Wenn Sie als Administrator des Windows Fileservers auf bestimmte Verzeichnisse keine Vollzugriffsberechtigungen mehr haben, dann können Sie mit Powershell in Kombination mit der Rolle „Backup Operator“ oder „Sicherungsoperator“ die Rechte trotzdem verwalten.

Das wird möglich, weil die Sicherungsoperator über die lokale Sicherheitsrichtlinie Benutzerrechte auf Betriebssystemebene erhalten, die die Einstellungen der ACL umgehen können.

Inhaltsverzeichnis
- Ungünstig: Vollzugriffsrechte zurückerlangen durch Übernahme der Ownerschaft der Dateien und Verzeichnisse.
- Optimal: Setzen von ACE als Backup Operator über Powershell
- Setzen von Berechtigungen über Set-ACL Powershell als Backup Operator
- Remote setzen Berechtigungen als Backup Operator über Powershell Invoke-Command
- Empfehlung!!!!!
Ungünstig: Vollzugriffsrechte zurückerlangen durch Übernahme der Ownerschaft der Dateien und Verzeichnisse.
Als lokaler Administrator des Servers haben Sie das Recht, den Besitzer für die Verzeichnisse oder Dateien zu überschreiben.
NIEMALS Tun !!!! ->>>
Die Ownerschaft als Admin überschreiben. Diese Info ist wichtig, wenn man herausfinden möchte, wer mal die Datei darin erstellt hat.
<<<<<- Niemals Tun
Denn: Durch diese Aktion wird die originale Information des Erstellers der Datei verloren. Diese Information ist aber sehr wichtig, wenn man verstehen will, wer eigentlich in einem Verzeichnis arbeitet und Dateien erstellt.

Optimal: Setzen von ACE als Backup Operator über Powershell
Über die lokalen Benutzerrechte des Windows Betriebssystems.
Der Backup Operator darf:
- Sichern von Dateien und Verzeichnissen
- Wiederherstellen von Dateien und Verzeichnissen
erlangen Sie Berechtigungen auf Betriebssystemebene, die die ACL manipulieren können, ohne in einer ACL enthalten sein zu müssen.
Tragen Sie dazu den Account, mit dem Sie anschließend die Rechte verwalten wollen, in die Gruppe der Sicherungsoperatoren ein oder geben sie dem Account direkt über die lokale Sicherheitsrichtlinie die Berechtigungen.
!!!! Script mit Adminrechten ausführen!!!!
(Get-ACL -Path "C:\Docs\").access | Format-Table -AutoSize

Ohne dem Recht kommt die Meldung:
get-acl : Es wurde versucht, einen nicht autorisierten Vorgang auszuführen.
In Zeile:1 Zeichen:2
+ (get-acl \\srv-fs-01\home\uwe\testPrivUAADMIN).Access
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Get-Acl], UnauthorizedAccessException
+ FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.PowerShell.Commands.GetAclCommand


Die Sicherungsoperatoren können auf Lokaler oder über die Domäne gesteuert werden.

Setzen von Berechtigungen über Set-ACL Powershell als Backup Operator
!!!!! Powershell als Admin starten!!!!!
$acl=(get-acl "c:\Docs") ;
$ace=new-object Security.AccessControl.FileSystemAccessRule ("Domain\Ihr_Adminaccount", "FullControl", "ContainerInherit,ObjectInherit", "InheritOnly", "Allow")
$acl.AddAccessRule($ace)
Remote setzen Berechtigungen als Backup Operator über Powershell Invoke-Command
Invoken Sie den Powershell Befehl mit Invoke-Command. Damit wird der Befehl auf den Server übertragen und lokal ausgeführt. Dies macht sinn auf NAS-Systemen, wenn Sie sich nicht direkt einloggen können. Auch für Netapp anwendbar.
!!!!! Powershell als Admin starten!!!!!
Invoke-Command -ComputerName srv-fs-01 -ScriptBlock {
$acl=(get-acl "c:\Docs") ;
$ace=new-object Security.AccessControl.FileSystemAccessRule ("Domain\Ihr_Adminaccount", "FullControl", "ContainerInherit,ObjectInherit", "InheritOnly", "Allow")
$acl.AddAccessRule($ace)
}
Empfehlung!!!!!
Legen Sie im AD eine Fileserver Admingruppe an und berechtigen diese. Dann können Sie jederzeit die eigentlichen Accounts austauschen.
Geben Sie der Gruppen eine guten Namen z.B:. SVC_FS_Admins