5
AD - Besitz von Computerobjekt abgeben
Hi,
hat jemand von Euch Zeit und Lust mal Folgendes nachzustellen?
(Es geht NICHT um Übernahme des Besitz, sondern um abgeben des Besitz.)
Ein AD-Benutzer UserA ist kein Mitglied der Organisations-, Domänen-Admins oder BuiltIn-Administratoren.
Dieser Benutzer ist Besitzer eines Computer-Objekts. UserA hat auch Vollzugriff für dieses Objekt.
UserA versucht den Besitzer dieses Computer-Objekts zu ändern. Egal, welchen Benutzer oder welche Gruppe er dabei angibt: Es kommt der Fehler
Ein Admin ändern den Besitzer dieses Objekts auf UserB.
UserA kann anschließend erfolgeich den Besitzer dieses Computer-Objekts ändern und dortandere Dritte sich selbst eintragen. Und das wiederholt.
Aber sobald UserA sich selbst wieder als Besitzer einträgt kann er anschließend nicht mehr den Besitzer ändern. Es kommt wieder der o.g. Fehler.
Jetzt stehe ich auf dem Schlauch. Ein Besitzer der ACL kann nicht einen anderen Besitzer eintragen? Hä, habe ich was verpasst? Das wäre mir neu ...
Wenn das jemand mal nachstellen könnte, wäre das echt toll.
E.
hat jemand von Euch Zeit und Lust mal Folgendes nachzustellen?
(Es geht NICHT um Übernahme des Besitz, sondern um abgeben des Besitz.)
Ein AD-Benutzer UserA ist kein Mitglied der Organisations-, Domänen-Admins oder BuiltIn-Administratoren.
Dieser Benutzer ist Besitzer eines Computer-Objekts. UserA hat auch Vollzugriff für dieses Objekt.
UserA versucht den Besitzer dieses Computer-Objekts zu ändern. Egal, welchen Benutzer oder welche Gruppe er dabei angibt: Es kommt der Fehler
Der neue Besitzer von COMPUTER1 kann nicht eingerichtet werden.
Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.
Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.
Ein Admin ändern den Besitzer dieses Objekts auf UserB.
UserA kann anschließend erfolgeich den Besitzer dieses Computer-Objekts ändern und dort
Aber sobald UserA sich selbst wieder als Besitzer einträgt kann er anschließend nicht mehr den Besitzer ändern. Es kommt wieder der o.g. Fehler.
Jetzt stehe ich auf dem Schlauch. Ein Besitzer der ACL kann nicht einen anderen Besitzer eintragen? Hä, habe ich was verpasst? Das wäre mir neu ...
Wenn das jemand mal nachstellen könnte, wäre das echt toll.
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 668161
Url: https://administrator.de/contentid/668161
Printed on: September 17, 2024 at 01:09 o'clock
5 Comments
Latest comment
Es ist jetzt sogar so, dass - nachdem ein Admin einen anderen Besitzer eingetragen hat - der UserA (mit Vollzugriff) nur sich selbst als Besitzer eintragen kann, andere nicht. Insofern habe ich mich bei meinem o.g. Test auch noch selbst getäuscht. Ich habe das oben korrigiert.
Und im NTFS verhält es sich genauso.
Soll mir das in fast 30 Jahren WinNT nicht aufgefallen sein, dass ein Nicht-Admin nur den Besitz übernehmen kann (sofern dazu berechtigt) aber nicht an Dritte übergeben kann, selbst wenn gerade selbst der Besitzer?
Und im NTFS verhält es sich genauso.
Soll mir das in fast 30 Jahren WinNT nicht aufgefallen sein, dass ein Nicht-Admin nur den Besitz übernehmen kann (sofern dazu berechtigt) aber nicht an Dritte übergeben kann, selbst wenn gerade selbst der Besitzer?
Moin,
scheint so zu sein und ist mir auch neu (auch nach ca. 30 Jahren
). Ich habe das so getestet:
Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Liebe Grüße
Erik
scheint so zu sein und ist mir auch neu (auch nach ca. 30 Jahren
). Ich habe das so getestet:Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Liebe Grüße
Erik
Moin
... interessant. Ja das wird so sein, denn auch ich habe es hier entsprechend ausprobiert.
Aber sein wir doch mal ehrlich...
Mir ist es in gut 30 Jahren ebenfalls niemals aufgefallen. Und wenn das so ist, kann es doch eigentlich nicht so gaaanz wichtig sein!?
... interessant. Ja das wird so sein, denn auch ich habe es hier entsprechend ausprobiert.
Aber sein wir doch mal ehrlich...
Mir ist es in gut 30 Jahren ebenfalls niemals aufgefallen. Und wenn das so ist, kann es doch eigentlich nicht so gaaanz wichtig sein!?
Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert. Und ich bilde mir ein, gut darin gewesen zu sein, nicht bloß auswendig lernen lassen. Ich hätte bis vorhin meinen Kopf verwettet, dass der Besitzer eines Objekts (genauer: der Besitzer einer ACL) damit machen kann, was er will.
Ich muss mal testen, ob das per PowerShell und/oder .Net geht.
Wenn ja, dann wäre das ein "neues Feature" von MCC und Explorer.
Wenn nein, dann hätte das System. Obwohl es dann auch ein "neues Feature" sein könnte.
Oder ich werde einfach nur alt.
Ich muss mal testen, ob das per PowerShell und/oder .Net geht.
Wenn ja, dann wäre das ein "neues Feature" von MCC und Explorer.
Wenn nein, dann hätte das System. Obwohl es dann auch ein "neues Feature" sein könnte.
Oder ich werde einfach nur alt.
1Zitat von @emeriks:
Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert.
Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert.
Sowas ähnliches habe ich 25 Jahre lang gemacht.
Und ich bilde mir ein, gut darin gewesen zu sein, nicht bloß auswendig lernen lassen.
Das glaube ich von mir auch. Nein, ich weiß es.
Ich hätte bis vorhin meinen Kopf verwettet, dass der Besitzer eines Objekts (genauer: der Besitzer einer ACL) damit machen kann, was er will.
Und wir hätten beide unseren Kopf verloren. Man gut, wir haben nicht gewettet.
Oder ich werde einfach nur alt.
Man kann so alt werden, wie man will. Trotzdem gilt: Man lernt nie aus.
1