NTFS-Berechtigungen beim Kopieren und Verschieben
Grundprinzipien:
- Der Gruppe "Jeder" wird die Berechtigung "Vollzugriff zulassen" für den Stamm jedes NTFS-Laufwerks erteilt.
- Das Verweigern von Berechtigungen hat immer Vorrang vor dem Zulassen von Berechtigungen.
- Explizite Berechtigungen haben Vorrang vor geerbten Berechtigungen.
- Wenn NTFS-Berechtigungen miteinander in Konflikt stehen oder z. B. Gruppen- und Benutzerberechtigungen widersprüchlich sind, treten die großzügigsten Berechtigungen in Kraft.
- Berechtigungen sind kumulativ.
- Die ursprünglichen Berechtigungen des Objekts werden am neuen Speicherort zu den vererbbaren Berechtigungen hinzugefügt.
Verschieben und Kopieren:
- Wenn Sie ein Objekt auf ein anderes NTFS-Volume kopieren oder verschieben, erbt das Objekt die Berechtigungen seines neuen Ordners.
- Beim Verschieben innerhalb eines NTFS-Volumens behält das Objekt seine Berechtigungen bei.
Ändern des Standardverhaltens:
- Beim Kopieren/Verschieben auf ein anderes Volume sollen die ursprünglichen Objekt-Berechtigungen erhalten bleiben:
Reg: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Wertname: ForceCopyAclwithFile
Werttyp: DWORD
Wert: 1 - Beim Verschieben auf dem selben Laufwerk sollen die Berechtigungen vom übergeordneten Ordner geerbt werden:
(Benutzer muß das Recht "Berechtigung ändern" besitzen)
Reg: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Wertname: MoveSecurityAttributes
Werttyp: DWORD
Wert: 0
Hinweis:
- REG-Key muß offenbar auf Client und Fileserver installiert sein.
- Workaround 2 funktioniert nur, wenn der User auf dem Share (nicht dem Verzeichnis) Vollzugriff hat (Verzeichnis: Berechtigung ändern)!
- Workaround zum Workaround 2: Verzeichnisberechtigungen regelmäßig automatisch für alle Dateien und Unterordner zurück setzen:
icacls [ORDNER] /reset /t /c /q
Quellen:
- https://learn.microsoft.com/de-de/troubleshoot/windows-client/windows-security/permissions-on-copying-moving-files
- Hotfix für Win7/Server 2008: https://support.microsoft.com/de-de/topic/der-registrierungseintrag-movesecurityattributes-funktioniert-nicht-unter-windows-7-in-windows-vista-in-windows-server-2008-oder-in-windows-server-2008-r2-c4d5b411-c035-e2b9-d78c-da161b279d8e
- MS ICACLS: https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/icacls