- si.ka -

Zugegeben: das Thema Rechte-Vererbungen unter NTFS ist nicht gerade prickelnd, aber trotzdem ist dies kein Grund es nicht korrekt einzusetzen. Leider bringen manche selbsterkorenen IT-Pro’s recht wenig Wissen in diesem (eigentlich recht wichtigem) Thema mit.

Bei meinem derzeitigen Arbeitgeber hatte ich das Problem das in praktisch der gesamten Dateiablage (aka Fileserver) die Vererbung unterbrochen wurde. Das entsteht entweder beim Verschieben von Daten (im Gegensatz zum Kopieren) oder aber beim Einrichten von NTFS Rechten wo entsprechende Rückfrage pauschal mit “Ja” beantwortet wird (Abbildung rechts).

Falls dieser Dialog mit “Kopieren” beantwortet wird, ist für diese Ebene (sprich Ordner) die NTFS Vererbung dauerhaft unterbrochen. Egal was weiter höher im Dateisystem als Vererbung eingerichtet wird, es endet hier. Darüber hinaus wurden die bisher vererbten Rechte nun als “lokale” Recht eingetragen. Wenn die “Administratoren”-Gruppe vorher per Vererbung berechtigt war (und auch nur beim Ursprung der Vererbung entfernt werden konnte), ist sie nun quasi “lokal” auf dem Ordner/Datei in der ACL eingetragen.

Das Ergebnis ist in der Produktion eher kontra-produktiv. Im nachhinein “mal eben” Rechte bequem von “oben runter” durchreichen funktioniert nicht mehr. In so einer Hierarchie muss jeder Ordner für sich mit Rechten versehen werden. Kurzum : bei großem Umfang ist das kaum noch zu stemmen

Die Korrektur gestaltet sich mittels der GUI relativ einfach : den Haken setzen und schon ist die Vererbung für diesen Ordner wieder aktiv. Problem : nun hat man u.U. manche Gruppen doppelt. Die oben schon besagte “Administratoren”-Gruppe ist nun zweimal berechtigt. Einmal durch die Vererbung und einmal durch die “lokalen” Rechte. Also muss die lokale Berechtigung entfernt werden. An dieser Stelle (aber nicht nur) kommt bei mir ICACLS.exe ins Spiel. Mittels ICACLS.exe können unter Windows XP/Windows Server 2003 (ab SP2) aber auch Windows 7 oder Windows Server 2008 NTFS Rechte auf der Konsole bearbeitet werden. Darüber hinaus finde ich die Darstellung von Rechten auf der Konsole für solche Aufgaben weitaus effektiver als das herum-geklicke in der GUI. Hier ein Beispiel :

NTFS_TEST
VORDEFINIERT\Administratoren:(OI)(CI)(F)
VORDEFINIERT\Benutzer:(CI)(S,WD,AD)
VORDEFINIERT\Benutzer:(OI)(CI)(RX)
ERSTELLER-BESITZER:(OI)(CI)(IO)(F)
NT-AUTORITÄT\SYSTEM:(OI)(CI)(F)
VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
NT-AUTORITÄT\SYSTEM:(I)(OI)(CI)(F)
ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F)
VORDEFINIERT\Benutzer:(I)(OI)(CI)(RX)
VORDEFINIERT\Benutzer:(I)(CI)(AD)
VORDEFINIERT\Benutzer:(I)(CI)(WD)

In der ersten Zeile wird der Name des Ordners oder der Datei angezeigt. Darunter stehen zeilenweise die einzelnen Berechtigungen. Zu Beginn jeweils die Gruppe oder der Benutzer und dahinter (nach dem Doppelpunkt) die exakte Berechtigung. In Klammer jeweils die Eigenschaften dieser Berechtigung. (OI) bedeutet diese Berechtigung wir auf alle Dateien unterhalb dieses Ordners vererbt (Object Inheritance). (CI) steht hierbei für die Vererbung auf Unterordner (Container-Inheritance). Am Ende der Zeile steht die Berechtigung an sich. Zum Beispiel (F) für “Full control” oder “M” für “Modify” (Ändern-Recht). Spannend ist hierbei das (I) hinter der Gruppe : diese Berechtigung steht für ein vererbtes Recht (inherited). So ist in unserem Beispiel deutlich zu sehen das die Berechtigungen doppelt vorhanden sind. Einmal lokal und einmal durch die Vererbung aus einem übergeordnetem Ordner.

Mittels ICACLS lassen sich nun recht einfach die Berechtigungen entfernen mit

ICACLS.exe <Ordner/Datei> /remove <Gruppe/Benutzer>

oder um bei unserem Beispiel zu bleiben :

ICACLS.exe NTFS_TEST /remove VORDEFINIERT\Administratoren

Da vererbte Rechte nur am Ursprung entfernt werden können wird somit automatisch die “lokale” Berechtigung entfernt. Das Ergebnis danach (Darstellung mit “ICACLS.exe NTFS_TEST”)

NTFS_TEST
VORDEFINIERT\Benutzer:(CI)(S,WD,AD)
VORDEFINIERT\Benutzer:(OI)(CI)(RX)
ERSTELLER-BESITZER:(OI)(CI)(IO)(F)
NT-AUTORITÄT\SYSTEM:(OI)(CI)(F)
VORDEFINIERT\Administratoren:(I)(OI)(CI)(F)
NT-AUTORITÄT\SYSTEM:(I)(OI)(CI)(F)
ERSTELLER-BESITZER:(I)(OI)(CI)(IO)(F)
VORDEFINIERT\Benutzer:(I)(OI)(CI)(RX)
VORDEFINIERT\Benutzer:(I)(CI)(AD)
VORDEFINIERT\Benutzer:(I)(CI)(WD)

Zu guter letzt (und der eigentliche Grund für dieses Posting). Mit der ICACLS.exe von Windows Server 2003 (SP2) lässt sich die Vererbung leider nicht aktivieren. Die Version von Server 2008 unterstützt den Parameter “/inheritance:[e|d]“. Zum existiert eine aktuellere Version auch für Win2K3. Das ist ein Request-Hotfix und ist hier zu finden.

Anlageberater Information Technology

Needed to simulate some DELETE’s on one of our production databases. After thinking about backup/restore and such time consuming things I found this :

CREATE TEMPORARY TABLE test_tbl SELECT * FROM table_to_test;

This table stays until you drop it or close your mysql-admin session.

Great….

Anlageberater Information Technology IT, MySQL

Dachte eigentlich das es bei unserem firmeninternen CMS keine Probleme mit der UTF-8 Kodierung gäbe. Die DB spricht UTF-8, die Seiten werden in UTF-8 editiert, der ContentType ist korrekt etc.
Aus irgendwelchen Gründen interpretierte ausgerechnet der IE8 bestimmte statische HTML Seiten nicht in UTF-8 sondern in 8859-1 (obwohl der ContentType im HTML Kopf korrekt angegeben war). Der kleine aber feine Unterschied ist das der Webserver (hier Apache2) bereits beim Transport den korrekten ContentType angibt (kann man einfach testen mit wget -S URL). Abhilfe brachte dann die folgende Zeile in der VirtualHost Definition von Apache2.

AddDefaultCharset utf-8

Anlageberater Information Technology

Mannomann, htop ist nicht im Standard-Repository von CentOS 5. Dieses zusätzliche RPM-Repo stellt dies (und zudem auch einige andere aktuellere RPMs bereit).

http://dag.wieers.com/rpm/

Anlageberater Information Technology

Netter Shortcut um unter Windows Vista und Windows 7 ein Programm im Admin-Kontext zustarten:

Im Startmenü in der Zeile wo man nach einem Programm suchen kann “cmd” eingeben und mit STRG+SHIFT+Enter starten. Das funktioniert natürlich auch mit anderen Befehlen wie z.B. der Management Console (“mmc”).

Anlageberater Information Technology

Bei meiner Windows 7 Installation konnte ich nach einer Weile nicht mehr auf meinen Netzwerkdrucker drucken. Die Dokumente blieben im Spooler liegen bis nach ein paar Minuten Windows meldete das der Drucker “nicht online” sei. Da ich bei meinem Netzwerkdrucker problemlos von diesem Rechner aus auf die Weboberfläche des Druckers (Canon 5050n) zugreifen konnte war wohl das offensichtlich nicht das Problem. Wenn man die Windows-Firewall deaktivert klappt der Druck auf Anhieb.

Was genau das Problem ist, ist mir nicht ganz klar. Scheinbar wird der Inbound-Traffic des Druckers von der Windows Firewall geblockt. Das Problem ist also nicht das Windows den Drucker erreicht sondern das die Antworten nicht mehr ankommen. Eine Lösung für mich war für die IP des Druckers eine Inbound-Regel zu definieren.

Die Schritte im einzelnen (von Windows 7 Home Edition deutsch ausgehend, angemeldet als Benutzer welcher nicht in der Admin-Gruppe ist) :

1. Windows-Menü -> “Systemsteuerung”
2. “System und Sicherheit” anklicken
3. “Windows-Firewall” anklicken
4. links “Erweiterte Einstellungen” anklicken, nun muß man sich als Admin-Anmelden
5. “Eingehende Regeln” anklicken
6. rechte Maustaste auf “eingehende Regeln” -> “Neue Regel …” anklicken
7. “Benutzerdefiniert” anwählen und “Weiter” klicken
8. “Weiter” klicken
9. “Weiter” klicken
10. unter “Für welche Remote IP-Adressen gilt diese Regel” die IP-Adresse des Druckers hinzufügen und “Weiter” anklicken
11. “Weiter” klicken
12. “Weiter” klicken
13. ein Name für diese Regel eingeben und mit “Fertig stellen” abschließen

Sicher, man könnte die Regel noch eingrenzen (z.B. bei den Prokollen) also ist das nicht der Weisheit letzter Schluss. Die Abkürzung über das MMC-Plugin “wf.msc” greift hier leider nicht, da ein normaler Benutzer keinen Zugriff auf die FW-Regeln hat.
Letztlich druckt mein Drucker wieder und ich kann die Firewall aktiviert lassen.

Anlageberater -si.ka-, Information Technology

War ja schon überfällig und nun endlich soweit : ich habe mir einen neuen Root-Server bestellt und werde den alten bei IPX-Server kündigen. Ich war mit IPX immer zufrieden, aber wenn ich nun auf aktuellere Hardware wechseln will (mein alter ist noch eine Celeron Maschine) müsste ich bald das doppelte zahlen wie bisher, selbst wenn ich nur minimalst-Austattung nehmen würde. Mein Anruf bei IPX mit dem dezenten Hinweis das ich doch langjähriger Kunde wäre wurde freundlich aber bestimmt abgebügelt.

So bin ich nun bei 1und1 und hoffe das das Peering für meine Zwecke ausreicht. Meine Hardware ist im Vergleich zu der alten geradezu traumhaft : Athlon 64 X2, 1 GB RAM, 160 GB HDD (RAID 1).

Seit Donnerstag läuft nun auch endlich VMware Server 2.0 auf der Kiste (dieser Link hat mir dabei sehr geholfen). Nun beginnt der Spaß mit der Migration der alten Daten aber erst…..

Anlageberater Information Technology

Durch meinen Job muss ich öfters mal am Tag die Knowledgebase (Supportdatenbank) von Microsoft nach bestimmten Themen durchforsten. Eigentlich eine Supersache aber was hat Microsoft sich eigentlich bei der automatischen Übersetzung der englischen Artikel ins Deutsche gedacht ?
Nicht nur das die Artikel sehr oft an der Übersetzung leiden (und von daher unbrauchbar sind) teilweise kommen dann auch so witzige Sachen bei raus :

“Neue Lösung für Probleme mit Kerb-Eros-Authentifizierung, wenn Benutzer wie viele Gruppen angehören”

Hurra!

http://support.microsoft.com/kb/327825/de

Anlageberater Information Technology

Werde dieses Jahr viel in Log-Files von Windows-Servern wühlen müssen. In der Vergangenheit habe ich diese gerne mal in Excel importiert und dann dort weiterverarbeitet. Da meine Logs aber über mehrere Server verteilt sind und locker mehrere Gigabyte umfassen brauchte ich eine andere Lösung.

Recht schnell bin ich dann auf den Log Parser von Microsoft gestossen. Der bietet alles was ich brauche und hat für mich einen großen Vortel gegenüber grep : er arbeitet mit SQL-Statements. Innerhalb von Logs mit SQL Queries wühlen zu können ist einfach ein Luxus.

Download bei Microsoft

Anlageberater Information Technology

Herrjeh, neues Spielzeug für mich : seit ein paar Tagen bin ich mal wieder auf einem Trip durch meine Vergangenheit als Amiga-”Fanboy”. Nach all den PC Erfahrungen macht es mal weider einen Heidenspaß eine richtige Kiste in Assembler zu programmieren. Nun bin ich in der Artikelliste eines Amiga-Teile Versenders auf folgende Kiste gestossen den “Minimig”.

Diese Kiste stellt mittels eines 68000ers und einem FPGA einen kompletten Amiga 500 (bzw. 1000/2000) dar. Anschlüsse gibt es jede Menge wie zum Beispiel für Amiga Mäuse und Joysticks, für PS/2 Tastaturen und Mäuse sowie einen Card-Reader für MMC Karten etc.

Die Kiste hat keine Kickstart an Board, dieses wird per MMC eingelesen und dann verwendet. Das ist auch der Weg für Disketten-Images.

Das Ding muss her !

Anlageberater Information Technology