Wie wende ich die ursprünglich übernommenen Berechtigungen erneut auf Dateien an, die als Administrator erstellt wurden?

tag-icon tag-icon windows-server-2012-r2 windows-server-2016 file-permissions access-control-list administrative-privileges
Wie wende ich die ursprünglich übernommenen Berechtigungen erneut auf Dateien an, die als Administrator erstellt wurden?

Ich hoffe, dass jemand das ein für alle Mal beantworten kann, denn das macht mich seit Monaten wahnsinnig.

  • Plattform: Windows Server, jede Version. Dieses Problem tritt nicht auf einemArbeitsplatz.
  • Problem:

Wenn ich in einem Ordner Dateien erstelle, während ichAdministrator(Von der Eingabeaufforderung oder einem Batch-Ausführungsvorgang „Als Administrator“ aus kann der Benutzer, mit dem ich verbunden bin, die erstellten Dateien nicht bearbeiten. Im Berechtigungssatz fehlt mein Benutzer mit „Sonderberechtigungen“ (was auch immer das bedeutet), während dies auf einer Arbeitsstation nicht passiert. Warum??

Ich habe viele Varianten von ICACLS ausprobiert, darunter auch die, die immer wieder in den Suchergebnissen auftaucht: ICACLS folder /reset /C /L /Tund es hilft nichts: Mein Benutzer kann die Dateien immer noch nicht bearbeiten, es sei denn, dies ist im Berechtigungssatz enthalten.

Die einzige Umgehungsmöglichkeit, die ich gefunden habe, besteht darin, meinem Benutzer wie folgt den vollen Zugriff zu erzwingen:icacls folder /grant %USERNAME%@%USERDNSDOMAIN%:F /T /C /Q

Das Problem besteht darin, dass die Berechtigungen für Dateien immer noch nicht mit den gewünschten übereinstimmen:

  • CREATOR OWNER fehlt
  • COMPUTERNAME\Benutzer haben keine Vererbung („Spezielle Berechtigungen“)

Mache ich etwas falsch?

Was ist die beste Vorgehensweise beim Ausführen von Batches als Administrator, wenn Sie möchten, dass die erstellten Dateien dieselben Berechtigungen haben, als würden Sie den Batch nicht als Administrator ausführen? Ist es tatsächlich möglich, die Berechtigungen auf den gewünschten Wert zurückzusetzen, ohne einen Batch mit mehreren Bedingungen zu schreiben?

Antwort1

Ich glaube nicht, dass Sie etwas falsch machen und das System wie vorgesehen funktioniert. Wenn Sie ein Skript mit einem erhöhten Konto in einer nicht privilegierten Sitzung ausführen, erstellen Sie die Datei als Administrator. Soweit ich weiß, haben Mitglieder der Administratorgruppe volle Berechtigungen, nicht das angemeldete Benutzerkonto. Benutzerberechtigungen müssen der Datei genau so hinzugefügt werden, wie Sie sie umgehen. Sie können in Ihrem Skript auch takeown %USERNAME% verwenden, um den Eigentümer der Datei zu ändern. Ich glaube, Sie müssen die Bedingungen zu Ihren Batchdateien hinzufügen.

Antwort2

Es gibt keine Lösung, sondern nur einen Workaround: Erzwingen Sie die Anwendung von Berechtigungen, indem Sie dem Benutzer Ihrer Wahl vollen Zugriff gewähren:

icacls folder /grant %USERNAME%@%USERDNSDOMAIN%:F /T /C /Q

verwandte Informationen