Ordner kopieren NTFS Berechtiungen mitnehmen

    Guten Morgen,

    ich bin auf ein interessantes Problem während meiner Schulung gestoßen. NTFS Rechte lassen sich nicht kopieren usw. vielen sicherlich bekannt

    Scenario: Auf Laufwerk D:\Users\ liegen die Benutzerordner
    Max
    Klaus
    Peter
    Hans
    nur der jeweilige Nutzer steht in den Berechtigungen drin d.h. auch kein Administrator
    somit kann nur der jeweilige Nutzer den Ordner lesen schreiben was auch immer
    jetzt steht ein Umzug an weil die Festplatte defekt ist d.h. der User Ordner muss Partitionsübergreifend kopiert werden mit NTFS Berechtigungen

    macht man es über Windows copy+paste kommt: kein Zugriff und er bricht es ab... bei den paar Leute wäre es kein Problem die Berechtigungen anzupassen und nach dem kopieren
    zurück zu setzen per Hand. Hat man aber bspw. 100 User z.B. in der Schule geht es natürlich nicht.

    Meine Idee:
    Iwi per scriptzeile ACL Einstellungen speichern -> Administrator hinzufügen -> kopieren -> einfügen -> ACL Einstellungen zurückspielen -> Administrator entfernen

    soo ich habe schon einiges gelesen aber nciht das richtie gefunden bisher... ich hoffe ihr könnt mir etwas helfen bzw. einen hinweis geben

    Mh das ist aber ein grober Konzeptionsfehler. Zumindestens der lokale Admin sollte immer und auf alle Ordner jederzeit Zugriff haben.

    Um den Besitz per Script zu übernehmen schau dir mal subinacl.exe and xcacls.exe aus dem RessourceKit an und mit xcopy dann kopieren.

    Andy hat mir ein Schnitzel gebacken aber da war ein Raupi drauf und bevor Oscar das Bugfixen konnte kam Alina und gab mir ein AspirinJunkie.

    also wir haben die erfahrung gemacht das der Admin sich natürlich immer wieder zugriff verschaffen kann weil ihm ja die Platte gehört...das kein Problem es sollte nur nicht drin stehen und ich glaube die Fehlermeldung bot auch Fortsetzen an und dann kam man zumindest als Admin rein und konnte lesen usw.

    ich schau mir mal deine sachen an

    Moin,

    ich nehme an das Ihr eine Domäne habt und du die Laufwerke der Benutzer meinst ide z.B. durch servergespeicherte Profile oder durch Ordnerumleitungen in Gruppenrichtlinien entstehen.
    Das lässt sich daran erkennen das die Benutzer auch Besitzer dieser Ordner sind.

    Schlechte Nachricht für dich: Selbst der Administrator muss sich in diesem Fall erst Zugriff verschaffen (Besitz übernehmen und Rechte neu setzen).
    Deshalb wird in der Regel in Gruppenrichtlinien eingestellt, das der Administrator auf solche Ordner zugreifen kann. Ist der Ordner aber bereits erstellt ist es zu spät.

    Gibt es eventuell einen Backup-Benutzer der alles lesen darf? (Ich hoffe ihr habt eine Datensicherung). Es muss zumindest für das Backup immer einen Benutzer geben der alles lesen darf. Der Administrator kann immer - wenn nicht kann er sich zumindest das Recht dafür holen.

    Solltest du mit Windows Server 2008 / 2008R2 auf die Ordner zugreifen so bietet er dir in der Regel von alleine an die die passenden Rechte zu verschaffen.

    Alternativ: wenn du dein kopieren als Benutzer "SYSTEM" durchführen lässt geht es in der Regel auch - ausser dieser wurde expiziert bei der automatischen Ordnererstellung entfernt. Allerdings kann SYSTEM nicht so ohne weiteres auf das Netzwerk zugreifen.
    Der Trick wäre, den Anmeldebildschirmschoner durch eine Batch zu ersetzen die das kopieren macht.
    Rechte mitkopieren kannst du mit ROBOCOPY.exe - ist ab Vista / 7 / 2008 / 2008R2 ab Werk mit dabei, für die vorherigen Versionen von Windows kann man es herunterladen (suche mal bei google).

    BLinz

    also subinacl.exe lässt sich iwi nicht starten da geht das DOS fenster kurz auf und schließt sich wieder

    nochmal zu meiner Situation
    ich bin grade in einer MCITP Schulung
    wir arbeiten auf VMs nur auf einem System in diesem Fall Server2k8 R2 und wir behandeln grade das Thema NTFS
    wir wollen halt das kopieren von Ordnern üben und dabei die Rechte beibehalten unter meinem oben genannten Scenario funktioniert es halt nicht
    weil der Administrator in der Berechtigung fehlt und das soll halt automatisiert werden

    nutze ich robocopy hab ich kein zugriff auf die Datei zum kopieren
    ob er die Berechtigunen mitnehmen würde wenn ich die Berechtigungen hätte weiß ich nicht, nicht getestet...wäre es aber so
    müsste ich in jedem Ordner den Administrator hinzufügen und dann robocopy ausführen

    hoffe hab jetzt nich zu verwirrend geschrieben

    Lieber tobitron,

    ich arbeite beruflich als IT-Consultant und habe deshalb sehr oft mit diesem Problemen zu tun.

    Das erste problem was du hast, und aud dem MCITP hoffentlich lernst, ist ein Design Problem. Bei der Einrichtung einer Umgebung ist auch immer Datensicherung ein Thema - und dazu muss es etwas geben was darauf zugreifen kann.
    Normalerweise stellt man mit wenigen Einstellungen in den Gruppenrichtlinien ein, das zwar jeder Benutzer einen oder mehrer Eigene Ordner auf dem Server bekommt, der Administrator aber trotzdem darauf zugreifen kann.
    Hat man das nicht gemacht steht man spätestens bei einer Migration der Daten - und genau den Fall hast du jetzt - sich Zugriff auf die Daten verschaffen muss.

    Das geht am einfachsten wenn du den Hauptordner nimmst (notfalls das Laufwerk) und dich für alle Dateien und Ordner zum Besitzer machst - der Besitzer darf immer. Jedoch könnten dabei die eigentlichen Rechte der Ordner verloren gehen. Sind es servergespeicherte Profile so gibt es eine Gruppenrichtlinie hierfür, die dafür sorgt das der besitzer der Ornder nicht geprüft wird, dann klappt die Anmeldung trotzdem.

    Meistens lassen ich durch Windows automatisch neue Ordner für die Benutzer erstellen (da setzt Windows dann die Rechte automatisch richtig), übernehme den Besitz der vorhandenen Ordner und kopiere per Skript die Daten in die neuen Orte (Das Netzlaufwerk der Benutzer zeigt dann auch an den neuen Ort).

    Du kannst, wenn du Zeit hast, natürlich schummeln. Mit Komandozeilentools wie xcacls.exe (google) könntest du in ein Anmeldeskript einbauen das der Benutzer dem Administrator wieder Rechte auf den Ordner gibt, müsstest aber abwarten das sich jeder einmal angemeldet hatte.
    Oder du verbindenst im Anmeldeskript beide Standorte, neuen und alten, und kopierst in diesem dann die Daten rüber. Du lässt H: z.B. statt auf den alten nun auf den neuen zeigen und lässt die Daten einmalig (!) rüberkopieren (musst dir eine Art Prüfung einbauen).

    Zum Kopieren mit der Berechtigungsstruktur gibt es DAS Werkzeug, und das heisst ROBOCOPY, das ist die eierlegende Wollmilchsau dafür.

    Wenn es dann zwischen verschiedenen Domänen sein soll kommt der Punkt für den Leute wie ich bezahlt werden - und scheibar willst du ja einer von den werden.

    Also, gleich richtig angelegt am Anfang erpart viele Probleme, wenn ich es dann doch korregieren muss den Fehler bitte nicht wiederholen. Das der Administrator nicht in die Benutzerordner schauen darf "gibt es nicht" - denn es kann nicht verhindert werden das er es doch könnte. Spätestens derjenige der Datensicherung macht kann da reinsehen (in der Regel auch in alle dein Email etc). Der das kann muss halt rechtlich entsprechend "ver - haftet" werden (von Haften) das er nicht alle Mails liest. Die Benutzer müssen darüber aufgeklärt werden das es nicht "privates" geben kann auf den Servern. wenn jemand etwas hat was keiner Lesen darf muss er einen USB-Stick oder ähnliches nehmen.

    BLinz

    super danke
    ich glaube ich hab den springenden Punkt erkannt
    dadurch das es eine Übung ist stellt es ein Worst-Case Scenario dar und sollte wirklich uns nur beweisen das ein richtiges Design, wie du erwähnt hast, sehr wichtig ist.
    Also ist es unnütz sich darüber den Kopf zu zerbrechen denn alles andere bei richtigem Design kann ROBOCOPY
    ich denke so habe ich es richtig verstanden :)