu verhindern
und dabei wollte ich ohne dem "deny" auskommen.

Es hat funktioniert:

Von diesen Eigenschaften ausgegangen:

H:\Users\Keanu>icacls Ord
Ord VISTULT\KeanuI)(OI)(CI)(F)
NT-AUTORITÄT\SYSTEMI)(OI)(CI)(F)
VORDEFINIERT\AdministratorenI)(OI)(CI)(F)


icacls Ord /inheritance:d

kopiert die vererbten Sicherheitseigenschaften und
fügt diese als unvererbte wieder hinzu.

es wurden bloß die Vererbungskennzeichner gelöscht:

H:\Users\Keanu>icacls Ord
Ord VISTULT\KeanuOI)(CI)(F)
NT-AUTORITÄT\SYSTEMOI)(CI)(F)
VORDEFINIERT\AdministratorenOI)(CI)(F)


H:\Users\Keanu>icacls Ord /grant:r VISTULT\KeanuOI)(CI)(RX,W,WDAC,WO)

definiert die neuen Berechtigungen für den Benutzer (alte werden ersetzt):

H:\Users\Keanu>icacls Ord
Ord VISTULT\KeanuOI)(CI)(RX,W,WDAC,WO)
NT-AUTORITÄT\SYSTEMOI)(CI)(F)
VORDEFINIERT\AdministratorenOI)(CI)(F)

eine Gegenkontrolle im Sicherheitsdialog ausgehend vom Windows Explorer
zeigt,
dass in der Detailansicht für den Benutzer alles erlaubt ist,
ausgenommen
"Unterordner und Dateien Löschen" und
"Löschen".

und da die Dateien in dem Ordner so eingestellt waren, dass sie
vererbbare Berechtigungen des übergeordneten Objektes einschließen,
sind alle Dateien ohne ein weiteres Zutun sofort mit dem
Berechtigungen des Ordners versehen, wie:

H:\Users\Keanu>icacls Ord\Ki*
Ord\Ki.lnk VISTULT\KeanuI)(RX,W,WDAC,WO)
NT-AUTORITÄT\SYSTEMI)(F)
VORDEFINIERT\AdministratorenI)(F)

Ausprobiert zeigt sich nun,
dass der Benutzer zwar eine Applikation

mit doppelklicken auf die Verknüpfung starten kann,

die Verknüpfung aber selbst nicht löschen kann.

Gruß
Erhard

Erhard Glueck:

> Ausprobiert zeigt sich nun,
> dass der Benutzer zwar eine Applikation
>
> mit doppelklicken auf die Verknüpfung starten kann,
>
> die Verknüpfung aber selbst nicht löschen kann.

Na prima, so langsam wirst du zum Profi-Cacler. :-)

hpm

"Hans-Peter Matthess" <hpmwi@t-online.de> wrote in message
news:h7h2dd$lfv$00$1@news.t-online.com...
> Erhard Glueck:
>
>> Ausprobiert zeigt sich nun,
>> dass der Benutzer zwar eine Applikation
>>
>> mit doppelklicken auf die Verknüpfung starten kann,
>>
>> die Verknüpfung aber selbst nicht löschen kann.
>
> Na prima, so langsam wirst du zum Profi-Cacler. :-)

Ersetze "c" durch "k", dann passt's besser ;-)

--
Helmut Rohrbeck [MVP]
Using Windows 7 RTM Version...
PM: www.helmrohr.de/Feedback.htm
Neu: http://www.helmrohr.de/