none
NTFS: Verschieben/Löschen von Hauptordnern verhindern RRS feed

  • Pytanie

  • Hallo,

    kann man in den speziellen Berechtigungen so einrichten, dass nur der Hauptordner nicht gelöscht/verschoben werden darf. Die Unterordner dürfen gelöscht/verschoben werden.

    Ich habe das versucht, indem ich die Berechtigungen "Löschen" und "Dateien/Ordner erstellen" entziehe. Leider lässt sich beides nicht kombinieren: löschen und verschieben. Der Ordner ließ sich trotzdem löschen bzw. verschieben. Normalerweise hat eine "Verweigern"-Berechtigung Vorrang vor der "Zulassen"-Berechtigung, oder?

    Die Vererbung möchte ich nicht deaktivieren, da es sonst viel Adminaufwand bei sehr vielen Ordnern bedeutet. Deshalb habe ich die Standardeinstellung belassen und bei "Verweigern" den Haken für das Löschen/Erstellen von Ordnern gesetzt.

    środa, 9 lipca 2014 12:38

Odpowiedzi

  • Am 15.07.2014 15:07, schrieb -tux-:

    Anbei ein Auszug der Berechtigungen für den Ordner "Test":

    Du hast ja im DropDown "Dieser Ordner, Unterordner und Dateien" gewählt.
    Damit Ordner statisch bleiben können gibt es die Unterscheidung in "Nur Unterordner und Dateien" oder "Nur Dateien".

    -> Auf Ordnern LESE Rechte
    -> auf Dateien Schreiben/löschen/etc ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Oznaczony jako odpowiedź przez -honeybee- sobota, 19 lipca 2014 19:14
    • Oznaczenie jako odpowiedzi cofnięte przez -honeybee- sobota, 19 lipca 2014 19:16
    • Oznaczony jako odpowiedź przez -honeybee- sobota, 19 lipca 2014 19:16
    środa, 16 lipca 2014 16:38

Wszystkie odpowiedzi

  • Hallo,

    auf dem Ordner welcher nicht gelöscht werden soll setzt Du SCHREIBEN und in den erweiterten Einstellungen "Unterordener und Dateien löschen"(oder so ähnlich), sorry habe gerade kein deutsches Betriebssystem zur Hand.


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    poniedziałek, 14 lipca 2014 06:51
  • Hallo,

    danke für die Antwort. Leider lässt sich damit nur der Ordner "Test" nicht löschen. Das Verschieben ist trotzdem möglich. Der Hauptordner "Test" darf nicht gelöscht und auch nicht verschoben werden.

    Anbei ein Auszug der Berechtigungen für den Ordner "Test":

    wtorek, 15 lipca 2014 13:07
  • Ja, das ist dieses lästige Verschieben durch "Mausschubser" mit zittrigen Händen beim Doppelklick, das gelegentlich passiert und ohne jede Nachfrage vonstatten geht, was wahrscheinlich zu dieser Frage geführt hat.

    Ein Verschieben ist ja ein Kopieren mit anschließendem Löschen - man kann zwar begrenzt was gegen das Löschen tun, aber nicht gegen das Kopieren. Ich habe leider auch noch kein Kraut dagegen gefunden - wenn die Mitarbeiter mit den Daten in den Ordnern arbeiten sollen, müssen sie nun mal schreiben, überschreiben - und dazu gehört auch löschen - können.

    Viele Grüße
    Olaf

    środa, 16 lipca 2014 12:09
  • Am 15.07.2014 15:07, schrieb -tux-:

    Anbei ein Auszug der Berechtigungen für den Ordner "Test":

    Du hast ja im DropDown "Dieser Ordner, Unterordner und Dateien" gewählt.
    Damit Ordner statisch bleiben können gibt es die Unterscheidung in "Nur Unterordner und Dateien" oder "Nur Dateien".

    -> Auf Ordnern LESE Rechte
    -> auf Dateien Schreiben/löschen/etc ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Oznaczony jako odpowiedź przez -honeybee- sobota, 19 lipca 2014 19:14
    • Oznaczenie jako odpowiedzi cofnięte przez -honeybee- sobota, 19 lipca 2014 19:16
    • Oznaczony jako odpowiedź przez -honeybee- sobota, 19 lipca 2014 19:16
    środa, 16 lipca 2014 16:38
  • Danke für die Antworten.

    Was passiert, wenn ich die Ordner als "Schreibgeschützt" markiere? Dürfen sie dann nicht verschoben werden? Es gab mal Situationen, wo ein Ordner nicht zu verschieben ging, weil jemand ihn noch geöffnet hatte oder eben weil er angeblich schreibgeschützt war.


    • Zmodyfikowany przez -honeybee- sobota, 19 lipca 2014 19:18
    sobota, 19 lipca 2014 19:17
  • Moin,

    Mark, hast Du das mal ausprobiert?

    Die Frage, die dann weiter getestet werden müsste, was passiert, wenn jemand so einen Ordner einfach mit einem zittrigen Mausklick in den Ordner nebenan auf demselben Share/gemapptem Laufwerk wuppt.

    Das ist ja eigentlich das Problem, und egal welche Rechte auf dem Ordner selbst lasten, ich habe es damals nicht unterbunden gekriegt, dass der komplette Ordner einfach im Verzeichnis umgetragen wurde, auch wenn nur Leseberechtigungen existierten. Denn im Ordner änderte sich gar nichts, was die Berechtigungen hätte triggern können. (Also selbst die für mein Benutzerkonto verbotenen Dateien konnte ich so verschieben, auch jetzt noch - soeben getestet).

    Die einzige Ausnahme wäre vermutlich, wenn sämtliche angrenzenden Ordner auch schreibgeschützt konfiguriert sind, nur das wird kontraproduktiv für Ordnerhierarchien, in denen produktiv gearbeitet wird. Denn mit obigen Einstellungen (Ordner Nur Lesen, Unterverzeichnisse und Dateien - Vollzugriff) kann ich zwar existierende Dateien aus dem Ordner nehmen, aber nicht mehr neue Ordner oder Dateien anlegen.

    Viele Grüße
    Olaf

    • Zmodyfikowany przez Olaf Engelke poniedziałek, 21 lipca 2014 13:27
    poniedziałek, 21 lipca 2014 13:12
  • Hallo

    das Löschen von Hauptordnern zu verhindern ist eigentlich ganz simpel.

    Vergebt eure normalen, vererbbaren Berechtigungen für den Zugriff der User (z.B. Gruppe1 lesen, Gruppe2 ändern, Admins Vollzugriff)

    Legt eine neue Gruppe an z.B. Beispiel GruppeNoDelete. Mitglieder werden die, die den Hauptordner nicht löschen dürfen.

    Anschließend wählt man in den Sicherheitseigenschaften des Hauptordners  "Erweitert" > "Berechtigungen ändern" > "Hinzufügen" und fügt die angelegte Gruppe ein. Im Feld "Übernehmen für" wählt man "Nur dieser Ordner" und setzt die Haken bei Zulassen - Berechtigungen lesen und Verweigern - Löschen.

    Damit wirken in den Unterordnern und Dateien die normalen vergebenen Zugriffsberechtigungen - auf dem Hauptordner aber zusätzlich das Löschen-Verweigern.

    Der Hauptordner kann jetzt zwar noch kopiert aber nicht mehr verschoben oder gelöscht werden.

    Am einfachsten man nimmt Domänenbenutzer in die Gruppe für die Verweigerung- dann darf zwar ein Admin den Hauptordner auch nicht löschen - aber der kann die ACL bei Bedarf ja wieder bearbeiten und den  Eintrag löschen. Außerdem kann man dann diese eine GruppeNoDelete für alle Shares verwenden.

    Gruß Leo


    • Zmodyfikowany przez Leobuck wtorek, 19 stycznia 2016 15:03
    wtorek, 19 stycznia 2016 15:03
  • Hallo,

    ich habe das so mal getestet, leider kann bei mir dann aber immer noch munter verschoben werden.


    Moin Hajo

    czwartek, 29 kwietnia 2021 10:40
  • Du must dem übergeordneten Ordner das Löschen von Unterordnern und Dateien verbieten und die Vererbung unterbrechen.Im Share ist der Überordner ja nicht erreichbar.

    czwartek, 29 kwietnia 2021 13:36