Besitzer eines Ordners kann gesetzte Sicherheitseinstellungen verändern bzw. Sicherheitseinstellungen zählen nicht für den Besitzer
Als ich gerade so die Shares im Netzwerk eingerichtet habe, ist mir was seltsames aufgefallen, das mir aus irgendeinem Grund bisher noch nicht aufgefallen ist. Folgendes:
Auf einem Windows-Rechner wurde eine Freigabe erstellt. Der Serveradmin hat natürlich lokal Vollzugriff auf diese Freigabe. In den Sicherheitseinstellungen des freigegebenen Ordners habe ich außerdem eingestellt, dass User der Gruppe "Netzshare" fast Vollzugriff haben (bis auf "Berechtigungen lesen", "Berechtigungen ändern" und "Besitz übernehmen" --> wird verweigert). Wenn nun ein User in dem freigegebenen Ordner ein Verzeichnis erstellt, ist er jedoch Besitzer dieses Verzeichnisses. Und als Besitzer kann er wiederum Berechtigungen auf dem freigegebenen Ordner verändern, auch wenn er auf dem Server in der Gruppe ist, die eigentlich KEINE Berechtigungen verändern darf. Habe ich das alles etwas dämlich konfiguriert? Deshalb würde mich interessieren:
1) Ist es "normal", dass ein User in einem Ordner, den er selbst auf einer Freigabe erstellt, Besitzer ist und somit die eingestellten Sicherheitseinstellungen für ihn nicht gelten?
2) Gibt es irgendwo in den Tiefen der GPOs vielleicht einen Punkt, der etwas macht a la "Sobal ein User einen Ordner in einer Freigabe anlegt, nimm ihm die Besitzrechte und mache den lokalen Serveradmin zum Besitzer"
Ich möchte damit bezwecken, dass User in meinem Heimnetz nicht einfach in den Ordnern, in denen sie Besitzer sind, Rechte setzen könnnen oder verändern können. Besitzrechte auf dem Ordner sind in meinem Fall für die Clients nicht wichtig, da die Ordner lediglich als Netzwerkdatenspeicher genutzt werden.
Freue mich auf Anregungen
Auf einem Windows-Rechner wurde eine Freigabe erstellt. Der Serveradmin hat natürlich lokal Vollzugriff auf diese Freigabe. In den Sicherheitseinstellungen des freigegebenen Ordners habe ich außerdem eingestellt, dass User der Gruppe "Netzshare" fast Vollzugriff haben (bis auf "Berechtigungen lesen", "Berechtigungen ändern" und "Besitz übernehmen" --> wird verweigert). Wenn nun ein User in dem freigegebenen Ordner ein Verzeichnis erstellt, ist er jedoch Besitzer dieses Verzeichnisses. Und als Besitzer kann er wiederum Berechtigungen auf dem freigegebenen Ordner verändern, auch wenn er auf dem Server in der Gruppe ist, die eigentlich KEINE Berechtigungen verändern darf. Habe ich das alles etwas dämlich konfiguriert? Deshalb würde mich interessieren:
1) Ist es "normal", dass ein User in einem Ordner, den er selbst auf einer Freigabe erstellt, Besitzer ist und somit die eingestellten Sicherheitseinstellungen für ihn nicht gelten?
2) Gibt es irgendwo in den Tiefen der GPOs vielleicht einen Punkt, der etwas macht a la "Sobal ein User einen Ordner in einer Freigabe anlegt, nimm ihm die Besitzrechte und mache den lokalen Serveradmin zum Besitzer"
Ich möchte damit bezwecken, dass User in meinem Heimnetz nicht einfach in den Ordnern, in denen sie Besitzer sind, Rechte setzen könnnen oder verändern können. Besitzrechte auf dem Ordner sind in meinem Fall für die Clients nicht wichtig, da die Ordner lediglich als Netzwerkdatenspeicher genutzt werden.
Freue mich auf Anregungen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 226345
Url: https://administrator.de/contentid/226345
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
28 Kommentare
Neuester Kommentar
Wenn du ein Kind produzierst, bist du der Besitzer des Kindes und nicht deine Eltern. Mal ganz hart aus gedrückt.
Besitzer ist rechtemäßig nochmal stärker als Administrator, aber in Standardumgebungen kann sich ein Administrator zum Besitzer machen.
Also ja, es ist normal.
Ich frag mich gerade nur, welche Rechte die Nutzer nicht haben dürfen, wenn die bereits einen Ordner anlegen können. Mir fällt da spontan kein sinnvoller Zweck ein. Es gibt so ganz kranke Konstruktionen, die es einem Benutzer erlauben, in einem Ordner Ordner und Dateien anzulegen, aber im neu angelegten Unterordner darf man dann gar nichts mehr, das geht mittels der Vererbung bzw. der Abschaltung oder gezielter Überschreibung selbiger.
Die Sache mit dem Besitzer ist aber hauptsächlich für eine Sache wichtig: für Kontigente/Quotas, da eine Datei nur einem Benutzer zugeordnet werden kann, dem Besitzer.
Besitzer ist rechtemäßig nochmal stärker als Administrator, aber in Standardumgebungen kann sich ein Administrator zum Besitzer machen.
Also ja, es ist normal.
Ich frag mich gerade nur, welche Rechte die Nutzer nicht haben dürfen, wenn die bereits einen Ordner anlegen können. Mir fällt da spontan kein sinnvoller Zweck ein. Es gibt so ganz kranke Konstruktionen, die es einem Benutzer erlauben, in einem Ordner Ordner und Dateien anzulegen, aber im neu angelegten Unterordner darf man dann gar nichts mehr, das geht mittels der Vererbung bzw. der Abschaltung oder gezielter Überschreibung selbiger.
Die Sache mit dem Besitzer ist aber hauptsächlich für eine Sache wichtig: für Kontigente/Quotas, da eine Datei nur einem Benutzer zugeordnet werden kann, dem Besitzer.
Zitat von @soundinle:
@wiesi200: Nun, ob der Effekt neu ist liegt ganz am Zeitpunkt, wann er denn von einer Person entdeckt wurde Aber deine
Erläuterung leuchtet mir ein .
@wiesi200: Nun, ob der Effekt neu ist liegt ganz am Zeitpunkt, wann er denn von einer Person entdeckt wurde Aber deine
Erläuterung leuchtet mir ein .
Also es ist auch jeden Fall schon seit Windows 2003 so, wenn nicht sogar 2000.
Mhm ... und nu? Also es hat ja wohl auch sein Gutes, wenn der Besitzer mehr Rechte hat, als er laut Sicherheitseinstellungen
eigentlich haben dürfte. Doch gibt es eine Möglichkeit, die Rechte der Besitzer von verschiedenen Ordnern durch
Einstellungen in einem großen "Überordner" zu definieren? Die Besitzer sollen ja auch nicht in den
Unterordnern machen dürfen, was sie wollen, auch wenn ich nun durchaus den Sinn von "Besitzern" verstanden habe
Wenn dem Benutzer eine Ordnerstruktur vorgegeben worden ist, dann ist er auch kein Besitzer. Somit existiert dein Problem ja garnicht.
Aber wenn sich ein Benutzer selber Ordner anlegen darf, macht es doch auch keinen Sinn ihm zu verbieten weitere Ordner anzulegen, oder sehe ich das falsch?
ich nun der Gruppe "Ersteller-Besitzer" die Rechte zur Änderung der Sicherheitseinstellungen nehme, nehme ich sie
mir ja wieder teilweise selbst weg, weil bei manchen Ordnern ist ja der Serveradmin der Besitzer, oder irre ich mich?
mir ja wieder teilweise selbst weg, weil bei manchen Ordnern ist ja der Serveradmin der Besitzer, oder irre ich mich?
Ersteller-Besitzer ist nur relevant beim Erstellen eines Ordners oder einer Datei - nachträglich nicht mehr. Und die Gruppe kann auch nur für Ordner berechtigt werden, nicht für Dateien - nur in Ordnern kannst Du ja untergeordnete Objekte erstellen
Moin.
Der Effekt ist uralt und viele stolpern darüber. Problem (und Lösung): Sie haben den Fehler gemacht, in den Freigabeberechtigungen einer Gruppe Vollzugriff einzuräumen. Dann hilft es nämlich tatsächlich auch nicht mehr, mit NTFS-Rechten zu beschränken, der Besitzer (wie beobachtet) setzt sich darüber hinweg.
Vergib' einfach Freigabe jeder:ändern und NTFS wie Du willst (vermutlich Gruppe Netzshare:ändern und Admins: voll).
Man liest zuhauf von dem (falschen) Prinzip: Freigaberechte voll und dann mit NTFS arbeiten... das ist schlicht gefährlich wegen des genannten Effektes.
Also: Freigaberechte: jeder maximal ändern.
Der Effekt ist uralt und viele stolpern darüber. Problem (und Lösung): Sie haben den Fehler gemacht, in den Freigabeberechtigungen einer Gruppe Vollzugriff einzuräumen. Dann hilft es nämlich tatsächlich auch nicht mehr, mit NTFS-Rechten zu beschränken, der Besitzer (wie beobachtet) setzt sich darüber hinweg.
Vergib' einfach Freigabe jeder:ändern und NTFS wie Du willst (vermutlich Gruppe Netzshare:ändern und Admins: voll).
Man liest zuhauf von dem (falschen) Prinzip: Freigaberechte voll und dann mit NTFS arbeiten... das ist schlicht gefährlich wegen des genannten Effektes.
Also: Freigaberechte: jeder maximal ändern.
Ich finde es aber schon krass, dass:
- Sicherheitseinstellungen durch die Freigabeberechtigungen übergangen werden können ---> Mir schienen bisher die NTFS-Berechtigungen "gewichtiger" zu sein
Ganz einfach: das Restriktivere gilt. Ausnahme: Ersteller/Besitzer, da hast Du gesehen, dass beides restriktiv sein muss.- Sicherheitseinstellungen durch die Freigabeberechtigungen übergangen werden können ---> Mir schienen bisher die NTFS-Berechtigungen "gewichtiger" zu sein
Zu Deinen Eigenversuchen: es gibt hier keinen Superadmin. Jeder mit Vollzugriff kann die Besitzrechte ändern. Und jeder Admin kann dies selbst, wenn er keinen Vollzugriff hat.
Zitat von @DerWoWusste:
Man liest zuhauf von dem (falschen) Prinzip: Freigaberechte voll und dann mit NTFS arbeiten... das ist schlicht gefährlich
wegen des genannten Effektes.
Also: Freigaberechte: jeder maximal ändern.
Man liest zuhauf von dem (falschen) Prinzip: Freigaberechte voll und dann mit NTFS arbeiten... das ist schlicht gefährlich
wegen des genannten Effektes.
Also: Freigaberechte: jeder maximal ändern.
Einspruch! Die meisten stolpern eher darüber, dass sie "irgendwann mal" auf Freigabe nur "Ändern" (oder gar "Lesen") vergeben haben und wundern sich später...
Besser: Plane Deine NTFS-ACLs richtig, dann ist auf Freigabe "Vollzugriff" immer ok. So entfernt man genau deshalb auch Ersteller-Besitzer i.d.R. aus dem Stammverzeichnis freigegebener Ordner, damit der eben KEINE besonderen Rechte mehr hat.
Und wenn man mal die besondere Rolle "Besitzer" verstanden hat, dann ist das auch nicht "gefährlich".
Den Einspruch kannst Du knicken, er stimmt schlichtweg nicht. Auch wenn der Besitzer nicht in der NTFS-ACL steht, kann er bei
Vollzugriff in der Freigabe-ACL die unerwünschten Änderungen (widerum in der NTFS-ACL) durchführen.
Vollzugriff in der Freigabe-ACL die unerwünschten Änderungen (widerum in der NTFS-ACL) durchführen.
Ja - wenn er cacls bedienen kann oder lokaler Administrator ist (sonst ist "Sicherheit" in den Eigenschaften nicht vorhanden)... Damit könnten wir die Diskussion beenden - wir meinen wohl beide das gleiche, auch wenn wir nicht einer Meinung sind
Okay, ich muss wohl etwas genauer alles erklären, denn ich bilde mir ja keine Anmeldefenster ein
Das glaube ich wohl. Bevor ich mir den ganzen Text nun durchlese, antworte ich erstmal darauf. Ein Anmeldefenster bei einer ACL-Eingabe kommt nur genau dann, wenn man einen lokalen Benutzer am Wickel hat, um die ACL zu schreiben, beispielsweise den lokalen Admin, während der PC jedoch Mitglied einer Domäne ist. Man benötigt das Kennwort irgendeines Domänenbenutzers, denn man macht LDAP-Abfragen schon um die Namen der zu Berechtigenden zu sehen...und das kann der lokale Admin nicht.Das hat nichts damit zu tun, dass man die Kennwörter der zu berechtigenden Nutzer kennen muss. Prüf das bitte und dann unterhalten wir uns weiter.
Moin.
Verstehe nun, warum das passiert: Wenn der Nutzer nur auf dem Server vorhanden ist, muss man sich mit dessen Security Authority verbinden. Ist im Prinzip das selbe wie bei der Domäne: um Nutzer auswählen zu können, muss man sich erst mal authentifizieren, sonst bekommt man die Nutzer des Servers nicht einmal angezeigt.
Hoffe, Dein Problem ist somit aufgeklärt.
Verstehe nun, warum das passiert: Wenn der Nutzer nur auf dem Server vorhanden ist, muss man sich mit dessen Security Authority verbinden. Ist im Prinzip das selbe wie bei der Domäne: um Nutzer auswählen zu können, muss man sich erst mal authentifizieren, sonst bekommt man die Nutzer des Servers nicht einmal angezeigt.
Hoffe, Dein Problem ist somit aufgeklärt.
Bei "Nicht-Besitzern" kommt jedoch bei gerade erläuterter "Gesetzgebung" eine Fehlermeldung beim Kopieren
Zum Kopieren braucht man nur Leserechte. Zum Verschieben (=Kopieren und Löschen der Quelle) natürlich auch Schreib-/Löschrechte.Besitzer können trotzdem noch "Berechtigungen lesen", obwohl verboten.
Da hast Du wohl Recht.