Read-only Zetten Root Dir van Share

Beste allen,

Ik heb veel verstand van ACL in Windows, maar lang niet alle kennis. Ik ben bang van een scenario, een kleine aanpassing in ACL, die alles overschrijft of onbruikbaar maakt. Gepaard met gekke dingen die ik over de jaren ben tegen gekomen, 'access denied' als local administrator (al zag ik dat vaker bij bijv. DFS ) ben ik ijverig over mijn kunde om simpelweg een root-dir van een share read only te maken. Ik wil dit graag bereiken zodat men niet per ongeluk files/folders aan maakt. Het niet kunnen verwijderen van een map zou ook fijn zijn, maar dat is een bijzaak (daar ze demappen toch nog zouden kunnen verplaatsen).

Mijn vraag luidt dus als volgt, hoe zorg ik er voor dat er in de root-dir van een share het mogelijk wordt om de mappen er in niet te kunnen verwijderen zonder de onderliggende ACL aan te passen?

De structuur luidt ca. als volgt.

Ik heb een D:\Share, deze is gedeeld via Windows als 'Share' toegankelijk dmv. \\server\share en geeft zo te zien dankzij special permissions 'create files / write data' en ' create folders / append data' rechten aan de lokale users groep (die tevens de 'domain\users' groep bevat).

De onderliggende mappen hebben elk een individuele ACL groep gedefinieerd in AD, daar mankeert niks aan. Die mappen wil ik dan ook het liefst zo houden. Bijv. D:\Share\IT, deze is gedeeld via \\server\share\it en geeft 'read' / 'write' of 'no' access afhankelijk van group membership.

Ik heb dit al meermaals over de jaren geprobeerd te simuleren in een test map, maar de test is zo uitgebreid dat ik bang ben dat ik iets vergeten zal, of dat er toch een addertje onder het gras zit.

Handig zou zijn als ik wist hoe ik een backup van de ACL kon maken en/of een herstel kon uitvoeren en dat ik wist hoe lang zo iets zou duren.

Jullie hulp wordt wederom zeer gewaardeerd.

Met vriendelijke groeten,

Michael Barton

Beste allen, alvast hartelijk bedankt voor jullie advies en hulp.

@The Eagle excuses dat ik niet was begonnen met mijn 'nadere overweging', tot slot was dat een nadere overweging, en ik wist dat het mogelijk was, echter ben ik er zelf nog nooit mee aan de haal gegaan. Zodoende weet ik niet genoeg over dit onderwerp, en ben ik benieuwd hoe lang de operaties duren, wat er gebeurt als er nieuwe bestanden bij zijn gekomen, of als er ACL veranderingen zijn geweest in de tussentijd. Op dat soort vragen hoopte ik antwoord te krijgen.

@Brahiewahiewa ik ben bekend met icacls op de command line, ook met get- en set-acl in powershell, echter, wederom, ben ik ijverig veranderingen te maken door slechte ervaringen. Ik ben bang van de befaamde situaties als:

1. 'access denied' -> incosistent state
2. 'het systeem loopt nu alles na', wat enige tijd duurt, waarvan het niet handig is te onderbreken, en mensen kloppen al bij je aan dat ze bij files niet meer kunnen = stress
3. Volledig verwijderde ACL lijsten

Het enige, nogmaals, dat ik hier wil bereiken, is hopelijk iemand vinden die met mij, op een aardige manier, een gesprek wilt aangaan en mij wilt bijpraten over mijn missende kennis en iemand die eventueel de fenomenen die ik eerder heb heb waargenomen kan uitleggen of de wereld uit kan werken. Ik ken de GUI elementen, maar ik weet niet goed wat ze allemaal doen, en ook begrijp ik niet wat alles mbt. icacls doet, vandaar dat ik om hulp vraag.

Overigens betreft dit een FS met ca 25 TB aan bestanden, wat dus gigantische ACL operaties kunnen inhouden, maar die ik dermate zeker wil vermeiden indien mogelijk.

Long story short denk ik dat het een kwestie is van die 2 special permissions verwijderen, maar dan moet ik iets extras doen om er voor te zorgen dat het enkel de 'mappen en files' in die root betreft (er zitten enkel mappen in) maar ook 'toekomstige mappen en files'.

Helaas komt er veel bij ACL kijken (laat staan wat er bij komt als men ook nog eens de shares via NFS wilt hosten) waar ik helaas een beetje bang van word, vandaar mijn vraag om hulp

Alvast en nogmaals dank.

Met vriendelijke groeten,

Michael Barton

Hi, dit betreft niet een DFS situatie. Ik zoek nog altijd iemand die mij een excate command line command kan geven, met enige uitleg wat dat command doet, dan kan ik weer verder. Alvast bedankt.

Hi @Endpoint

Hier heb ik meer aan

Toch heb ik nog wat vragen.

Ik zal een andere groep gebruiken in stap 1, namelijk de lokale users (.\users) groep, want die staat al in de ACL lijst, maar daar kloppen dus 2 permissions niet ('create files / write data' en ' create folders / append data'). Die staat op 'This folder and subfolders'. Zie plaatje). Kan ik de highlighted rule dus verwijderen en dan OK drukken en hopen dat enkel in de hoofd map iets veranderd? Is er overigens een manier om dat te simuleren, of er op een andere manier zeker van te zijn dat dat goed zal gaan?



Stop 2 betreft een stap die in mijn optiek niet nodig is daar de submappen allemaal al goede ACL hebben, dus moet ik die dan alsnog ondernemen?

Alvast hartelijk bedankt

Endpoint schreef op donderdag 9 januari 2020 @ 10:40:
In de root;

Authenticated users: Traverse folder / execute files, list folder / read data, read attribs, read extended attribs, read permissions. Applied to this folder only

En dan, Authenticated users set to full control. Applied to subfolders and files only.