Bearbeiten von Dateirechten ohne lokalen Admin

Antworten
andré
Beiträge: 324
Registriert: 07 Jan 2014, 10:48

Bearbeiten von Dateirechten ohne lokalen Admin

Beitrag von andré »

Ich habe einen Ordner mit Zertifikaten direkt im Config-Ordner von OpenVPN. Auf diesem Ordner habe ich bisher immer der Gruppe Benutzer den Vollzugriff verboten.

Zukünftig werden diese Zertifikate außerhalb des OpenVPN-Ordners liegen und direkt von einem Opsi-Paket installiert. Dabei tritt aber noch ein Fehler auf, wenn ich die alten Zertifikate löschen möchte. Und zwar gibt es bei einigen Dateien immer den Fehler "Das Handle ist ungültig", wenn ich per icacls.exe den Zugriff darauf wieder gewähren möchte.

Da das unter einem lokalen Admin aber funktioniert, gehe ich davon aus, dass die Zugriffsrechte da rein grätschen und das Opsi-Paket mit der Funktionalität vom opsi-template-with-admin funktionieren würde.

Bevor ich das mache, wollte ich aber einfach mal in die Runde fragen, ob es vielleicht eine einfachere opsi-Funktion gibt, die ich evtl übersehen habe, die mir diese ganze Arbeit erspart?
uncle_scrooge
Beiträge: 650
Registriert: 21 Feb 2012, 12:03
Wohnort: Mainz

Re: Bearbeiten von Dateirechten ohne lokalen Admin

Beitrag von uncle_scrooge »

Bitte noch einmal für mich zum mitschreiben:

Du hast ein Verzeichnis ..\4712
Für dieses Verzeichnis hast Du der Gruppe Benutzer den Vollzugriff entzogen. Vererbung aktiv.

In diesem Verzeichnis liegen Dateien:
..\4712\nix.a (icacls funktioniert)
..\4712\immernochnix.a (icacls schmeißt invalid handle)
..\4712\gehtjagarnicht.b (icacls funktioniert)
etc.

Wenn dem so ist, muß an den Berechtigungen was kaputt sein. Entweder es funktioniert bei allen Dateien, oder bei keinen.

Was passiert, wenn Du per psexec -s (also unter system account) versuchst, per icacls die Rechte zu ändern?
andré
Beiträge: 324
Registriert: 07 Jan 2014, 10:48

Re: Bearbeiten von Dateirechten ohne lokalen Admin

Beitrag von andré »

Dass nur jede zweite Datei betroffen war, kam bei mir auf einem von drei Testgeräten vor. Bei den anderen konnte ich den gewünschten Ordner selbst, aber keine der Dateien darin bearbeiten.

Ich habe psexec in das Skript integriert und etliche Testfälle simuliert. Ich werde zwar noch einige Systeme live testen müssen, aber bisher sieht es so aus, als würde psexec die Rechteanpassung ohne Probleme durchführen. Danke für den Tipp.
Antworten