AD - Besitz von Computerobjekt abgeben
Hi,
hat jemand von Euch Zeit und Lust mal Folgendes nachzustellen?
(Es geht NICHT um Übernahme des Besitz, sondern um abgeben des Besitz.)
Ein AD-Benutzer UserA ist kein Mitglied der Organisations-, Domänen-Admins oder BuiltIn-Administratoren.
Dieser Benutzer ist Besitzer eines Computer-Objekts. UserA hat auch Vollzugriff für dieses Objekt.
UserA versucht den Besitzer dieses Computer-Objekts zu ändern. Egal, welchen Benutzer oder welche Gruppe er dabei angibt: Es kommt der Fehler
Ein Admin ändern den Besitzer dieses Objekts auf UserB.
UserA kann anschließend erfolgeich den Besitzer dieses Computer-Objekts ändern und dortandere Dritte sich selbst eintragen. Und das wiederholt.
Aber sobald UserA sich selbst wieder als Besitzer einträgt kann er anschließend nicht mehr den Besitzer ändern. Es kommt wieder der o.g. Fehler.
Jetzt stehe ich auf dem Schlauch. Ein Besitzer der ACL kann nicht einen anderen Besitzer eintragen? Hä, habe ich was verpasst? Das wäre mir neu ...
Wenn das jemand mal nachstellen könnte, wäre das echt toll.
E.
hat jemand von Euch Zeit und Lust mal Folgendes nachzustellen?
(Es geht NICHT um Übernahme des Besitz, sondern um abgeben des Besitz.)
Ein AD-Benutzer UserA ist kein Mitglied der Organisations-, Domänen-Admins oder BuiltIn-Administratoren.
Dieser Benutzer ist Besitzer eines Computer-Objekts. UserA hat auch Vollzugriff für dieses Objekt.
UserA versucht den Besitzer dieses Computer-Objekts zu ändern. Egal, welchen Benutzer oder welche Gruppe er dabei angibt: Es kommt der Fehler
Der neue Besitzer von COMPUTER1 kann nicht eingerichtet werden.
Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.
Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.
Ein Admin ändern den Besitzer dieses Objekts auf UserB.
UserA kann anschließend erfolgeich den Besitzer dieses Computer-Objekts ändern und dort
Aber sobald UserA sich selbst wieder als Besitzer einträgt kann er anschließend nicht mehr den Besitzer ändern. Es kommt wieder der o.g. Fehler.
Jetzt stehe ich auf dem Schlauch. Ein Besitzer der ACL kann nicht einen anderen Besitzer eintragen? Hä, habe ich was verpasst? Das wäre mir neu ...
Wenn das jemand mal nachstellen könnte, wäre das echt toll.
E.
Please also mark the comments that contributed to the solution of the article
Content-ID: 668161
Url: https://administrator.de/contentid/668161
Printed on: December 7, 2024 at 22:12 o'clock
10 Comments
Latest comment
Moin,
scheint so zu sein und ist mir auch neu (auch nach ca. 30 Jahren ). Ich habe das so getestet:
Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Liebe Grüße
Erik
scheint so zu sein und ist mir auch neu (auch nach ca. 30 Jahren ). Ich habe das so getestet:
Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Liebe Grüße
Erik
Moin
... interessant. Ja das wird so sein, denn auch ich habe es hier entsprechend ausprobiert.
Aber sein wir doch mal ehrlich...
Mir ist es in gut 30 Jahren ebenfalls niemals aufgefallen. Und wenn das so ist, kann es doch eigentlich nicht so gaaanz wichtig sein!?
... interessant. Ja das wird so sein, denn auch ich habe es hier entsprechend ausprobiert.
Aber sein wir doch mal ehrlich...
Mir ist es in gut 30 Jahren ebenfalls niemals aufgefallen. Und wenn das so ist, kann es doch eigentlich nicht so gaaanz wichtig sein!?
Zitat von @emeriks:
Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert.
Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert.
Sowas ähnliches habe ich 25 Jahre lang gemacht.
Und ich bilde mir ein, gut darin gewesen zu sein, nicht bloß auswendig lernen lassen.
Das glaube ich von mir auch. Nein, ich weiß es.
Ich hätte bis vorhin meinen Kopf verwettet, dass der Besitzer eines Objekts (genauer: der Besitzer einer ACL) damit machen kann, was er will.
Und wir hätten beide unseren Kopf verloren. Man gut, wir haben nicht gewettet.
Oder ich werde einfach nur alt.
Man kann so alt werden, wie man will. Trotzdem gilt: Man lernt nie aus.
Zitat von @erikro:
Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Interessant, dass kann ich nicht nachstellen. Ordner C: \Test erstellt, meinem Benutzer Vollzugriff gegeben, Vererbung deaktiviert und vererbte Einträge löschen lassen. Sprich mein Benutzer steht nun als alleiniger da drin und ist zugleich Besitzer.
Ich kann den Besitzer auf "Administratoren" ändern, keine Fehlermeldung
Ich kann den Besitzer auf "Administrator" ändern, keine Fehlermeldung
Ich kann den "Administrator" mit Vollzugriff berechtigen, keine Fehlermeldung
Ich kann mich selbst aus den Berechtigungen entfernen (nun erscheint, das Admin-Symbol und Änderungen können nur im Admin-Context geändert werden
Also bei den NTFS-ACLs scheint das zu funktionieren. Oder ich habe jetzt irgendwas falsch verstanden?
Alles mysteriös....
Auf einem Server 2019 habe ich es nun auch einmal gemacht. Für die erstellte Datei, auf der ich neben dem Besitz auch explizit Vollzugriff habe, kann der Besitz nur nach Eingabe von Admincredentials geändert werden. Da komme ich also nicht einmal an den Punkt.
Wobei es einen Unterschied macht, ob ich lokal oder über das Netzwerk auf die Datei zugreifen will. Über das Netzwerk lässt sich der Dialog zwar öffnen, führt dann aber zum "Access denied". Was mich dann zu der Behauptung bringt, dass Windows die Rechte in dem Moment einfach nicht vorab überprüft und erst beim Speichern feststellt, dass man das nicht darf.
Auf einem Server 2019 habe ich es nun auch einmal gemacht. Für die erstellte Datei, auf der ich neben dem Besitz auch explizit Vollzugriff habe, kann der Besitz nur nach Eingabe von Admincredentials geändert werden. Da komme ich also nicht einmal an den Punkt.
Wobei es einen Unterschied macht, ob ich lokal oder über das Netzwerk auf die Datei zugreifen will. Über das Netzwerk lässt sich der Dialog zwar öffnen, führt dann aber zum "Access denied". Was mich dann zu der Behauptung bringt, dass Windows die Rechte in dem Moment einfach nicht vorab überprüft und erst beim Speichern feststellt, dass man das nicht darf.
Moin,
es wird immer komischer. Nachdem @anteNope geschrieben hat, dass das bei ihm geht, habe ich noch einmal getestet. Ergebnis: Mal gates und mal gates nicht.
Gruppenlaufwerk auf dem Fileserver:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich verschenken. Es war nicht notwendig, mir Vollzugriff zu geben. Der Besitz reichte aus. Aus den Gruppenrechten habe ich lediglich die normalen Rechte erhalten mit der Einschränkung, dass ich den Besitz nicht übernehmen darf, nicht löschen darf und die Attribute nicht ändern darf. Aber der Besitzer darf das ja.
Laufwerk c:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich nicht verschenken.
Hier habe ich auch noch mir selbst expliziten Vollzugriff gegeben und trotzdem ging es nicht. Auch dann nicht, wenn ich die Vererbung unterbreche und mir selbst exklusiven Vollzugriff gebe.
Offensichtlich hängt das von dem Ort, an dem das Objekt liegt, ab.
Liebe Grüße
Erik
es wird immer komischer. Nachdem @anteNope geschrieben hat, dass das bei ihm geht, habe ich noch einmal getestet. Ergebnis: Mal gates und mal gates nicht.
Gruppenlaufwerk auf dem Fileserver:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich verschenken. Es war nicht notwendig, mir Vollzugriff zu geben. Der Besitz reichte aus. Aus den Gruppenrechten habe ich lediglich die normalen Rechte erhalten mit der Einschränkung, dass ich den Besitz nicht übernehmen darf, nicht löschen darf und die Attribute nicht ändern darf. Aber der Besitzer darf das ja.
Laufwerk c:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich nicht verschenken.
Hier habe ich auch noch mir selbst expliziten Vollzugriff gegeben und trotzdem ging es nicht. Auch dann nicht, wenn ich die Vererbung unterbreche und mir selbst exklusiven Vollzugriff gebe.
Offensichtlich hängt das von dem Ort, an dem das Objekt liegt, ab.
Liebe Grüße
Erik