[2003] Rechten onderliggende objecten met xcacls gaat mis* - Serversoftware en clouddiensten

donderdag 28 juni 2007 09:55

Acties:

Verwijderd

Topicstarter

Ik wil op folderx de actie "Replace permission entries on alle child objects with entries shown here that apply to child objects" uitvoeren via commandline?

Ik heb het geprobeerd met xcacls als volgt:

cscript.exe XCACLS.vbs "folderx" /D everyone:23 /spec B /F /S /T /E

Gebruiker Pietje heeft voor het uitvoeren van bovenstaand commando RW rechten in alle submappen van folderx. Na het uitvoeren niet meer en kan Pietje. Het account waaronder het commando wordt uitgevoerd heeft administrator rechten op "folderx". Pas als ik via de GUI "Replace permission entries on alle child objects with entries shown here that apply to child objects" aanvink en apply kan Pietje weer in de map komen.

Ik zou hetzelfde resultaat liever via xcacls bereiken maar na verschillende dingen geprobeerd te hebben lukt het nog niet. Zie ik iets over het hoofd?

donderdag 28 juni 2007 10:18

Acties:

WaSteiL

Verwijderd schreef op donderdag 28 juni 2007 @ 09:55:
Ik wil op folderx de actie "Replace permission entries on alle child objects with entries shown here that apply to child objects" uitvoeren via commandline?

Ik heb het geprobeerd met xcacls als volgt:

cscript.exe XCACLS.vbs "folderx" /D everyone:23 /spec B /F /S /T /E

Gebruiker Pietje heeft voor het uitvoeren van bovenstaand commando RW rechten in alle submappen van folderx. Na het uitvoeren niet meer en kan Pietje. Het account waaronder het commando wordt uitgevoerd heeft administrator rechten op "folderx". Pas als ik via de GUI "Replace permission entries on alle child objects with entries shown here that apply to child objects" aanvink en apply kan Pietje weer in de map komen.

Ik zou hetzelfde resultaat liever via xcacls bereiken maar na verschillende dingen geprobeerd te hebben lukt het nog niet. Zie ik iets over het hoofd?

Je kan met SetACL wel de rechten resetten.

Let wel op dat je nu de Everyone een Denied geeft op:
3 Create Folders / Append Dat
2 Create Files / Write Data

Dat geldt dus ook voor de Administrators. Wees erg voorzichtig met de Denied rechten.
Ik heb het even geprobeerd op een map bij mij en ik kan daarna namelijk meteen als administrator niet meer in de map. Als ik daarna naar de rechten ga kijken zie ik ook dat de Everyone group helemaal geen rechten meer heeft.
Reset ik daarna de rechten dan kom ik er wel bij. Misschien is het handig om even aan te geven welke rechten de betreffende gebruiker nu precies moet hebben.

donderdag 28 juni 2007 10:49

Acties:

Verwijderd

Topicstarter

Het gaat erom dat alle gebruikers in 1 of meerdere bepaalde Domain Local groups waarvan de naam kan varieeren geen Read/Write rechten meer hebben maar wel Read only + delete subfiles en folders. Verder moet het commando eigenlijk universeel toepasbaar zijn op verschillende mappen met verschillende groepen eraan gekoppeld dus dacht ik het te regelen met Deny Write voor de Everyone groep.
M.a.w. ik wil mappen Read only maken voor alle gebruikers behoudens het recht om bestanden te kunnen verwijderen.

donderdag 28 juni 2007 13:10

Acties:

WaSteiL

Verwijderd schreef op donderdag 28 juni 2007 @ 10:49:
Het gaat erom dat alle gebruikers in 1 of meerdere bepaalde Domain Local groups waarvan de naam kan varieeren geen Read/Write rechten meer hebben maar wel Read only + delete subfiles en folders. Verder moet het commando eigenlijk universeel toepasbaar zijn op verschillende mappen met verschillende groepen eraan gekoppeld dus dacht ik het te regelen met Deny Write voor de Everyone groep.
M.a.w. ik wil mappen Read only maken voor alle gebruikers behoudens het recht om bestanden te kunnen verwijderen.

Als ik het goed begrijp:

Je wilt de mappen in je hoofdmap dus Read Only hebben.
Submappen mogen daar en tegen wel weer verwijderd worden?
Bestanden moeten modify rechten hebben voor iedereen.

donderdag 28 juni 2007 14:32

Acties:

Verwijderd

Topicstarter

- alle (sub)mappen en bestanden onder de hoofdmap moeten read only worden (dus geen write meer), zonder modify, dus puur openen en lezen.
- verder, alle (sub)mappen en bestanden onder de hoofdmap mogen wel door deze mensen weggegooid worden.

Het komt erop neer dat alle user/group objecten op de hoofdmap geen Write meer mogen hebben maar wel nog delete subfiles en subfolders.

Op deze manier willen we forceren dat mensen de bestanden opslaan en gebruiken in een nieuwe documentmanagement systeem ipv op een netwerkshare.
Alvast bedankt zover.

donderdag 28 juni 2007 20:29

Acties:

grimson

domeingrommer

Misschien kan je deze verbeterde tool gebruiken;
The Icacls.exe utility is available for Windows Server 2003 with Service Pack 2

Zon opbrengst http://plugwise.grimson.nl/ | Fotomeuk

vrijdag 29 juni 2007 08:52

Acties:

Verwijderd

Topicstarter

Bedankt! Ik ben er nu uit.

Icacls gaat beter om met het doorvoeren van rechten dan Xcacls. De tekst "The Icacls.exe utility resolves various issues that occur when you use the existing utilities" klopt dan ook als een bus.
Weet jij of icacls.exe ook zonder Service Pack 2 te installeren is?

vrijdag 29 juni 2007 09:19

Acties:

WaSteiL

Verwijderd schreef op vrijdag 29 juni 2007 @ 08:52:
Bedankt! Ik ben er nu uit.

Icacls gaat beter om met het doorvoeren van rechten dan Xcacls. De tekst "The Icacls.exe utility resolves various issues that occur when you use the existing utilities" klopt dan ook als een bus.
Weet jij of icacls.exe ook zonder Service Pack 2 te installeren is?

Ik heb net icacls.exe vanuit de System32 directory naar mijn XP SP2 machine gekopieerd en dan kan ik het zonder problemen gebruiken. Lijkt me dus geen probleem.
Mogelijk wel als je het op een 2000 machine gebruikt, maar gewoon proberen!

vrijdag 29 juni 2007 13:08

Acties:

sanfranjake

Computers can do that?

Titel aangepast:
Replace permissions on child objects NTFS met xcacls > [2003] Rechten onderliggende objecten met xcacls gaat mis*

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters