[Saiyajin]

Moin Leute,

ich habe eigentlich nur eine sehr einfache Frage die ich aber einfach nicht beantwortet bekomme...

Ich habe ein Projektordner namens "Projekt ZZZ". Darin befindet sich ein Ordner namens "Projekt 1". Auf dem Ordner "Projekt ZZZ" habe ich jedoch nur Lesezugriff und auf dem darunter liegenden Ordner (also Projekt 1) habe ich Vollzugriff. Welche Berechtigung wirkt nun Dominanter? Bei ACL gibt es die Regel, dass Verweigerungen immer dominater als Erlaubnise sind.

Wie verhält es sich aber in meinem Fall? Da habe ich ja keine explizite Verweigerung gemacht. Wenn ich z.B. einen Mitarbeiter auf dem Ordner Projekt 1 Vollzugriff gebe, kann er ja aber trotzdem nicht in den Ordner schreiben, weil er vom übergeordneten Ordner (Projekt ZZZ) nur Leserechte hat, oder???

Leider gerade kein Windows Server am start, sodass ich es mal selbst testen kann... google liefert mir alle möglichen Antworten, aber nicht auf mein Senario.

[Bild: 7sq739z2.png]

[foobar]

Welche Berechtigung wirkt nun Dominanter? Bei ACL gibt es die Regel, dass Verweigerungen immer dominater als Erlaubnise sind.

Das ist richtig, allerdings gelten direkte Berechtigung immer als wichtiger als vererbte.

Die Reihenfolge ist IIRC:

1. Explizites Verweigern
2. Explizites Erlauben
3. Vererbtes Verweigern
4. Vererbtes Erlauben

Leider gerade kein Windows Server am start, sodass ich es mal selbst testen kann...

Wieso brauchst du dafür einen Windows Server?

Jedes Windows beachtet die ACLs am NTFS. Ab Pro kannst du sie über den Explorer setzen, unter Home musst du zur Kommandozeile (icacls) oder 3rd-Party-Tools greifen.

[Saiyajin]

Das ist richtig, allerdings gelten direkte Berechtigung immer als wichtiger als vererbte.

Ahh verstehe! also wirkt meine direkte Berechtigung (Vollzugriff auf Projekt 1) dominater als die Vererbte Berechtigung "Lesezugriff auf Projekt ZZZ" und der Mitarbeiter kann somit alles in dem Ordner "Projekt 1" machen was er will?

Explizites Verweigern
Explizites Erlauben
Vererbtes Verweigern
Vererbtes Erlauben

Ahh. Danke nochmal für die Reihenfolge, die Hilft mir weiter!

Ich habe auch gehört, dass es ein Unterschied gibt zwischen explizite Verweigerung und keine Berechtigung. Also wenn jemand was explizit Verweigert, ist dies wieder was anderes, als wenn ich ihm keine Berechtigung gebe. Wenn ich dem Benutzer xyz keine Berechtigung auf Datei ZZZ gebe, kann er damit ja sowieso nichts anfangen, warum also nochmal explizit Verweigern?

[foobar]

Wenn ich dem Benutzer xyz keine Berechtigung auf Datei ZZZ gebe, kann er damit ja sowieso nichts anfangen, warum also nochmal explizit Verweigern?

Weil dann vererbte Berechtigung gelten. Wenn du explizit verweigerst, kannst du sicher sein, dass auch dann, wenn du an den Rechten übergeordneter Verzeichnisse herum spielst, du weiter unten nichts kaputt machst.

[Saiyajin]

Weil dann vererbte Berechtigung gelten. Wenn du explizit verweigerst, kannst du sicher sein, dass auch dann, wenn du an den Rechten übergeordneter Verzeichnisse herum spielst, du weiter unten nichts kaputt machst.

Stimmt.. klingt logisch. Okay Danke für die Antwort!
Ich lerne gerade für meine Abschlussprüfung, daher die Fragen

Hast mir aber schon sehr weitergeholfen, thank you!

[jabu]

Nur eine Kleinigkeit:

Jedes Windows beachtet die ACLs am NTFS. Ab Pro kannst du sie über den Explorer setzen, unter Home musst du zur Kommandozeile (icacls) oder 3rd-Party-Tools greifen.

Unter einem "modernen" Windows Home lassen sich die ACLs ebenfalls ganz normal per Explorer setzen (IIRC von Vista bis 10). Unter XP Home ist die entsprechende Funktionalität des Explorers im abgesicherten Modus verfügbar, was umständlich ist, aber manchmal bequemer als das Kommandozeilentool sein kann.