Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

GPO NTFS Berechtigungen werden nur bei gpupdate.exe angewendet?

20 views
Skip to first unread message

Franz Schenk

unread,
Aug 29, 2005, 10:36:17 AM8/29/05
to
Viele unserer Kunden haben das Problem, dass Benutzer auf Dokumente nicht
zugreifen können, weil diese von anderen Benutzern verschoben wurden, und
deshalb die ACL auf diesen Dokumenten mitgenommen und nicht vom
übergeordneten Zielverzeichnis geerbt wird.

Das Problem sollte meiner Meinung nach mit Gruppenrichtlinien gelöst werden
können, indem über File System Permissions in einer GPO eine ACL auf ein
Verzeichnis erstellt wird, und zwar mit den Optionen "Datei oder Ordner
konfigurieren und anschliessend vorhandene Berechtigungen für alle
Unterordner und Dateien mit vererbaren Berechtigungen ersetzen".

Dies funktioniert auch einwandfrei, wenn die GPO zum ersten mal angewendet
wird, oder die Anwendung der GPO mit "gpupdate /force" erzwungen wird. Habe
aber festgestellt, dass bei der regelmässigen, automatischen Aktualisiereung
der GPO die definierten ACL's nicht auf bestehende Objekte angewendet
werden! Die GPO als solches wird fehelerfrei angewendet, bloss wird z.B. die
in der GPO auf einem Verzeichnis definierte ACL nicht auf Dateien mit
anderen ACL's in diesem Verzeichnis angewendet. Dies wäre aber genau das,
was wir erreichen möchten, nämlich dass alle Unterobjekte eines
Verzeichnisses die im Verzeichnis definierte ACL's haben.

- Ist dieses Verhalten normal, und warum ist das so? (Tests wurden auf
Windows 2003 Server SP1 gemacht.)
- Ist dies von MS irgendwo dokumentiert, welche GPO Settings bei der
periodischen GPO Aktualisierung angewendet werden, und welche nicht?
- Gibt es eine andere Möglichkeit als "gpupdate /force" regelmässig
auszuführen, um konsitente ACL's auf Verzeichnisse und Unterobjekte zu
erzwingen?
- Gibt es irgend eine GPO- oder andere Einstellung, um zu verhindern, dass
die ACL eines Objekts beim Verschieben mitgenommen wird, um damit das
gleiche Verhalten wie beim Kopieren von Objekten zu erreichen? (Meiner
Meinung nach ein Problem, seit es NTFS und Windows NT gibt...)

Danke im voraus für jeden Hinweis/Hilfe!
Franz


Norbert Fehlauer [MVP]

unread,
Aug 29, 2005, 11:58:02 AM8/29/05
to
Franz Schenk wrote:
Hi,

> Viele unserer Kunden haben das Problem, dass Benutzer auf Dokumente
> nicht zugreifen können, weil diese von anderen Benutzern verschoben
> wurden, und deshalb die ACL auf diesen Dokumenten mitgenommen und
> nicht vom übergeordneten Zielverzeichnis geerbt wird.

Von wo nach wo verschoben? Vor allem warum dürfen deine User überhaupt
mittels Vollzugriff auf diese Daten. Ändere die NTFS und
Freigabeberechtigungen jeweils auf nur ändern, dann werden auch keine
Berechtigungen mitgenommen.

Bye
Norbert

Franz Schenk

unread,
Sep 1, 2005, 3:40:29 AM9/1/05
to
Hallo Norbert

Deine Aussage stimmt nicht. Die User/Gruppen haben nur "change"
Berechtigungen. Auch in diesem Fall wird die ACL eines Objekts mitgenommen,
wenn dieses innerhalb eines logischen Laufwerks verschoben wird.

Würde mich auf Feedback oder Antworten auf die vier Fragen in der ersten
Nachricht dieses Threads weiterhin freuen.

Gruss
Franz

"Norbert Fehlauer [MVP]" <n.feh...@gmx.net> schrieb im Newsbeitrag
news:%23kc8wJL...@TK2MSFTNGP10.phx.gbl...

0 new messages