9
ACL ERSTELLER-BESITZER wird nicht geerbt
Hallo,
in einer W2k8 R2 Active Directory Umgebung mit Ordnerumleitung der Eigenen Dateien, habe ich auf den obersten Ordner, neben den Admin-Rechten, das intigrierte Sicherheitsprinzipal ERSTELLER-BESITZER hinterlegt.
Ich erwarte, dass wenn der User sich anmeldet, der Ordner für die Eigenen Dateien erstellt wird und der ERSTELLER-BESITZER entfernt wird bzw. durch den Anwender ersetzt wird.
Es entsteht ein Ordner, der Ersteller ist auch Besitzer, aber nur für "Nur diesen Ordner" berechtigt. Es existiert kein Erbe. ERSTELLER-BESITZER bleibt ebenfalls in allen Unterordnern vorhanden und wenn der Anwender neue Unterordner erzeugt, ist er wegen ERSTELLER-BESITZER auch berechtigt. Aber alles nur für den jeweiligen Ordner und Datei. Ein herkömmliches Erbe existiert nicht.
Was mache ich denn falsch?
Gruß,
mexx
BILDER:
Hier sieht man den obersten Knoten, in dem der ERSTELLER-BESITZER drin ist und nach meiner Erwartung durch den Anwender ersetzt wird, der den Ordner erzeugt.
Hier sieht man den Fehler sehr gut. Der Anwender XY steht drin, aber nicht wirklich geerbt. Auch das Recht Vollzugriff auf "Nur diesen Ordner" und das ERSTELLER-BESITZER immer noch drin ist, finde ich fragwürdig.
in einer W2k8 R2 Active Directory Umgebung mit Ordnerumleitung der Eigenen Dateien, habe ich auf den obersten Ordner, neben den Admin-Rechten, das intigrierte Sicherheitsprinzipal ERSTELLER-BESITZER hinterlegt.
Ich erwarte, dass wenn der User sich anmeldet, der Ordner für die Eigenen Dateien erstellt wird und der ERSTELLER-BESITZER entfernt wird bzw. durch den Anwender ersetzt wird.
Es entsteht ein Ordner, der Ersteller ist auch Besitzer, aber nur für "Nur diesen Ordner" berechtigt. Es existiert kein Erbe. ERSTELLER-BESITZER bleibt ebenfalls in allen Unterordnern vorhanden und wenn der Anwender neue Unterordner erzeugt, ist er wegen ERSTELLER-BESITZER auch berechtigt. Aber alles nur für den jeweiligen Ordner und Datei. Ein herkömmliches Erbe existiert nicht.
Was mache ich denn falsch?
Gruß,
mexx
BILDER:
Hier sieht man den obersten Knoten, in dem der ERSTELLER-BESITZER drin ist und nach meiner Erwartung durch den Anwender ersetzt wird, der den Ordner erzeugt.
Hier sieht man den Fehler sehr gut. Der Anwender XY steht drin, aber nicht wirklich geerbt. Auch das Recht Vollzugriff auf "Nur diesen Ordner" und das ERSTELLER-BESITZER immer noch drin ist, finde ich fragwürdig.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 215472
Url: https://administrator.de/contentid/215472
Printed on: April 23, 2024 at 09:04 o'clock
9 Comments
Latest comment
Hey @mexx,
Uhm... ERSTELLER-BESITZER __soll__ doch garnicht vererbt werden.
Es ist doch genau für den Zweck da um zurückverfolgen zu können, wer ein Objekt ursprünglich erstellt hat.
Diese Konzept wäre natürlich kaputt, wenn ERSTELLER-BESITZER vererbt werden würde.
Beispiel:
Sollte Ersteller-Besitzer vererbt werden, hätte die Datei jetzt User B als Besitzer, was ja nicht stimmt. Immerhin hatte User A sie ja erstellt (und das steht so auch in den ACL).
Gruß,
@Snowman25
Uhm... ERSTELLER-BESITZER __soll__ doch garnicht vererbt werden.
Es ist doch genau für den Zweck da um zurückverfolgen zu können, wer ein Objekt ursprünglich erstellt hat.
Diese Konzept wäre natürlich kaputt, wenn ERSTELLER-BESITZER vererbt werden würde.
Beispiel:
- User A hat Schreibrechte in den Eigenen Dateien von User B.
- User A erstellt eine Datei innerhalb von Eigene Dateien von User B und kopiert diese dann in seine Eigenen Dateien.
Sollte Ersteller-Besitzer vererbt werden, hätte die Datei jetzt User B als Besitzer, was ja nicht stimmt. Immerhin hatte User A sie ja erstellt (und das steht so auch in den ACL).
Gruß,
@Snowman25
Danke für die Antwort, aber dass Anwender in die Eigenen Dateien eines anderen Anwenders schreiben, wird nicht vorkommen und soll nicht vorkommen. Ich erwarte, dass ERSTELLER-BESITZER durch den Erzeuge des Ordners ersetzt wird.
Hier die Erklärung aus der Windows Hilfe zu der Gruppe.
Ersteller-Besitzer
(S-1-3-0) Ein Platzhalter in einem vererbbaren Eintrag für die Zugriffssteuerung (Access Control Entry, ACE). Wenn der Eintrag für die Zugriffssteuerung vererbt wird, ersetzt das System diesen Sicherheitsbezeichner durch den Sicherheitsbezeichner des aktuellen Besitzers des Objekts.
Und genau das Ersetzten durch den aktuellen Besitzer des Objekts passiert nicht.
Hier die Erklärung aus der Windows Hilfe zu der Gruppe.
Ersteller-Besitzer
(S-1-3-0) Ein Platzhalter in einem vererbbaren Eintrag für die Zugriffssteuerung (Access Control Entry, ACE). Wenn der Eintrag für die Zugriffssteuerung vererbt wird, ersetzt das System diesen Sicherheitsbezeichner durch den Sicherheitsbezeichner des aktuellen Besitzers des Objekts.
Und genau das Ersetzten durch den aktuellen Besitzer des Objekts passiert nicht.
Deshalb gilt Ersteller-Besitzer normalerweise auch nicht für alle Unterordner, sondern nur für diesen Ordner. Es SOLL (zumindest in umgeleiteten Ordnern oder Profilverzeichnissen) gar nicht vererbt werden.
Das "Übernehmen für" bei Ersteller-Besitzer ist deshalb normalerweise auch nur für "Unterordner und Dateien" gesetzt, und JEDER bekommt das Recht zum Erstellen von Ordnern, aber nur für diesen Ordner. Dann klappt's besser...
Das "Übernehmen für" bei Ersteller-Besitzer ist deshalb normalerweise auch nur für "Unterordner und Dateien" gesetzt, und JEDER bekommt das Recht zum Erstellen von Ordnern, aber nur für diesen Ordner. Dann klappt's besser...
Verstehe ich dich richtig, dass der Ordner dem (System-)User ERSTELLER-BESITZER gehört, anstatt dem eigentlichen User?
Domain-Benutzer haben nur für diesen Ordner ein Schreibrecht
ERSTELLER-BESITZER hat für Unterordner und Dateien Vollzugriff
Sobald ein Anwender einen Ordner erzeugt ist
Domain-Benutzer raus
der Anwender selbst ist drin mit Vollzugriff auf "Nur diesen Ordner" (KEIN ERBE!)
der Anwender ist Besitzer
ERSTELLER-BESITZER ist auch noch drin mit Vollzugriff
Und genau das verstehe ich nicht. Ich erwarte, dass ERSTELLER-BESITZER dann raus ist und nur noch der Anwender mit Vollzugriff auf Ordner, Unterordner und Dateien drin ist.
ERSTELLER-BESITZER hat für Unterordner und Dateien Vollzugriff
Sobald ein Anwender einen Ordner erzeugt ist
Domain-Benutzer raus
der Anwender selbst ist drin mit Vollzugriff auf "Nur diesen Ordner" (KEIN ERBE!)
der Anwender ist Besitzer
ERSTELLER-BESITZER ist auch noch drin mit Vollzugriff
Und genau das verstehe ich nicht. Ich erwarte, dass ERSTELLER-BESITZER dann raus ist und nur noch der Anwender mit Vollzugriff auf Ordner, Unterordner und Dateien drin ist.
Nein, denn Ersteller kann ja auch jeder andere Account mit Vollzugriff sein (z.B. SYSTEM). IMHO paßt das schon so.
Ich habe oben zwei Bilder hinzugefügt, die das Problem vielleicht besser erklären. Um meine Frage noch mal einfacher zu stellen.
Oberster Knoten ERSTELLER-BESITZER. Sobald Anwender Ordner erzeugt -> ERSTELLER-BESITZER raus und dafür der Anwender mit Erbe rein. Wie geht das?
Oberster Knoten ERSTELLER-BESITZER. Sobald Anwender Ordner erzeugt -> ERSTELLER-BESITZER raus und dafür der Anwender mit Erbe rein. Wie geht das?
Works as designed: http://networkadminkb.com/KB/a80/creator-owner-explained.aspx
Objekte, die als Parent dienen können (also Ordner im Dateisystem oder Container/OUs in AD) haben immer Ersteller-Besitzer drin.
mfg Martin
Objekte, die als Parent dienen können (also Ordner im Dateisystem oder Container/OUs in AD) haben immer Ersteller-Besitzer drin.
mfg Martin
Eben nicht. Ohne ERSTELLER-BESITZER sind wird zwar ein Ordner erzeugt, aber der Anwender hat absolut kein Recht darauf.
