Get-ACL oder Set-ACL: als Backup Operator Powershell Cmdlets zur Verwaltung von Berechtigungen (Sicherungs-Administratoren) ohne Vollzugriffsrechte ausführen.

Wenn Sie als Administrator des Windows Fileservers auf bestimmte Verzeichnisse keine Vollzugriffsberechtigungen mehr haben, dann können Sie mit Powershell in Kombination mit der Rolle „Backup Operator“ oder „Sicherungsoperator“ die Rechte trotzdem verwalten.

Das wird möglich, weil die Sicherungsoperator über die lokale Sicherheitsrichtlinie Benutzerrechte auf Betriebssystemebene erhalten, die die Einstellungen der ACL umgehen können.

Ungünstig: Vollzugriffsrechte zurückerlangen durch Übernahme der Ownerschaft der Dateien und Verzeichnisse.

Als lokaler Administrator des Servers haben Sie das Recht, den Besitzer für die Verzeichnisse oder Dateien zu überschreiben.

Wählen Sie mit „Ändern“ den Account eines Administrators aus. Dieser wird im Anschluss auch die Berechtigung haben, die ACL wieder über die Oberfläche zu verwalten.

NACHTEIL: Durch diese Aktion wird die originale Information des Erstellers der Datei verloren. Diese Information ist aber sehr wichtig, wenn man verstehen will, wer eigentlich in einem Verzeichnis arbeitet und Dateien erstellt.

Optimal: Setzen von ACE als Backup Operator über Powershell

Über die lokalen Benutzerrechte des Windows Betriebssystems

  1. Sichern von Dateien und Verzeichnissen
  2. Wiederherstellen von Dateien und Verzeichnissen

erlangen Sie Berechtigungen auf Betriebssystemebene, die die ACL manipulieren können, ohne in einer ACL enthalten sein zu müssen.

Tragen Sie dazu den Account, mit dem Sie anschließend die Rechte verwalten wollen, in die Gruppe der Sicherungsoperatoren ein oder geben sie dem Account direkt über die lokale Sicherheitsrichtlinie die Berechtigungen.

(Get-ACL -Path "C:\Docs\").access | Format-Table -AutoSize

Ohne dem Recht kommt die Meldung:

get-acl : Es wurde versucht, einen nicht autorisierten Vorgang auszuführen.
In Zeile:1 Zeichen:2
+ (get-acl \\srv-fs-01\home\uwe\testPrivUAADMIN).Access
+  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Get-Acl], UnauthorizedAccessException
    + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.GetAclCommand

Die Sicherungsoperatoren können auf Lokaler oder über die Domäne gesteuert werden.

Setzen von Berechtigungen über Set-ACL Powershell als Backup Operator

$acl=(get-acl "c:\Docs") ;
$ace=new-object Security.AccessControl.FileSystemAccessRule ("Domain\Ihr_Adminaccount", "FullControl", "ContainerInherit,ObjectInherit", "InheritOnly", "Allow")
$acl.AddAccessRule($ace)

Remote setzen Berechtigungen als Backup Operator über Powershell Invoke-Command

Invoken Sie den Powershell Befehl mit Invoke-Command. Damit wird der Befehl auf den Server übertragen und lokal ausgeführt.

Invoke-Command -ComputerName srv-fs-01 -ScriptBlock {get-acl \\srv-fs-01\Share\Verzeichnis}

Permanentlink zu diesem Beitrag: https://help.migraven.com/get-acl-oder-set-acl-als-backup-operator-powershell-cmdlets-zur-verwaltung-von-berechtigungen-sicherungs-administratoren-ohne-vollzugriffsrechte-ausfuehren/

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.