Misdemeanor
Lt. Junior Grade
- Registriert
- Mai 2009
- Beiträge
- 510
Hallo miteinander,
ich möchte einen Fileserver mit knapp 15.000 Unterordnern digital entrümpeln und zahlreiche Zugriffsberechtigungen anpassen oder entfernen. U.a. haben sich mit der Zeit div. Userkonten angehäuft, die nur noch als verwaiste SIDs existieren und dort u.a. als Owner für div. Ordner eingetragen sind.
Aber ich habe ein Problem beim Entfernen der entsprechenden Berechtigungen aufgrund vermeintlicher Vererbungseinschränkungen.
Wieso das so ist, zeige ich gerne am nachfolgenden Beispiel:
Wie man sieht, gibt es einen verwaisten Eintrag als Zeugnis einer früheren Gruppen- oder Benutzerberechtigung mit der Bezeichnung S-1-21-1583696848-xxxxyyyyzz...
Klicke ich auf "Edit" > wähle die SID S-1-21-1583696848-xxxxyyyyzz...usw. aus > "Remove" führt zu folgender Fehlermeldung:
Aaah verstehe - es muss im übergeordneten Ordner dieselbe SID existieren, die ich dort oben entfernen muss, und dann geht's. Oder etwa nicht?
Da hilft also nur der Klick auf "Advanced" und man sieht, dass der Owner auf dieser dämlichen SID basiert und dass die Berechtigung vom übergeordneten Objekt "D:\TST\Applikationen\" kommt ("Inherited from").
Also setze ich als ersten Schritt den Owner auf die "Domänen-Admins"-Gruppe:
Dann, denke ich, wechsele ich zum darüberliegenden Ordner.
Das Seltsame ist: hier ist der Owner bereits die "Domänen-Admins"-Gruppe und in der Liste "Permission entries" taucht diese dubiose SID überhaupt nicht auf, auch unter Advanced ist diese nicht zu finden:
Hier beißt sich die Katze in den Schwanz. Wie kann die Vererbung vom übergeordneten Objekt kommen, in welchem selbst aber keine solche SID steht? Ich kann mir nur weiterhelfen, indem ich die Vererbung ausschalte, aber das möchte ich lieber nicht, zumal weitere Vererbungsregeln damit u. U. außer Kraft gesetzt werden könnten.
Weiß hier jemand Rat, wieso das so ist? Habe ich einen Denkfehler in meinen Überlegungen oder ist das mal wieder "works by design" nach Windows?
Danke vorab!
ich möchte einen Fileserver mit knapp 15.000 Unterordnern digital entrümpeln und zahlreiche Zugriffsberechtigungen anpassen oder entfernen. U.a. haben sich mit der Zeit div. Userkonten angehäuft, die nur noch als verwaiste SIDs existieren und dort u.a. als Owner für div. Ordner eingetragen sind.
Aber ich habe ein Problem beim Entfernen der entsprechenden Berechtigungen aufgrund vermeintlicher Vererbungseinschränkungen.
Wieso das so ist, zeige ich gerne am nachfolgenden Beispiel:
Wie man sieht, gibt es einen verwaisten Eintrag als Zeugnis einer früheren Gruppen- oder Benutzerberechtigung mit der Bezeichnung S-1-21-1583696848-xxxxyyyyzz...
Klicke ich auf "Edit" > wähle die SID S-1-21-1583696848-xxxxyyyyzz...usw. aus > "Remove" führt zu folgender Fehlermeldung:
Aaah verstehe - es muss im übergeordneten Ordner dieselbe SID existieren, die ich dort oben entfernen muss, und dann geht's. Oder etwa nicht?
Da hilft also nur der Klick auf "Advanced" und man sieht, dass der Owner auf dieser dämlichen SID basiert und dass die Berechtigung vom übergeordneten Objekt "D:\TST\Applikationen\" kommt ("Inherited from").
Also setze ich als ersten Schritt den Owner auf die "Domänen-Admins"-Gruppe:
Dann, denke ich, wechsele ich zum darüberliegenden Ordner.
Das Seltsame ist: hier ist der Owner bereits die "Domänen-Admins"-Gruppe und in der Liste "Permission entries" taucht diese dubiose SID überhaupt nicht auf, auch unter Advanced ist diese nicht zu finden:
Hier beißt sich die Katze in den Schwanz. Wie kann die Vererbung vom übergeordneten Objekt kommen, in welchem selbst aber keine solche SID steht? Ich kann mir nur weiterhelfen, indem ich die Vererbung ausschalte, aber das möchte ich lieber nicht, zumal weitere Vererbungsregeln damit u. U. außer Kraft gesetzt werden könnten.
Weiß hier jemand Rat, wieso das so ist? Habe ich einen Denkfehler in meinen Überlegungen oder ist das mal wieder "works by design" nach Windows?
Danke vorab!
Zuletzt bearbeitet:
