none
NTFS: Verschieben/Löschen von Hauptordnern verhindern RRS feed

  • Question

  • Hallo,

    kann man in den speziellen Berechtigungen so einrichten, dass nur der Hauptordner nicht gelöscht/verschoben werden darf. Die Unterordner dürfen gelöscht/verschoben werden.

    Ich habe das versucht, indem ich die Berechtigungen "Löschen" und "Dateien/Ordner erstellen" entziehe. Leider lässt sich beides nicht kombinieren: löschen und verschieben. Der Ordner ließ sich trotzdem löschen bzw. verschieben. Normalerweise hat eine "Verweigern"-Berechtigung Vorrang vor der "Zulassen"-Berechtigung, oder?

    Die Vererbung möchte ich nicht deaktivieren, da es sonst viel Adminaufwand bei sehr vielen Ordnern bedeutet. Deshalb habe ich die Standardeinstellung belassen und bei "Verweigern" den Haken für das Löschen/Erstellen von Ordnern gesetzt.

    Wednesday, July 9, 2014 12:38 PM

Answers

  • Am 15.07.2014 15:07, schrieb -tux-:

    Anbei ein Auszug der Berechtigungen für den Ordner "Test":

    Du hast ja im DropDown "Dieser Ordner, Unterordner und Dateien" gewählt.
    Damit Ordner statisch bleiben können gibt es die Unterscheidung in "Nur Unterordner und Dateien" oder "Nur Dateien".

    -> Auf Ordnern LESE Rechte
    -> auf Dateien Schreiben/löschen/etc ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Marked as answer by -honeybee- Saturday, July 19, 2014 7:14 PM
    • Unmarked as answer by -honeybee- Saturday, July 19, 2014 7:16 PM
    • Marked as answer by -honeybee- Saturday, July 19, 2014 7:16 PM
    Wednesday, July 16, 2014 4:38 PM

All replies

  • Hallo,

    auf dem Ordner welcher nicht gelöscht werden soll setzt Du SCHREIBEN und in den erweiterten Einstellungen "Unterordener und Dateien löschen"(oder so ähnlich), sorry habe gerade kein deutsches Betriebssystem zur Hand.


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Monday, July 14, 2014 6:51 AM
  • Hallo,

    danke für die Antwort. Leider lässt sich damit nur der Ordner "Test" nicht löschen. Das Verschieben ist trotzdem möglich. Der Hauptordner "Test" darf nicht gelöscht und auch nicht verschoben werden.

    Anbei ein Auszug der Berechtigungen für den Ordner "Test":

    Tuesday, July 15, 2014 1:07 PM
  • Ja, das ist dieses lästige Verschieben durch "Mausschubser" mit zittrigen Händen beim Doppelklick, das gelegentlich passiert und ohne jede Nachfrage vonstatten geht, was wahrscheinlich zu dieser Frage geführt hat.

    Ein Verschieben ist ja ein Kopieren mit anschließendem Löschen - man kann zwar begrenzt was gegen das Löschen tun, aber nicht gegen das Kopieren. Ich habe leider auch noch kein Kraut dagegen gefunden - wenn die Mitarbeiter mit den Daten in den Ordnern arbeiten sollen, müssen sie nun mal schreiben, überschreiben - und dazu gehört auch löschen - können.

    Viele Grüße
    Olaf

    Wednesday, July 16, 2014 12:09 PM
  • Am 15.07.2014 15:07, schrieb -tux-:

    Anbei ein Auszug der Berechtigungen für den Ordner "Test":

    Du hast ja im DropDown "Dieser Ordner, Unterordner und Dateien" gewählt.
    Damit Ordner statisch bleiben können gibt es die Unterscheidung in "Nur Unterordner und Dateien" oder "Nur Dateien".

    -> Auf Ordnern LESE Rechte
    -> auf Dateien Schreiben/löschen/etc ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Marked as answer by -honeybee- Saturday, July 19, 2014 7:14 PM
    • Unmarked as answer by -honeybee- Saturday, July 19, 2014 7:16 PM
    • Marked as answer by -honeybee- Saturday, July 19, 2014 7:16 PM
    Wednesday, July 16, 2014 4:38 PM
  • Danke für die Antworten.

    Was passiert, wenn ich die Ordner als "Schreibgeschützt" markiere? Dürfen sie dann nicht verschoben werden? Es gab mal Situationen, wo ein Ordner nicht zu verschieben ging, weil jemand ihn noch geöffnet hatte oder eben weil er angeblich schreibgeschützt war.


    • Edited by -honeybee- Saturday, July 19, 2014 7:18 PM
    Saturday, July 19, 2014 7:17 PM
  • Moin,

    Mark, hast Du das mal ausprobiert?

    Die Frage, die dann weiter getestet werden müsste, was passiert, wenn jemand so einen Ordner einfach mit einem zittrigen Mausklick in den Ordner nebenan auf demselben Share/gemapptem Laufwerk wuppt.

    Das ist ja eigentlich das Problem, und egal welche Rechte auf dem Ordner selbst lasten, ich habe es damals nicht unterbunden gekriegt, dass der komplette Ordner einfach im Verzeichnis umgetragen wurde, auch wenn nur Leseberechtigungen existierten. Denn im Ordner änderte sich gar nichts, was die Berechtigungen hätte triggern können. (Also selbst die für mein Benutzerkonto verbotenen Dateien konnte ich so verschieben, auch jetzt noch - soeben getestet).

    Die einzige Ausnahme wäre vermutlich, wenn sämtliche angrenzenden Ordner auch schreibgeschützt konfiguriert sind, nur das wird kontraproduktiv für Ordnerhierarchien, in denen produktiv gearbeitet wird. Denn mit obigen Einstellungen (Ordner Nur Lesen, Unterverzeichnisse und Dateien - Vollzugriff) kann ich zwar existierende Dateien aus dem Ordner nehmen, aber nicht mehr neue Ordner oder Dateien anlegen.

    Viele Grüße
    Olaf

    Monday, July 21, 2014 1:12 PM
  • Hallo

    das Löschen von Hauptordnern zu verhindern ist eigentlich ganz simpel.

    Vergebt eure normalen, vererbbaren Berechtigungen für den Zugriff der User (z.B. Gruppe1 lesen, Gruppe2 ändern, Admins Vollzugriff)

    Legt eine neue Gruppe an z.B. Beispiel GruppeNoDelete. Mitglieder werden die, die den Hauptordner nicht löschen dürfen.

    Anschließend wählt man in den Sicherheitseigenschaften des Hauptordners  "Erweitert" > "Berechtigungen ändern" > "Hinzufügen" und fügt die angelegte Gruppe ein. Im Feld "Übernehmen für" wählt man "Nur dieser Ordner" und setzt die Haken bei Zulassen - Berechtigungen lesen und Verweigern - Löschen.

    Damit wirken in den Unterordnern und Dateien die normalen vergebenen Zugriffsberechtigungen - auf dem Hauptordner aber zusätzlich das Löschen-Verweigern.

    Der Hauptordner kann jetzt zwar noch kopiert aber nicht mehr verschoben oder gelöscht werden.

    Am einfachsten man nimmt Domänenbenutzer in die Gruppe für die Verweigerung- dann darf zwar ein Admin den Hauptordner auch nicht löschen - aber der kann die ACL bei Bedarf ja wieder bearbeiten und den  Eintrag löschen. Außerdem kann man dann diese eine GruppeNoDelete für alle Shares verwenden.

    Gruß Leo


    • Edited by Leobuck Tuesday, January 19, 2016 3:03 PM
    Tuesday, January 19, 2016 3:03 PM
  • Hallo,

    ich habe das so mal getestet, leider kann bei mir dann aber immer noch munter verschoben werden.


    Moin Hajo

    Thursday, April 29, 2021 10:40 AM
  • Du must dem übergeordneten Ordner das Löschen von Unterordnern und Dateien verbieten und die Vererbung unterbrechen.Im Share ist der Überordner ja nicht erreichbar.

    Thursday, April 29, 2021 1:36 PM