Network and Storage Protocols

Rechte Vererbung in CIFS shares funktioniert nicht wie erwartet

JOMUELLER
4,846 Views

Wir haben einen NetApp filer auf dem diverse Qtrees für CIFS shares angelegt sind, konkret geht es um user homeshares.

Für die Benutzer werden diese CIFS shares auf mehreren vFilern per DFS bereit gestellt.

Allerdings scheint die Rechtevererbung per NTFS nicht automatisch zu funktionieren.

Ich habe folgende NTFS Berechtigungen auf dem root share gesetzt und die Vererbung aktiviert.

Creator Owner (das ist i.d.R.der jeweilige user)     Modify     Subfolders and Files only

Damit ist das erwartete Ergebnis eigentlich, dass auf dem homehare des users folgende Berechtigungen gelten.

userXY               Modify     this Folder only

Creator Owner     Modify     Subfolders and Files

Was ich allerdings sehe ist lediglich

Creator Owner     Modify     Subfolders and Files

Erst nach einem manuellen reset der ACL's mit icacls shareXY /reset /T /C ist der user auch wirklich berechtigt.

Da wir teilweise auch shares migrieren mit einem robocopy (owner ist dann per default die Admin Gruppe), setze ich den owner für migrierte shares dann auch vorab mit dem icacls, habe aber dann das gleiche Problem.

Kennt jemand dieses Problem und hat eine Lösung dafür ?
Ich bin mir auch nicht sicher, ob es tatsächlich nur auf NetApps auftritt allerdings habe ich das noch nie auf einem Standard Windows filer beobachtet.

Bin für jeden Tipp/Hinweis dankbar, der workaround mit dem icacls funktioniert zwar aber ich wüsste gerne die Ursache für dieses Verhalten und eine evtl. elegantere Lösung.

3 REPLIES 3

thomas_glodde
4,846 Views

Sers Joachim,

welche ONTAP version setzt du ein? Ab und an schleichen sich leider bugs ein. Dabei würde es auch helfen ein Testcopy durchzuführen und am Filer über "pktt" den Netzwerkstream mit zu tracen.

Abgesehen davon, gibt es nicht unter robocopy die Möglichkeit als Backup User zu kopieren und damit 1:1 die Berechtigungen zu übernehmen?

Gruß

Thomas

JOMUELLER
4,846 Views

Hallo Thomas,

wir setzen OnTap 8.1.1 ein.

Und ja, Du hast Recht, ich kann natürlich im robocopy die Rechte mitkopieren aber das ist genau das, was wir nicht wollen, da wir die shares von einer Fremddomäne in eine neue Domäne migrieren mit einer anderen Infrastruktur und einem anderen Berechtigungskonzept.

thomas_glodde
4,846 Views

Hallo Joachim,

ich empfehle dir auf ONTAP 8.1.3 zu gehen weil es eine Reihe an CIFS Bugs (und auch sonstigen Bugs) gab die fixed wurden in der Version.

Schönen Gruß

Thomas

Public