• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

ACL beim Verschieben – Dateien verschwinden oder Zugriff verweigert

Mai 3, 2014 (Letztes Update) | Posted by Hannes Hayashi Administration, Konfiguration, Migration |

 

ACL beim Verschieben – Dateien verschwinden oder Zugriff verweigert

Problem beim Verschieben von Dateien auf NTFS Volume:

 – Dateien verschwinden nach dem Verschieben oder
 – Zugriffsverweigerung, wenn Nutzer nur im Zielverzeichnis berechtigt ist

Eine ausführliche Lösung mit Beispiel mit Screenshots und ACL Einstellungen

 

Nach dem Verschieben: Dateien verschwinden / Zugriff verweigert

 
Viele kennen bereits die Problematik, aber nur wenige verstehen warum sie auftritt:

Es werde Dateien auf einem NTFS-Volume von einer Ordnerstruktur in eine andere verschoben.
Danach kommt es vor, dass

  • die Dateien „verschwinden“ bzw.
  • Personen, die nur im Zielverzeichnis berechtigt sind die Dateien nicht öffnen können (Zugriff verweigert)

Sehen wir uns das Ganze an einem Beispiel an:

 

Ausgangslage

  • 2 User – User1 und User2
  • 2 Ordner – Folder1 und Folder2. Die Ordner liegen auf demselben Volume auf einem Windows Filer (CIFS-Share)
  • 2 Berechtigungsgruppen – Group1 und Group2.
  • User1 ist Mitglied von beiden Gruppen
  • User2 ist nur Mitglied von Group2
  • Group1 ist auf Folder1 berechtigt. Group2 ist auf Folder2 berechtigt
  • Die Gruppen geben jeweils das Modify-Recht auf dem Ordner
  • Der Client ist einer von folgenden: Windows Server 2003, Windows XP, Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2
  • ABE ist auf dem Filer an! (Kurzinfo ABE,  Detaillierte Infos bei Technet)

 

Gruppen
Gruppen
Root Sicht User 1
Root Sicht User 1
Root Sicht User 2
Root Sicht User 2

 

ACL Folder 1
ACL Folder 1
ACL Folder 2
ACL Folder 2

 

Verschieben der Datei in die neue Ordnerstruktur

 
User1 hat File1 erstellt und in Folder1 abgelegt.

User1 möchte nun File1 von Folder1 nach Folder2 verschieben, damit User2 es lesen kann (User2 hat in Folder1 keine Leserechte!).

Sehen wir uns zunächst die ACL von File1 an:

ACL File 1 vor dem Verschieben

ACL File 1 vor dem Verschieben

 

Wie wir sehen hat die Datei die vererbten Rechte von Folder1 (Group1). Soweit so gut.

Verschieben wir nun die Datei von Folder1 nach Folder2:

Verschieben von File1

Verschieben von File1

 

 

 Sicht der User und File-ACLs nach dem Verschieben

Folder 2: Sicht User1 nach Verschieben
Folder 2: Sicht User1 nach Verschieben
Folder 2: Sicht User2 nach Verschieben
Folder 2: Sicht User2 nach Verschieben

 

Wie wir sehen, sieht User1 die Datei, aber User2 nicht!

Ein Blick auf die ACL gibt Aufschluss:

ACL von File1 nach dem Verschieben

ACL von File1 nach dem Verschieben

Die Datei hat noch immer die „alten“ Rechte, die sie von Folder1 geerbt hat.
Das erklärt warum User2 die Datei nicht sehen kann – Da ABE an ist, sehen Benutzer nur Dateien, die sie zumindest lesen können.
Wäre ABE aus, würde User2 die Datei zwar sehen, aber nicht öffnen können!

Wir wissen nun warum User2 die Datei nicht sieht, aber die Erklärung ist doch etwas dürftig.

Warum wurde die ACL beim verschieben nicht aktualisiert?

Der Grund wird in folgendem kb-Artikel annährend erklärt:
https://support.microsoft.com/kb/310316

 

Lösung und Anpassung der Berechtigungen

 
Da wir auf einem Server 2003 arbeiten setzten wir den Registry-Key MoveSecurityAttributes im LocalMachine Hive von unserem Client (2003 Server):

Registry-Key MoveSecurityAttributes

Hinweis: Für Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 ist zusätzlich ein Hotfix nötig, damit der Key funktioniert! Dieser ist hier zu finden:

https://support.microsoft.com/kb/2617058

Der kb-Artikel erklärt ebenfalls, dass der User der den Verschiebe-Vorgang auslöst im Ziel (Folder2) das Recht haben muss, Rechte zu verändern („Change Permissions“ Recht). Dieses Recht geben wir dem User ebenfalls:

ACL Change Permissions

ACL Change Permissions

 

Folder2: Geänderte ACL Berechtigungen

Folder2: Geänderte ACL Berechtigungen

 

Versuchen wir unser Glück also aufs Neue. Um sicherzugehen habe wir eine Datei angelegt (File2).

Diese verschieben wir wieder von Folder1 nach Folder2.

Ein Blick auf den Ordner mit User2 zeigt ein vertrautes Bild:

Folder 2: Sicht User2 nach Verschieben

Folder 2: Sicht User2 nach Verschieben

 

Sehen wir uns die Datei einmal mit User1 an und schauen auf die Effective Permissions:

Effektive Berechtigungen ändern

Effektive Berechtigungen ändern

 

Tatsächlich scheint unser User das Recht „Change Permissions“ („Berechtigungen Ändern“) zu haben! Warum also können wir die Berechtitungen der Datei nicht ändern? Der kb-Artikel sagt hierzu auch nichts.

Der Grund ist, dass unsere User über einen Share zugreifen, für den sie lediglich das Change Recht haben (nicht FullControl):

NTFS ACL share

 

Dies reicht grundsätzlich für alle File-System-Aktionen aus und man sollte annehmen, dass es damit getan ist – schließlich ist nicht so einfach ersichtlich was eigentlich in „FullControl“ bei einem Share enthalten ist. Tatsächlich ist aber in dem FullControl Recht über eine Share-Permission auch das ChangePermissions Recht enthalten.

Microsoft bestätigt, dass es unbedenklich ist Anwendern FullControl auf Shares zu geben und die Rechte per NTFS zu limitieren:
https://technet.microsoft.com/en-us/library/cc754178.aspx

 

Grundsätzlich gilt bei Rechten über Shares immer, dass dass limitierende Recht gilt. In diesem Fall ist der Share limitierend, da uns dort das „Change Permissions“ Recht fehlt.

 

Die Lösung für unser Problem besteht also aus folgenden 3 Punkten
 

  • MoveSecurityAttributes per Policy auf dem Client in den Local Machine Hive schreiben
  • Usern das Recht “Change Permissions” im Scope Files Only auf dem NTFS-Volume geben
  • Share Permissions auf FullControl setzen

Zum Beweis geben wir nun unserem User1 direkt auf dem Share FullControl Rechte (nicht auf dem NTFS-Volume).

NTFS ACL Share2

Anschließend verschieben wir dieselbe Datei noch einmal von Folder1 nach Folder2 – und voilá:

ACL nach erfolgreichem Verschieben

ACL nach erfolgreichem Verschieben

Die Rechte des Zielordners wurden ordnungsgemäß übernommen.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 03.05.2014
Tags: ACLCIFSDateien verschwindenNFTS
0

You also might be interested in

PowerShell-Gruppen-Manager

PowerShell – Gruppen-Manager Berechtigung setzen

Jan 31, 2018

Die Verwaltung von AD-Gruppen muss nicht in IT-Händen liegen. Die Funktion ‚Gruppen-Manager‘[...]

Active Directory Delegation mit DSACLS

Jan 3, 2014

DSACLS bedeuted soviel wie Domain bzw. Directory Services Access Control[...]

1 Comment

Leave your reply.

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next