[rtgacki]

Hallo,

ich habe das Problem, dass auf einem Windows 2003 Server (SP1) bei einem Verzeichnis ständig die explizit (nicht-standardmäßigen) gesetzte ACL wieder auf die Standard-ACL-Einstellung gesetzt wird.

Das Verzeichnis ist freigegeben und alle erbbaren Rechte sind vorher auf das Verzeichnis kopiert worden.

Die Einstellungen, die ich für dieses Verzeichnis jedes Mal mache:

(DO - Diesen Ordner, UO - Unterordner, D - Dateien)

• Administratoren - DO/UO/D - Vollzugriff
  
• ERSTELLER-BESITZER - UO/D - alle, außer Berechtigungen ändern
  
• XYZ-Mitarbeiter - UO/D - alle, außer Berechtigungen ändern
  
• XYZ-Mitarbeiter - DO - alle, außer Löschen, Berechtigungen ändern und Besitzrechte übernehmen
  
• SYSTEM - DO/UO/D - Vollzugriff

Langsam hab ich den Eindruck, hier kommt von Zeit zu Zeit ein Wicht vorbei uns stellt meine ACLs wieder zurück. Jedenfalls darf der Besitzer dann wieder alles und "XYZ-Mitarbeiter" ist weg und wurde durch die Standard-Einstellung für "<Domäne>\Benutzer" ersetzt (nur lesen).

Für das Verzeichnis ist eine Kontingentenregelung angelegt (weich).

Ich freue mich über Hilfen und Denkanstöße.

Danke
Robert

[Rika]

Wer ist der Owner? Wenn das XYZ-Mitarbeiter selber ist, dann kann er die Berechtigungen auch ohne das jeweilige Recht ändern.

Oder der Wicht könnte ChkDsk sein. Das kann als fehlerhaft erkannte ACLs sowohl durch Default als auch durch Everyone-FullAccess ersetzen.

Ist das Verzeichnis irgendwie für das System relevant?

[Lofote]

Evtl. ist auch eine Group Policy da am werkeln.

Ansonsten kann jedes Programm und jedes Skript, dass mit entsprechenden Berechtigungen läuft, dies machen. Vielleicht läuft da eins drüber?

Oder ein anderer Admin lässt (unbewusst?) die Berechtigungen aller Unterordner eines übergeordneten zurücksetzen.

Dieser Beitrag wurde von Lofote bearbeitet: 23. Oktober 2006 - 10:47

[Rika]

Am besten mal Überwachungseinträge den Ordner setzen. Oder Filemon mitlaufen lassen.

[rtgacki]

Vielen Dank ersteinmal für eure Antworten.

Zitat (Rika: 20.10.2006, 20:39)

Wer ist der Owner? Wenn das XYZ-Mitarbeiter selber ist, dann kann er die Berechtigungen auch ohne das jeweilige Recht ändern.

XYZ-Mitarbeiter ist eine Gruppe und besitzt nicht das Recht die Berechtigungen des freigegeben und der untergeordneten Dateien und Ordner zu ändern.

Zitat (Rika: 20.10.2006, 20:39)

Oder der Wicht könnte ChkDsk sein. Das kann als fehlerhaft erkannte ACLs sowohl durch Default als auch durch Everyone-FullAccess ersetzen.

ChkDsk kann ich ausschließen, da ich Einträge bei den Events finden würde.

Zitat (Rika: 20.10.2006, 20:39)

Ist das Verzeichnis irgendwie für das System relevant?

Nein, es ist ein ganz normales Verzeichnis, welches freigegeben ist.

Zitat (Lofote: 20.10.2006, 20:50)

Evtl. ist auch eine Group Policy da am werkeln.

Ansonsten kann jedes Programm und jedes Skript, dass mit entsprechenden Rechten läuft, dies machen. Vielleicht läuft da eins drüber?

Oder ein anderer Admin lässt (unbewusst?) die Berechtigungen aller Unterordner eines übergeordneten zurücksetzen.

Alles das kann ich ausschließen.

Zitat (Rika: 20.10.2006, 23:09)

Am besten mal Überwachungseinträge den Ordner setzen. Oder Filemon mitlaufen lassen.

Das werde ich wohl in der Tat jetzt machen. Zudem werde ich die Kontingentenregelung für das Verzeichnis aufheben. Vielleicht fuchst die mir da hinein.

Vielen Dank
Robert

[Lofote]

Zitat

Wer ist der Owner? Wenn das XYZ-Mitarbeiter selber ist, dann kann er die Berechtigungen auch ohne das jeweilige Recht ändern.



XYZ-Mitarbeiter ist eine Gruppe und besitzt nicht das Recht die Berechtigungen des freigegeben und der untergeordneten Dateien und Ordner zu ändern.

Zunächst mal: Vorsicht, nicht durcheinander bringen: Rechte und BErechtigungen sind zwei paar Stiefel in der Windows-Welt. Bei ACLs spricht man grundsätzlich von Berechtigungen, Rechte sind z.B. das Recht, die Uhrzeit umzustellen, etc.
Was jetzt nicht rauskommt in deiner Antwort, ist, ob du den Besitzer (Owner) geprüft hast. Denn der Besitzer darf seine Objekte auch dann verwalten (sprich: Berechtigungen ändern), wenn im Berechtigungen-Tab er gar nicht oder als "Deny/Verweigern" aufgelistet ist. Du findest den aktuellen Besitzer über den Besitzer-Tab im Erweitert-Tab heraus. Dort kannst du ggf. auch den Besitzer überschreiben, vorausgesetzt du hast das Recht (<- das ist wiederum ein Recht) dazu, den Besitz von Objekten übernehmen zu dürfen, was jeder lokale Admin standardmässig hat (oder du hast die Berechtigung "Vollzugriff" auf das Objekt). <- korrigiert

Dieser Beitrag wurde von Lofote bearbeitet: 23. Oktober 2006 - 20:00

[Rika]

Wobei sich selbst als Besitzer zu setzen auch eine Berechtigung sein kann.

Dieser Beitrag wurde von Rika bearbeitet: 23. Oktober 2006 - 17:08