emeriks
Goto Top

AD - Besitz von Computerobjekt abgeben

Hi,
hat jemand von Euch Zeit und Lust mal Folgendes nachzustellen?

(Es geht NICHT um Übernahme des Besitz, sondern um abgeben des Besitz.)

Ein AD-Benutzer UserA ist kein Mitglied der Organisations-, Domänen-Admins oder BuiltIn-Administratoren.
Dieser Benutzer ist Besitzer eines Computer-Objekts. UserA hat auch Vollzugriff für dieses Objekt.

UserA versucht den Besitzer dieses Computer-Objekts zu ändern. Egal, welchen Benutzer oder welche Gruppe er dabei angibt: Es kommt der Fehler
Der neue Besitzer von COMPUTER1 kann nicht eingerichtet werden.
Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.

Ein Admin ändern den Besitzer dieses Objekts auf UserB.
UserA kann anschließend erfolgeich den Besitzer dieses Computer-Objekts ändern und dort andere Dritte sich selbst eintragen. Und das wiederholt.

Aber sobald UserA sich selbst wieder als Besitzer einträgt kann er anschließend nicht mehr den Besitzer ändern. Es kommt wieder der o.g. Fehler.

Jetzt stehe ich auf dem Schlauch. Ein Besitzer der ACL kann nicht einen anderen Besitzer eintragen? Hä, habe ich was verpasst? Das wäre mir neu ...

Wenn das jemand mal nachstellen könnte, wäre das echt toll.

E.

Content-ID: 668161

Url: https://administrator.de/contentid/668161

Ausgedruckt am: 18.12.2024 um 17:12 Uhr

emeriks
emeriks 16.09.2024 aktualisiert um 16:04:33 Uhr
Goto Top
Es ist jetzt sogar so, dass - nachdem ein Admin einen anderen Besitzer eingetragen hat - der UserA (mit Vollzugriff) nur sich selbst als Besitzer eintragen kann, andere nicht. Insofern habe ich mich bei meinem o.g. Test auch noch selbst getäuscht. Ich habe das oben korrigiert.

Und im NTFS verhält es sich genauso.

Soll mir das in fast 30 Jahren WinNT nicht aufgefallen sein, dass ein Nicht-Admin nur den Besitz übernehmen kann (sofern dazu berechtigt) aber nicht an Dritte übergeben kann, selbst wenn gerade selbst der Besitzer?
erikro
erikro 16.09.2024 um 15:29:38 Uhr
Goto Top
Moin,

scheint so zu sein und ist mir auch neu (auch nach ca. 30 Jahren face-wink ). Ich habe das so getestet:

Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.

Liebe Grüße

Erik
Hubert.N
Hubert.N 16.09.2024 um 16:51:37 Uhr
Goto Top
Moin

... interessant. Ja das wird so sein, denn auch ich habe es hier entsprechend ausprobiert.

Aber sein wir doch mal ehrlich...
Zitat von @emeriks:
Soll mir das in fast 30 Jahren WinNT nicht aufgefallen sein, (...)
Mir ist es in gut 30 Jahren ebenfalls niemals aufgefallen. Und wenn das so ist, kann es doch eigentlich nicht so gaaanz wichtig sein!?
emeriks
emeriks 16.09.2024 um 17:28:00 Uhr
Goto Top
Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert. Und ich bilde mir ein, gut darin gewesen zu sein, nicht bloß auswendig lernen lassen. Ich hätte bis vorhin meinen Kopf verwettet, dass der Besitzer eines Objekts (genauer: der Besitzer einer ACL) damit machen kann, was er will.

Ich muss mal testen, ob das per PowerShell und/oder .Net geht.
Wenn ja, dann wäre das ein "neues Feature" von MCC und Explorer.
Wenn nein, dann hätte das System. Obwohl es dann auch ein "neues Feature" sein könnte.

Oder ich werde einfach nur alt.
erikro
erikro 16.09.2024 um 17:43:57 Uhr
Goto Top
Zitat von @emeriks:

Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert.

Sowas ähnliches habe ich 25 Jahre lang gemacht.

Und ich bilde mir ein, gut darin gewesen zu sein, nicht bloß auswendig lernen lassen.

Das glaube ich von mir auch. Nein, ich weiß es. face-wink

Ich hätte bis vorhin meinen Kopf verwettet, dass der Besitzer eines Objekts (genauer: der Besitzer einer ACL) damit machen kann, was er will.

Und wir hätten beide unseren Kopf verloren. Man gut, wir haben nicht gewettet.

Oder ich werde einfach nur alt.

Man kann so alt werden, wie man will. Trotzdem gilt: Man lernt nie aus. face-wink
anteNope
anteNope 17.09.2024 um 09:09:40 Uhr
Goto Top
Zitat von @erikro:
Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.

Interessant, dass kann ich nicht nachstellen. Ordner C: \Test erstellt, meinem Benutzer Vollzugriff gegeben, Vererbung deaktiviert und vererbte Einträge löschen lassen. Sprich mein Benutzer steht nun als alleiniger da drin und ist zugleich Besitzer.

Ich kann den Besitzer auf "Administratoren" ändern, keine Fehlermeldung
Ich kann den Besitzer auf "Administrator" ändern, keine Fehlermeldung
Ich kann den "Administrator" mit Vollzugriff berechtigen, keine Fehlermeldung
Ich kann mich selbst aus den Berechtigungen entfernen (nun erscheint, das Admin-Symbol und Änderungen können nur im Admin-Context geändert werden

Also bei den NTFS-ACLs scheint das zu funktionieren. Oder ich habe jetzt irgendwas falsch verstanden?
emeriks
emeriks 17.09.2024 aktualisiert um 09:21:17 Uhr
Goto Top
@anteNope
Und Dein Benutzer selbst ist kein Mitglied der Administratoren? Auch nicht verschachtelt. Darum ging es.
Hubert.N
Hubert.N 17.09.2024 aktualisiert um 09:46:23 Uhr
Goto Top
Alles mysteriös....

Auf einem Server 2019 habe ich es nun auch einmal gemacht. Für die erstellte Datei, auf der ich neben dem Besitz auch explizit Vollzugriff habe, kann der Besitz nur nach Eingabe von Admincredentials geändert werden. Da komme ich also nicht einmal an den Punkt.
Wobei es einen Unterschied macht, ob ich lokal oder über das Netzwerk auf die Datei zugreifen will. Über das Netzwerk lässt sich der Dialog zwar öffnen, führt dann aber zum "Access denied". Was mich dann zu der Behauptung bringt, dass Windows die Rechte in dem Moment einfach nicht vorab überprüft und erst beim Speichern feststellt, dass man das nicht darf.
erikro
erikro 17.09.2024 aktualisiert um 14:56:34 Uhr
Goto Top
Moin,

es wird immer komischer. Nachdem @anteNope geschrieben hat, dass das bei ihm geht, habe ich noch einmal getestet. Ergebnis: Mal gates und mal gates nicht. face-wink

Gruppenlaufwerk auf dem Fileserver:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich verschenken. Es war nicht notwendig, mir Vollzugriff zu geben. Der Besitz reichte aus. Aus den Gruppenrechten habe ich lediglich die normalen Rechte erhalten mit der Einschränkung, dass ich den Besitz nicht übernehmen darf, nicht löschen darf und die Attribute nicht ändern darf. Aber der Besitzer darf das ja.

Laufwerk c:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich nicht verschenken.
Hier habe ich auch noch mir selbst expliziten Vollzugriff gegeben und trotzdem ging es nicht. Auch dann nicht, wenn ich die Vererbung unterbreche und mir selbst exklusiven Vollzugriff gebe.

Offensichtlich hängt das von dem Ort, an dem das Objekt liegt, ab.

Liebe Grüße

Erik
emeriks
emeriks 17.09.2024 aktualisiert um 14:34:12 Uhr
Goto Top
Na, wenigstens weiß ich jetzt, dass ich noch nicht ganz meschugge bin.