[Win2k8r2-Domäne] Datei vor Umbenennung schützen

**g1tsm8** · 18. 01. 2012, 13:05

Hallo zusammen,

ich habe hier eine besondere Situation
Mag auf den ersten Blick trivial erscheinen, aber ich finde da einfach keine Lösung für.
Vielleicht hat ja jemand von euch eine Idee...

---Situation---
Ich habe auf einem Server eine Ordner-Freigabe, in die jeder AD-Nutzer alle Berechtigungen hat (Lesen/Schreiben).
Jetzt will ich in diesem Ordner eine Art Readme (.txt-Dokument) reinlegen.
Die AD-Nutzer dürfen diese Datei nur ausführen/lesen, jedoch nicht ändern. Das funktioniert auch - soweit so gut.

Trotz aller Einschränkungen darf der Nutzer anscheinend den Dateinamen ändern und das kann ich nicht einschränken.

Hat da jemand von euch eine Idee?

**OpusDei** · 19. 01. 2012, 23:06

Öffne eine Eingabeaufforderung, wechsle in das besagte Verzeichnis und poste hier die Ausgabe des Befehls "cacls readme.txt" (den Dateinamen ggf. anpassen).
Etwaige Klarnamen von Gruppen oder dergleichen kannst du natürlich abändern, falls das aus Sicht der Anonymität bzw. des Datenschutzes erforderlich ist.

Gruß

**g1tsm8** · 20. 01. 2012, 11:58

Code:

<Pfad>\readme.txt <Domäne>\admin:F
                  VORDEFINIERT\admin:F
                  <Domäne>\nutzer:R

Sieht alles so wie gewünscht aus

**OpusDei** · 21. 01. 2012, 03:05

Dann haben die Benutzer auf dem übergeordneten Ordner das Recht "Unterordner und Dateien löschen". Damit wird das nicht vorhandene Löschen-Recht auf der Datei übersteuert.

Gruß

**g1tsm8** · 23. 01. 2012, 08:55

Der übergeordnete Ordner hat die besagten Berechtigungen, das ist richtig.

Ich habe die Vererbung aber für die eine Datei explizit deaktiviert und nur dem Admin erlaubt, die Datei zu ändern.

Wie bereits beschrieben funktioniert das auch - die Nutzer dürfen die Datei weder verändern, noch löschen.

Es bleibt nur noch das Problem, dass die Nutzer die Datei umbenennen können.

Ich weiß nicht, ob das ein Design-Fehler von Seiten Microsoft ist, oder solch eine Situation/Anforderung einfach nicht bedacht worden ist.

**OpusDei** · 23. 01. 2012, 13:52

Zitat von g1tsm8

Ich habe die Vererbung aber für die eine Datei explizit deaktiviert und nur dem Admin erlaubt, die Datei zu ändern.

Das spielt keine Rolle solange auf dem übergeordneten Ordner das o.g. Recht gesetzt ist. Technisch gesehen bedeutet umbenennen löschen und neu erstellen, und das Löschrecht kommt eben über obige Einstellung.

Du müsstest der entsprechenden Benutzergruppe auf dem Ordner selbst das o.g. Recht nehmen. Auf Unterordner und Dateien kannst du es ihnen dann an gleicher Stelle wieder explizit einräumen.

Grundsätzlich hast du offenbar mit Vollzugriff gearbeitet, sonst sollte dieses Recht gar nicht erst aktiviert sein.

Gruß

**g1tsm8** · 25. 01. 2012, 10:11

Zitat von OpusDei

Das spielt keine Rolle solange auf dem übergeordneten Ordner das o.g. Recht gesetzt ist. Technisch gesehen bedeutet umbenennen löschen und neu erstellen, und das Löschrecht kommt eben über obige Einstellung.

Das kann ich nicht bestätigen.
Wie bereits beschrieben - Die Benutzer können die Datei weder ändern, noch löschen oder dergleichen (Benötigt Administrator-Rechte). Das einzige was die scheinbar können, ist den Dateinamen ändern.

Es ist auch so gewünscht, dass die Benutzer Vollzugriff auf den kompletten Ordner haben, jedoch sollen sie diese eine Datei nicht umbennen dürfen.

Wenn es nicht zu viel verlangt ist, würde ich darum bitten, das Szenario einmal selbst zu erstellen.
Ein Ordner - Vollzugriff für alle
Eine Datei innerhalb des Ordners - Alle nur Lesezugriff, Schreibgeschützt, Vererbung deaktiviert

Ich halte es nach wie vor für einen Design-Fehler, in denen Berechtigungen zwar auf ein Dokument selbst greifen, jedoch nicht auf die Attribute (wie z.B. Name des Dokuments).