Microsoft Windows Vista Community Forums - Vistaheads
Recommended Download



Welcome to the Microsoft Windows Vista Community Forums - Vistaheads, YOUR Largest Resource for Windows Vista related information.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so , join our community today!

If you have any problems with the registration process or your account login, please contact us.

Driver Scanner

Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?

microsoft.public.de.windows.vista.dateisystem






Speedup My PC
Reply
  #1 (permalink)  
Old 08-21-2009
Erhard Glueck
 

Posts: n/a
Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?
Hallo,
nachdem ich mich nun etwas mit den mit
icacls
betreffende mögliche Berechtigungseinstellungen
eingelesen habe:

Möchte, dass ein bestimmter Benutzer
Dateien im Verzeichnis Desktop nicht löschen kann,
auch wenn eine neue Datei dazukommt.

Wie kann man es einrichten, dass ein DENY delete
automatisch vererbt wird?

Danke für einen Tipp
Erhard

PS. Was ich bis jetzt gemacht habe:

Dem Benutzer zum Verzeichnis die Berechtigung
"Löschen" und "Unterordner und Dateien Löschen"
entzogen.

Auflistung der Berechtigungen:

H:\Users\Keanu>icacls Desktop
Desktop VISTULT\KeanuDENY)(D,DC)
VISTULT\KeanuI)(OI)(CI)(F)
NT-AUTORITÄT\SYSTEMI)(OI)(CI)(F)
VORDEFINIERT\AdministratorenI)(OI)(CI)(F)

mit

H:\Users\Keanu\Desktop>icacls * /deny VISTULT\KeanuD)

konnte ich dem Benutzer die Berechtigung die Dateien zu löschen verwehren.

Auflistung der Berechtigungen einer solchen Datei:

H:\Users\Keanu\Desktop>icacls 1678*.lnk
1678 - Edition.lnk VISTULT\KeanuDENY)(D)
VISTULT\KeanuI)(F)
NT-AUTORITÄT\SYSTEMI)(F)
VORDEFINIERT\AdministratorenI)(F)


Reply With Quote
Sponsored Links
  #2 (permalink)  
Old 08-22-2009
Hans-Peter Matthess
 

Posts: n/a
Re: Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?
Erhard Glueck:

> Möchte, dass ein bestimmter Benutzer
> Dateien im Verzeichnis Desktop nicht löschen kann,
> auch wenn eine neue Datei dazukommt.


Es ist OK, gewisse Dinge auf dem Desktop zu schützen.
Einem User aber zu verbieten, auf dem eigenen Desktop
keine *eigenen* Dateien erstellen, ändern, löschen zu dürfen,
wäre IMHO absoluter Schwachsinn.

hpm
Reply With Quote
  #3 (permalink)  
Old 08-28-2009
Erhard Glueck
 

Posts: n/a
Re: Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?
Hallo Hans-Peter,
wie ich jetzt entdeckte,
habe ich da wirklich Mist gebaut.

Ist aber etwas mystisch.

Setze ich die Verweigerung Löschen mit dem
Windows Explorer->Eigenschaften->Sicherheits Dialog
für jede Verknüpfung separat,
ist das Verhalten wie beabsichtigt:

Der Benutzer, kann seine Links im Desktop weiter verwenden
aber nicht löschen.


Setze ich die Verweigerung Löschen mit dem Kommando
icacls * /deny VISTULT\KeanuD)

und klickt man danach auf ein Desktop Icon
tut sich nichts mehr Vernünftiges.


Trügerischer Weise zeigt die Auflistung von
icacls *
in beiden Fällen das gleiche, z.B.:
1678 - Edition.lnk VISTULT\KeanuDENY)(D)
VISTULT\KeanuI)(F)
NT-AUTORITÄT\SYSTEMI)(F)
VORDEFINIERT\AdministratorenI)(F)


Setzt man dann dieses Kommando ab:

icacls * /reset

hat man den Schaden repariert.

Gruß
Erhard

Reply With Quote
  #4 (permalink)  
Old 08-28-2009
Hans-Peter Matthess
 

Posts: n/a
Re: Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?
Erhard Glueck:

> Hallo Hans-Peter,
> wie ich jetzt entdeckte,
> habe ich da wirklich Mist gebaut.
>
> Ist aber etwas mystisch.


Na ja, nicht wirklich. Vor allem schießt du dir selbst ins Knie, wenn du
den Desktop nach allen Regeln der Kunst systematisch vermurkst.
Der User muss auf alle Fälle bestimmte Grundrechte darauf haben.

hpm
Reply With Quote
  #5 (permalink)  
Old 08-29-2009
Erhard Glueck
 

Posts: n/a
Re: Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?
"Hans-Peter Matthess" <hpmwi@t-online.de> schrieb im Newsbeitrag
news:h78ngs$9ce$01$1@news.t-online.com...
> Erhard Glueck:
>
>> Hallo Hans-Peter,
>> wie ich jetzt entdeckte,
>> habe ich da wirklich Mist gebaut.
>>
>> Ist aber etwas mystisch.

>
> Na ja, nicht wirklich. Vor allem schießt du dir selbst ins Knie, wenn du
> den Desktop nach allen Regeln der Kunst systematisch vermurkst.
> Der User muss auf alle Fälle bestimmte Grundrechte darauf haben.
>
> hpm


Um meinem sicherlich akademischen Interesse nachzugeben,
habe ich das Verhalten in einem anderen neuen Ordner
nachvollzogen.
Dort verhält es sich ebenso:

Setze ich die Verweigerung Löschen mit dem Kommando
icacls * /deny VISTULT\KeanuD)

und doppelklickt man danach auf ein solches Icon
im Windows Explorer tut sich
nichts mehr Vernünftiges.


Allerdings zeigt die Auflistung von
icacls *
in beiden Fällen das gleiche, z.B.:
1678 - Edition.lnk VISTULT\KeanuDENY)(D)
VISTULT\KeanuI)(F)
NT-AUTORITÄT\SYSTEMI)(F)
VORDEFINIERT\AdministratorenI)(F)

Gruß
Erhard

Reply With Quote
  #6 (permalink)  
Old 08-30-2009
Hans-Peter Matthess
 

Posts: n/a
Re: Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?
Erhard Glueck:

> VISTULT\KeanuDENY)(D)
> VISTULT\KeanuI)(F)


Das passt auch nicht wirklich zusammen.

hpm
Reply With Quote
  #7 (permalink)  
Old 08-31-2009
Erhard Glueck
 

Posts: n/a
Re: Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?

"Hans-Peter Matthess" <hpmwi@t-online.de> schrieb im Newsbeitrag
news:h7b3k8$l9n$02$1@news.t-online.com...
> Erhard Glueck:
>
>> VISTULT\KeanuDENY)(D)
>> VISTULT\KeanuI)(F)

>
> Das passt auch nicht wirklich zusammen.
>
> hpm


Nun habe ich einen neuerlichen Anlauf genommen,
um mit icacls
das löschen und nur das Löschen von
Dateien einschließlich Verknüpfungen zu verhindern
und dabei wollte ich ohne dem "deny" auskommen.

Es hat funktioniert:

Von diesen Eigenschaften ausgegangen:

H:\Users\Keanu>icacls Ord
Ord VISTULT\KeanuI)(OI)(CI)(F)
NT-AUTORITÄT\SYSTEMI)(OI)(CI)(F)
VORDEFINIERT\AdministratorenI)(OI)(CI)(F)


icacls Ord /inheritance:d

kopiert die vererbten Sicherheitseigenschaften und
fügt diese als unvererbte wieder hinzu.

es wurden bloß die Vererbungskennzeichner gelöscht:

H:\Users\Keanu>icacls Ord
Ord VISTULT\KeanuOI)(CI)(F)
NT-AUTORITÄT\SYSTEMOI)(CI)(F)
VORDEFINIERT\AdministratorenOI)(CI)(F)


H:\Users\Keanu>icacls Ord /grant:r VISTULT\KeanuOI)(CI)(RX,W,WDAC,WO)

definiert die neuen Berechtigungen für den Benutzer (alte werden ersetzt):

H:\Users\Keanu>icacls Ord
Ord VISTULT\KeanuOI)(CI)(RX,W,WDAC,WO)
NT-AUTORITÄT\SYSTEMOI)(CI)(F)
VORDEFINIERT\AdministratorenOI)(CI)(F)

eine Gegenkontrolle im Sicherheitsdialog ausgehend vom Windows Explorer
zeigt,
dass in der Detailansicht für den Benutzer alles erlaubt ist,
ausgenommen
"Unterordner und Dateien Löschen" und
"Löschen".

und da die Dateien in dem Ordner so eingestellt waren, dass sie
vererbbare Berechtigungen des übergeordneten Objektes einschließen,
sind alle Dateien ohne ein weiteres Zutun sofort mit dem
Berechtigungen des Ordners versehen, wie:

H:\Users\Keanu>icacls Ord\Ki*
Ord\Ki.lnk VISTULT\KeanuI)(RX,W,WDAC,WO)
NT-AUTORITÄT\SYSTEMI)(F)
VORDEFINIERT\AdministratorenI)(F)

Ausprobiert zeigt sich nun,
dass der Benutzer zwar eine Applikation

mit doppelklicken auf die Verknüpfung starten kann,

die Verknüpfung aber selbst nicht löschen kann.

Gruß
Erhard

Reply With Quote
  #8 (permalink)  
Old 08-31-2009
Hans-Peter Matthess
 

Posts: n/a
Re: Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?
Erhard Glueck:

> Ausprobiert zeigt sich nun,
> dass der Benutzer zwar eine Applikation
>
> mit doppelklicken auf die Verknüpfung starten kann,
>
> die Verknüpfung aber selbst nicht löschen kann.


Na prima, so langsam wirst du zum Profi-Cacler. :-)

hpm
Reply With Quote
  #9 (permalink)  
Old 08-31-2009
Helmut Rohrbeck
 

Posts: n/a
Re: Wie 'DENY delete' als zu vererbende Eigenschaft einrichten?
"Hans-Peter Matthess" <hpmwi@t-online.de> wrote in message
news:h7h2dd$lfv$00$1@news.t-online.com...
> Erhard Glueck:
>
>> Ausprobiert zeigt sich nun,
>> dass der Benutzer zwar eine Applikation
>>
>> mit doppelklicken auf die Verknüpfung starten kann,
>>
>> die Verknüpfung aber selbst nicht löschen kann.

>
> Na prima, so langsam wirst du zum Profi-Cacler. :-)


Ersetze "c" durch "k", dann passt's besser ;-)

--
Helmut Rohrbeck [MVP]
Using Windows 7 RTM Version...
PM: www.helmrohr.de/Feedback.htm
Neu: http://www.helmrohr.de/
Reply With Quote
Reply


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off

Similar Threads
Thread Thread Starter Forum Replies Last Post
Deny Access to Folders Niall microsoft.public.windows.vista.administration accounts passwords 1 05-14-2008 21:07
HOW TO DENY REMOTE DESKTOP ACCESS? Neophyte microsoft.public.windows.vista.security 3 02-17-2008 05:23
USB memory drive (Deny write) =?Utf-8?B?TWFyY28=?= microsoft.public.windows.vista hardware devices 0 04-20-2007 18:16
Montana Says No to Real ID, Passes Law to Deny It Steve General Technology News 0 04-19-2007 01:20
The wonderful allow/deny message =?Utf-8?B?VGlja2xl?= microsoft.public.windows.vista.security 4 03-19-2007 03:39




All times are GMT +1. The time now is 20:52.




Driver Scanner - Free Scan Now

Vistaheads.com is part of the Heads Network. See also XPHeads.com , Win7Heads.com and Win8Heads.com.


Design by Vjacheslav Trushkin for phpBBStyles.com.
Powered by vBulletin® Version 3.6.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0 RC 2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120