10
AD - Besitz von Computerobjekt abgeben
Hi,
hat jemand von Euch Zeit und Lust mal Folgendes nachzustellen?
(Es geht NICHT um Übernahme des Besitz, sondern um abgeben des Besitz.)
Ein AD-Benutzer UserA ist kein Mitglied der Organisations-, Domänen-Admins oder BuiltIn-Administratoren.
Dieser Benutzer ist Besitzer eines Computer-Objekts. UserA hat auch Vollzugriff für dieses Objekt.
UserA versucht den Besitzer dieses Computer-Objekts zu ändern. Egal, welchen Benutzer oder welche Gruppe er dabei angibt: Es kommt der Fehler
Ein Admin ändern den Besitzer dieses Objekts auf UserB.
UserA kann anschließend erfolgeich den Besitzer dieses Computer-Objekts ändern und dortandere Dritte sich selbst eintragen. Und das wiederholt.
Aber sobald UserA sich selbst wieder als Besitzer einträgt kann er anschließend nicht mehr den Besitzer ändern. Es kommt wieder der o.g. Fehler.
Jetzt stehe ich auf dem Schlauch. Ein Besitzer der ACL kann nicht einen anderen Besitzer eintragen? Hä, habe ich was verpasst? Das wäre mir neu ...
Wenn das jemand mal nachstellen könnte, wäre das echt toll.
E.
hat jemand von Euch Zeit und Lust mal Folgendes nachzustellen?
(Es geht NICHT um Übernahme des Besitz, sondern um abgeben des Besitz.)
Ein AD-Benutzer UserA ist kein Mitglied der Organisations-, Domänen-Admins oder BuiltIn-Administratoren.
Dieser Benutzer ist Besitzer eines Computer-Objekts. UserA hat auch Vollzugriff für dieses Objekt.
UserA versucht den Besitzer dieses Computer-Objekts zu ändern. Egal, welchen Benutzer oder welche Gruppe er dabei angibt: Es kommt der Fehler
Der neue Besitzer von COMPUTER1 kann nicht eingerichtet werden.
Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.
Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.
Ein Admin ändern den Besitzer dieses Objekts auf UserB.
UserA kann anschließend erfolgeich den Besitzer dieses Computer-Objekts ändern und dort
Aber sobald UserA sich selbst wieder als Besitzer einträgt kann er anschließend nicht mehr den Besitzer ändern. Es kommt wieder der o.g. Fehler.
Jetzt stehe ich auf dem Schlauch. Ein Besitzer der ACL kann nicht einen anderen Besitzer eintragen? Hä, habe ich was verpasst? Das wäre mir neu ...
Wenn das jemand mal nachstellen könnte, wäre das echt toll.
E.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668161
Url: https://administrator.de/contentid/668161
Ausgedruckt am: 18.11.2024 um 13:11 Uhr
10 Kommentare
Neuester Kommentar
Es ist jetzt sogar so, dass - nachdem ein Admin einen anderen Besitzer eingetragen hat - der UserA (mit Vollzugriff) nur sich selbst als Besitzer eintragen kann, andere nicht. Insofern habe ich mich bei meinem o.g. Test auch noch selbst getäuscht. Ich habe das oben korrigiert.
Und im NTFS verhält es sich genauso.
Soll mir das in fast 30 Jahren WinNT nicht aufgefallen sein, dass ein Nicht-Admin nur den Besitz übernehmen kann (sofern dazu berechtigt) aber nicht an Dritte übergeben kann, selbst wenn gerade selbst der Besitzer?
Und im NTFS verhält es sich genauso.
Soll mir das in fast 30 Jahren WinNT nicht aufgefallen sein, dass ein Nicht-Admin nur den Besitz übernehmen kann (sofern dazu berechtigt) aber nicht an Dritte übergeben kann, selbst wenn gerade selbst der Besitzer?
Moin,
scheint so zu sein und ist mir auch neu (auch nach ca. 30 Jahren
). Ich habe das so getestet:
Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Liebe Grüße
Erik
scheint so zu sein und ist mir auch neu (auch nach ca. 30 Jahren
). Ich habe das so getestet:Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Liebe Grüße
Erik
Moin
... interessant. Ja das wird so sein, denn auch ich habe es hier entsprechend ausprobiert.
Aber sein wir doch mal ehrlich...
Mir ist es in gut 30 Jahren ebenfalls niemals aufgefallen. Und wenn das so ist, kann es doch eigentlich nicht so gaaanz wichtig sein!?
... interessant. Ja das wird so sein, denn auch ich habe es hier entsprechend ausprobiert.
Aber sein wir doch mal ehrlich...
Mir ist es in gut 30 Jahren ebenfalls niemals aufgefallen. Und wenn das so ist, kann es doch eigentlich nicht so gaaanz wichtig sein!?
Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert. Und ich bilde mir ein, gut darin gewesen zu sein, nicht bloß auswendig lernen lassen. Ich hätte bis vorhin meinen Kopf verwettet, dass der Besitzer eines Objekts (genauer: der Besitzer einer ACL) damit machen kann, was er will.
Ich muss mal testen, ob das per PowerShell und/oder .Net geht.
Wenn ja, dann wäre das ein "neues Feature" von MCC und Explorer.
Wenn nein, dann hätte das System. Obwohl es dann auch ein "neues Feature" sein könnte.
Oder ich werde einfach nur alt.
Ich muss mal testen, ob das per PowerShell und/oder .Net geht.
Wenn ja, dann wäre das ein "neues Feature" von MCC und Explorer.
Wenn nein, dann hätte das System. Obwohl es dann auch ein "neues Feature" sein könnte.
Oder ich werde einfach nur alt.
1Zitat von @emeriks:
Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert.
Ich habe von 2000-2004 5 Jahre lang zig MCSE ausgebildet, Microsoft zertifiziert.
Sowas ähnliches habe ich 25 Jahre lang gemacht.
Und ich bilde mir ein, gut darin gewesen zu sein, nicht bloß auswendig lernen lassen.
Das glaube ich von mir auch. Nein, ich weiß es.
Ich hätte bis vorhin meinen Kopf verwettet, dass der Besitzer eines Objekts (genauer: der Besitzer einer ACL) damit machen kann, was er will.
Und wir hätten beide unseren Kopf verloren. Man gut, wir haben nicht gewettet.
Oder ich werde einfach nur alt.
Man kann so alt werden, wie man will. Trotzdem gilt: Man lernt nie aus.
1
Zitat von @erikro:
Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Neuen Ordner erstellt
Mir selbst Vollzugriff auf den Ordner gegeben
Trotzdem prangt neben dem "Ändern" des Besitzers das Adminrechte-Sind-Notwendig-Schild. Ich kann den Ordner nicht verschenken.
Interessant, dass kann ich nicht nachstellen. Ordner C: \Test erstellt, meinem Benutzer Vollzugriff gegeben, Vererbung deaktiviert und vererbte Einträge löschen lassen. Sprich mein Benutzer steht nun als alleiniger da drin und ist zugleich Besitzer.
Ich kann den Besitzer auf "Administratoren" ändern, keine Fehlermeldung
Ich kann den Besitzer auf "Administrator" ändern, keine Fehlermeldung
Ich kann den "Administrator" mit Vollzugriff berechtigen, keine Fehlermeldung
Ich kann mich selbst aus den Berechtigungen entfernen (nun erscheint, das Admin-Symbol und Änderungen können nur im Admin-Context geändert werden
Also bei den NTFS-ACLs scheint das zu funktionieren. Oder ich habe jetzt irgendwas falsch verstanden?
@anteNope
Und Dein Benutzer selbst ist kein Mitglied der Administratoren? Auch nicht verschachtelt. Darum ging es.
Und Dein Benutzer selbst ist kein Mitglied der Administratoren? Auch nicht verschachtelt. Darum ging es.
Alles mysteriös....
Auf einem Server 2019 habe ich es nun auch einmal gemacht. Für die erstellte Datei, auf der ich neben dem Besitz auch explizit Vollzugriff habe, kann der Besitz nur nach Eingabe von Admincredentials geändert werden. Da komme ich also nicht einmal an den Punkt.
Wobei es einen Unterschied macht, ob ich lokal oder über das Netzwerk auf die Datei zugreifen will. Über das Netzwerk lässt sich der Dialog zwar öffnen, führt dann aber zum "Access denied". Was mich dann zu der Behauptung bringt, dass Windows die Rechte in dem Moment einfach nicht vorab überprüft und erst beim Speichern feststellt, dass man das nicht darf.
Auf einem Server 2019 habe ich es nun auch einmal gemacht. Für die erstellte Datei, auf der ich neben dem Besitz auch explizit Vollzugriff habe, kann der Besitz nur nach Eingabe von Admincredentials geändert werden. Da komme ich also nicht einmal an den Punkt.
Wobei es einen Unterschied macht, ob ich lokal oder über das Netzwerk auf die Datei zugreifen will. Über das Netzwerk lässt sich der Dialog zwar öffnen, führt dann aber zum "Access denied". Was mich dann zu der Behauptung bringt, dass Windows die Rechte in dem Moment einfach nicht vorab überprüft und erst beim Speichern feststellt, dass man das nicht darf.
Moin,
es wird immer komischer. Nachdem @anteNope geschrieben hat, dass das bei ihm geht, habe ich noch einmal getestet. Ergebnis: Mal gates und mal gates nicht.
Gruppenlaufwerk auf dem Fileserver:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich verschenken. Es war nicht notwendig, mir Vollzugriff zu geben. Der Besitz reichte aus. Aus den Gruppenrechten habe ich lediglich die normalen Rechte erhalten mit der Einschränkung, dass ich den Besitz nicht übernehmen darf, nicht löschen darf und die Attribute nicht ändern darf. Aber der Besitzer darf das ja.
Laufwerk c:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich nicht verschenken.
Hier habe ich auch noch mir selbst expliziten Vollzugriff gegeben und trotzdem ging es nicht. Auch dann nicht, wenn ich die Vererbung unterbreche und mir selbst exklusiven Vollzugriff gebe.
Offensichtlich hängt das von dem Ort, an dem das Objekt liegt, ab.
Liebe Grüße
Erik
es wird immer komischer. Nachdem @anteNope geschrieben hat, dass das bei ihm geht, habe ich noch einmal getestet. Ergebnis: Mal gates und mal gates nicht.
Gruppenlaufwerk auf dem Fileserver:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich verschenken. Es war nicht notwendig, mir Vollzugriff zu geben. Der Besitz reichte aus. Aus den Gruppenrechten habe ich lediglich die normalen Rechte erhalten mit der Einschränkung, dass ich den Besitz nicht übernehmen darf, nicht löschen darf und die Attribute nicht ändern darf. Aber der Besitzer darf das ja.
Laufwerk c:
Ordner/Datei mit eingeschränktem Benutzer angelegt. Ordner/Datei kann ich nicht verschenken.
Hier habe ich auch noch mir selbst expliziten Vollzugriff gegeben und trotzdem ging es nicht. Auch dann nicht, wenn ich die Vererbung unterbreche und mir selbst exklusiven Vollzugriff gebe.
Offensichtlich hängt das von dem Ort, an dem das Objekt liegt, ab.
Liebe Grüße
Erik
Na, wenigstens weiß ich jetzt, dass ich noch nicht ganz meschugge bin.
