soundinle
Goto Top

Besitzer eines Ordners kann gesetzte Sicherheitseinstellungen verändern bzw. Sicherheitseinstellungen zählen nicht für den Besitzer

Als ich gerade so die Shares im Netzwerk eingerichtet habe, ist mir was seltsames aufgefallen, das mir aus irgendeinem Grund bisher noch nicht aufgefallen ist. Folgendes:

Auf einem Windows-Rechner wurde eine Freigabe erstellt. Der Serveradmin hat natürlich lokal Vollzugriff auf diese Freigabe. In den Sicherheitseinstellungen des freigegebenen Ordners habe ich außerdem eingestellt, dass User der Gruppe "Netzshare" fast Vollzugriff haben (bis auf "Berechtigungen lesen", "Berechtigungen ändern" und "Besitz übernehmen" --> wird verweigert). Wenn nun ein User in dem freigegebenen Ordner ein Verzeichnis erstellt, ist er jedoch Besitzer dieses Verzeichnisses. Und als Besitzer kann er wiederum Berechtigungen auf dem freigegebenen Ordner verändern, auch wenn er auf dem Server in der Gruppe ist, die eigentlich KEINE Berechtigungen verändern darf. Habe ich das alles etwas dämlich konfiguriert? Deshalb würde mich interessieren:

1) Ist es "normal", dass ein User in einem Ordner, den er selbst auf einer Freigabe erstellt, Besitzer ist und somit die eingestellten Sicherheitseinstellungen für ihn nicht gelten?

2) Gibt es irgendwo in den Tiefen der GPOs vielleicht einen Punkt, der etwas macht a la "Sobal ein User einen Ordner in einer Freigabe anlegt, nimm ihm die Besitzrechte und mache den lokalen Serveradmin zum Besitzer"

Ich möchte damit bezwecken, dass User in meinem Heimnetz nicht einfach in den Ordnern, in denen sie Besitzer sind, Rechte setzen könnnen oder verändern können. Besitzrechte auf dem Ordner sind in meinem Fall für die Clients nicht wichtig, da die Ordner lediglich als Netzwerkdatenspeicher genutzt werden.

Freue mich auf Anregungen face-smile

Content-ID: 226345

Url: https://administrator.de/forum/besitzer-eines-ordners-kann-gesetzte-sicherheitseinstellungen-veraendern-bzw-sicherheitseinstellungen-zaehlen-226345.html

Ausgedruckt am: 26.12.2024 um 08:12 Uhr

tikayevent
Lösung tikayevent 10.01.2014, aktualisiert am 14.01.2014 um 02:42:13 Uhr
Goto Top
Wenn du ein Kind produzierst, bist du der Besitzer des Kindes und nicht deine Eltern. Mal ganz hart aus gedrückt.

Besitzer ist rechtemäßig nochmal stärker als Administrator, aber in Standardumgebungen kann sich ein Administrator zum Besitzer machen.

Also ja, es ist normal.

Ich frag mich gerade nur, welche Rechte die Nutzer nicht haben dürfen, wenn die bereits einen Ordner anlegen können. Mir fällt da spontan kein sinnvoller Zweck ein. Es gibt so ganz kranke Konstruktionen, die es einem Benutzer erlauben, in einem Ordner Ordner und Dateien anzulegen, aber im neu angelegten Unterordner darf man dann gar nichts mehr, das geht mittels der Vererbung bzw. der Abschaltung oder gezielter Überschreibung selbiger.

Die Sache mit dem Besitzer ist aber hauptsächlich für eine Sache wichtig: für Kontigente/Quotas, da eine Datei nur einem Benutzer zugeordnet werden kann, dem Besitzer.
MartinBinder
Lösung MartinBinder 10.01.2014, aktualisiert am 14.01.2014 um 02:42:11 Uhr
Goto Top
Da gibt es in den ACLs die spezielle Gruppe "Ersteller-Besitzer" - wenn die gesondert berechtigt ist, dann ist das so face-smile Kannst Du aber rauswerfen...
wiesi200
Lösung wiesi200 11.01.2014, aktualisiert am 14.01.2014 um 02:42:10 Uhr
Goto Top
Wow, das ist ja ein ganz neuer Effekt.

Hat den Vorteil das wenn ein Ordner mal aus versehen keine rechte mehr hat, die vom Besitzer wieder überschrieben werden können.
Es gab mal Zeiten da konnte man überhaupt nichts mehr machen außer die Festplatte formatieren.
soundinle
soundinle 12.01.2014 um 00:36:59 Uhr
Goto Top
@tikayevent: Der Besitzer ist noch "mächtiger" als der Admin? Okay. Das ist mir komplett neu. Dann bleibt mir wohl nix übrig, als regelmäßig die Besitzrechte des Administrators "nach unten" zu vererben. Meine Intention war, dass es ja vielleicht eine Sicherheitslücke ist, wenn jetzt jeder Besitzer wahllos z.B. andere Leute als Besitzer des Ordners festlegen kann, von denen ich gar nicht will, dass sie Besitzer im Ordner sind. Doch - ich sehe gerade - dass selbst Besitzer mit Vollzugriff nicht einfach bestimmte User hinzufügen können: "Der neue Besitzer kann auf (folder) nicht gesetzt werden. Sie verfügen nicht über die Wiederherstellungsberechtigungen, um diesen Benutzer bzw. diese Gruppe als Besitzer festzulegen". --> Wo kann ich diese "Wiederherstellungsberechtigungen" einstellen?

@Martin Binder: Die Gruppe ist bei mir gar nicht aktiv im Ordner. In den Sicherheitseinstellungen Ist nur "Administratoren", "Admindesservers" (dank UAC) und eben die Gruppe "Zugriffaufsnetzwerk". Doch wenn ich nun der Gruppe "Ersteller-Besitzer" die Rechte zur Änderung der Sicherheitseinstellungen nehme, nehme ich sie mir ja wieder teilweise selbst weg, weil bei manchen Ordnern ist ja der Serveradmin der Besitzer, oder irre ich mich?

@wiesi200: Nun, ob der Effekt neu ist liegt ganz am Zeitpunkt, wann er denn von einer Person entdeckt wurde face-smile Aber deine Erläuterung leuchtet mir ein face-smile

Mhm ... und nu? Also es hat ja wohl auch sein Gutes, wenn der Besitzer mehr Rechte hat, als er laut Sicherheitseinstellungen eigentlich haben dürfte. Doch gibt es eine Möglichkeit, die Rechte der Besitzer von verschiedenen Ordnern durch Einstellungen in einem großen "Überordner" zu definieren? Die Besitzer sollen ja auch nicht in den Unterordnern machen dürfen, was sie wollen, auch wenn ich nun durchaus den Sinn von "Besitzern" verstanden habe face-smile
wiesi200
Lösung wiesi200 12.01.2014, aktualisiert am 14.01.2014 um 02:42:03 Uhr
Goto Top
Zitat von @soundinle:

@wiesi200: Nun, ob der Effekt neu ist liegt ganz am Zeitpunkt, wann er denn von einer Person entdeckt wurde face-smile Aber deine
Erläuterung leuchtet mir ein face-smile.

Also es ist auch jeden Fall schon seit Windows 2003 so, wenn nicht sogar 2000.


Mhm ... und nu? Also es hat ja wohl auch sein Gutes, wenn der Besitzer mehr Rechte hat, als er laut Sicherheitseinstellungen
eigentlich haben dürfte. Doch gibt es eine Möglichkeit, die Rechte der Besitzer von verschiedenen Ordnern durch
Einstellungen in einem großen "Überordner" zu definieren? Die Besitzer sollen ja auch nicht in den
Unterordnern machen dürfen, was sie wollen, auch wenn ich nun durchaus den Sinn von "Besitzern" verstanden habe face-smile

Wenn dem Benutzer eine Ordnerstruktur vorgegeben worden ist, dann ist er auch kein Besitzer. Somit existiert dein Problem ja garnicht.
Aber wenn sich ein Benutzer selber Ordner anlegen darf, macht es doch auch keinen Sinn ihm zu verbieten weitere Ordner anzulegen, oder sehe ich das falsch?
tikayevent
Lösung tikayevent 12.01.2014, aktualisiert am 14.01.2014 um 02:42:02 Uhr
Goto Top
Eigentlich müsste dieser Effekt so alt sein wie das NTFS, also existiert es seit NT 3.1. Aber es existiert nicht nur unter Windows. Die gängigen Linuxdateisysteme halten es genauso. Der Ersteller des Ordners ist erstmal Besitzer, außer man übergeht es durch die Rechtebits.
MartinBinder
Lösung MartinBinder 13.01.2014, aktualisiert am 14.01.2014 um 02:41:59 Uhr
Goto Top
ich nun der Gruppe "Ersteller-Besitzer" die Rechte zur Änderung der Sicherheitseinstellungen nehme, nehme ich sie
mir ja wieder teilweise selbst weg, weil bei manchen Ordnern ist ja der Serveradmin der Besitzer, oder irre ich mich?

Ersteller-Besitzer ist nur relevant beim Erstellen eines Ordners oder einer Datei - nachträglich nicht mehr. Und die Gruppe kann auch nur für Ordner berechtigt werden, nicht für Dateien - nur in Ordnern kannst Du ja untergeordnete Objekte erstellen face-smile
DerWoWusste
Lösung DerWoWusste 14.01.2014 aktualisiert um 02:41:57 Uhr
Goto Top
Moin.

Der Effekt ist uralt und viele stolpern darüber. Problem (und Lösung): Sie haben den Fehler gemacht, in den Freigabeberechtigungen einer Gruppe Vollzugriff einzuräumen. Dann hilft es nämlich tatsächlich auch nicht mehr, mit NTFS-Rechten zu beschränken, der Besitzer (wie beobachtet) setzt sich darüber hinweg.
Vergib' einfach Freigabe jeder:ändern und NTFS wie Du willst (vermutlich Gruppe Netzshare:ändern und Admins: voll).

Man liest zuhauf von dem (falschen) Prinzip: Freigaberechte voll und dann mit NTFS arbeiten... das ist schlicht gefährlich wegen des genannten Effektes.
Also: Freigaberechte: jeder maximal ändern.
soundinle
soundinle 14.01.2014 um 02:41:37 Uhr
Goto Top
Okay, ich verstehe. Es scheint ja wirklich ein alter Effekt zu sein. Der blieb mir bisher nur verborgen face-smile

@wiesi200: Du siehst das vollkommen richtig, dass es eigentlich "wenig Sinn" macht. Aber ich habe doch irgendwie ein flaues Gefühl im Magen, wenn ich einerseits verbiete, etwas zu tun, sich aber manche User (die Besitzer eben) aufgrund der Tatsache, dass sie Besitzer sind, über gesetzten Sicherheitseinstellungen hinwegsetzen können. Auch DerWoWusste spricht von einem "gefährlichen Effekt". Mir als Hobby-Administrator bleiben natürlich die Gefahren, die sich daraus tatsächlich ergeben können, verborgen ... aber mein flaues Gefühl blieb eben face-smile

@DerWoWusste: Dein Name ist hier Programm face-smile Ich habe jetzt die Gruppe "Jeder" in die Freigabeberechtigungen mit maximal "Ändern" eingetragen, also kein Vollzugriff. Siehe da: Auch bei Besitzern greifen jetzt die Sicherehitseinstellungen. Ich finde es aber schon krass, dass:

- Sicherheitseinstellungen durch die Freigabeberechtigungen übergangen werden können ---> Mir schienen bisher die NTFS-Berechtigungen "gewichtiger" zu sein
- Der Haken "Vollzugriff" bei den Freigabeeinstellungen die Bedeutung hat: "User mit Vollzugriff auf eine Freigabe können, wenn sie Besitzer eines Ordners sind, dessen Sichereheitseinstellungen ändern/umgehen"

Hier scheint die Freigabe schon sehr verworren gelöst worden zu sein (und ich erinnere mich: Ich habe diese "Beschwerde" schonmal wo gelesen, und jetzt macht sie auch Sinn). Aber über uralte "Stolperfallen" möchte ich jetzt nicht meckern face-smile

Ich habe noch herausgefunden, dass diese "Freigaberechte" wohl die gewichtigsten sind (Eigenversuche)! Man kann den Besitzer eines Netzwerkordners nur ändern, wenn der Ordner für den "echten" Admin freigegeben ist: Man muss das lokale Adminkonto bei der Passwortabfrage vor dem Ändern des Besitzers verwenden. Hier reicht in den Freigaberechten jedoch ein einfaches "nur Lesen" aus, und der "Superadmin" kann Besitzer setzen, wie er Lust und Laune hat (wenn man den Besitzer mit dem Login des "Superadmins" ändert)! Auch, wenn dies in den Sicherheitseinstellungen der Gruppe "Administratoren" verboren wurde! Es erschreckt mich wirklich, wie viel wichtiger diese grob einstellbaren Freigabeberechtigungen sind, verglichen mit den "feinen" Sicherheitseinstellungen.

Ein gutes hat die Sache aber: Um irgendwelche Besitzer hinzuzufügen, muss man das lokale Administratorkonto benutzen, sonst geht gar nix. Also Mitbenutzer eines Shares hätten ohne dieses Konto und das dazugehörige Passwort keine Chance. Und dieses Konto ist ja standardmäßig deaktiviert face-smile
DerWoWusste
DerWoWusste 14.01.2014 aktualisiert um 13:03:14 Uhr
Goto Top
Ich finde es aber schon krass, dass:
- Sicherheitseinstellungen durch die Freigabeberechtigungen übergangen werden können ---> Mir schienen bisher die NTFS-Berechtigungen "gewichtiger" zu sein
Ganz einfach: das Restriktivere gilt. Ausnahme: Ersteller/Besitzer, da hast Du gesehen, dass beides restriktiv sein muss.

Zu Deinen Eigenversuchen: es gibt hier keinen Superadmin. Jeder mit Vollzugriff kann die Besitzrechte ändern. Und jeder Admin kann dies selbst, wenn er keinen Vollzugriff hat.
MartinBinder
MartinBinder 14.01.2014 um 13:09:31 Uhr
Goto Top
Zitat von @DerWoWusste:

Man liest zuhauf von dem (falschen) Prinzip: Freigaberechte voll und dann mit NTFS arbeiten... das ist schlicht gefährlich
wegen des genannten Effektes.
Also: Freigaberechte: jeder maximal ändern.

Einspruch! face-smile Die meisten stolpern eher darüber, dass sie "irgendwann mal" auf Freigabe nur "Ändern" (oder gar "Lesen") vergeben haben und wundern sich später...

Besser: Plane Deine NTFS-ACLs richtig, dann ist auf Freigabe "Vollzugriff" immer ok. So entfernt man genau deshalb auch Ersteller-Besitzer i.d.R. aus dem Stammverzeichnis freigegebener Ordner, damit der eben KEINE besonderen Rechte mehr hat.

Und wenn man mal die besondere Rolle "Besitzer" verstanden hat, dann ist das auch nicht "gefährlich".
DerWoWusste
DerWoWusste 14.01.2014 um 13:24:14 Uhr
Goto Top
Moin Martin.

Den Einspruch kannst Du knicken, er stimmt schlichtweg nicht. Auch wenn der Besitzer nicht in der NTFS-ACL steht, kann er bei Vollzugriff in der Freigabe-ACL die unerwünschten Änderungen (widerum in der NTFS-ACL) durchführen.

Teste es einfach selbst.
MartinBinder
MartinBinder 14.01.2014 um 13:56:20 Uhr
Goto Top
Den Einspruch kannst Du knicken, er stimmt schlichtweg nicht. Auch wenn der Besitzer nicht in der NTFS-ACL steht, kann er bei
Vollzugriff in der Freigabe-ACL die unerwünschten Änderungen (widerum in der NTFS-ACL) durchführen.

Ja - wenn er cacls bedienen kann oder lokaler Administrator ist (sonst ist "Sicherheit" in den Eigenschaften nicht vorhanden)... Damit könnten wir die Diskussion beenden - wir meinen wohl beide das gleiche, auch wenn wir nicht einer Meinung sind face-big-smile
DerWoWusste
DerWoWusste 14.01.2014 aktualisiert um 14:11:27 Uhr
Goto Top
Den Reiter Sicherheit auszublenden hilft nicht gegen cacls/icacls/xcacls oder sonst was Portables, richtig.
Ich wollte nur klar stellen, dass es nichts mit dem Vorhandensein von "Ersteller/Besitzer" in der ACL zu tun hat - somit meinten wir keineswegs das Selbe face-smile
soundinle
soundinle 15.01.2014 um 20:24:41 Uhr
Goto Top
@DerWoWusste: Kann wirklich jeder mit Vollzugriff die Rechte ändern? Vielleicht meinen wir das gleiche, aber ich habe jetzt nochmal weitergetestet (Prämissen: Volzugriff in den Freigabeeinstellungen und Vollzugriff in den Sicherheitseinstellungen für jeden der folgenden User):

- Man kann einen User "UserA" nur zum Besitzer eines Ordners machen, wenn "UserA" in den Freigabeberechtigungen auf "Vollzugriff" steht bzw. dort auch auftaucht, sonst geht es nicht --> Ein User "UserB" kann somit nicht einfach irgendeinen Besitzer setzen, für den der Ordner gar nicht freigegeben ist
- Möchte man einen neuen Besitzer hinzufügen, muss man auch bei der Abfrage von Benutzername und Passwort genau die Daten des Users eingeben, den man als Besitzer hinzufügen möchte --> Trifft auch auf User zu, die auf Serverseite in der Gruppe "Administratoren" sind
- Einzig und allein der User "Administrator" (von mir vorhin als "Superadmin" bezeichnet, mir fällt nix besseres ein) kann auch "fremde" Besitzer hinzufügen, ohne die jeweiligen Anmeldeinformationen des neuen Besitzers eingeben zu müssen (sprich "Administrator" kann "UserA" mit den Anmeldeinformationen von "Administrator" hinzufügen und braucht nicht die Anmeldeinformationen von "UserA" dazu, wenngleich der Ordner natürlich trotzdem auch für "UserA" freigegeben werden muss)
- Angehende Besitzer brauchen Vollzugriff, um zum Besitzer zu werden (außer sie werden vom User "Administrator" hinzugefügt)

Somit kann natürlich jeder mit Vollzugriff die Rechte ändern, aber nur, wenn man auch die Anmeldeinformationen des zu setzenden Besitzers hat. Oder waren wir sowieso der selben Meinung?
DerWoWusste
DerWoWusste 15.01.2014 um 22:07:56 Uhr
Goto Top
Entschuldige, aber Du schreibst jetzt wirklich wirre Dinge. Man muss doch nicht das Kennwort eines fremden Nutzers haben, um ihn in eine ACL einzutragen! Wie testest Du denn, dass Du zu solchen Schlüssen kommst face-smile ?
soundinle
soundinle 16.01.2014 um 02:21:49 Uhr
Goto Top
Okay, ich muss wohl etwas genauer alles erklären, denn ich bilde mir ja keine Anmeldefenster ein face-smile

Server (Windows 7):

- User "User1" und User "User2" sind angelegt, keine Gruppenzugehörigkeit
- Freigabe "Share" ist eingerichtet -- User1 und User2 haben in den Freigabeoptionen Vollzugriff und auch in den Sicherheitseinstellungen Vollzugriff
- Besitzer des Shares ist zunächst mal "User1"

Client (Windows 7):

- Möchte den Besitzer des freigegebenen Ordners VOM CLIENT AUS ändern (von User1 zu User2)
- Rechtsklick auf die freigegebene Ressource, Eigenschaften, Sicherheit, Erweitert, Besitzer, Bearbeiten, Weitere Benutzer oder Gruppen..., "User2" eingeben, Enter drücken --> Jetzt kommt eine Abfrage nach Benutzernamen und Kennwort
- Hier muss jetzt Benutzername und Kennwort von User2 eingegeben werden

Das meinte ich, dass man die Benutzerdaten von dem Benutzerkonto kennen muss, das man als Besitzer hinzufügen möchte. Warum?

- Gibt man bei der Abfrage die Userdaten von User1 ein: Fehlermeldung ("Der neue Besitzer kann auf (folder) nicht gesetzt werden. Sie verfügen nicht über die Wiederherstellungsberechtigungen, um diesen Benutzer bzw. diese Gruppe als Besitzer festzulegen")
- Gibt man bei der Abfrage die Userdaten von einem User ein, der auf dem Server in der Gruppe Administratoren ist: Fehlermeldung ("Der neue Besitzer kann auf (folder) nicht gesetzt werden. Sie verfügen nicht über die Wiederherstellungsberechtigungen, um diesen Benutzer bzw. diese Gruppe als Besitzer festzulegen")
- Gibt man bei der Anfrage die Userdaten des Users "Administrator" ein (der vom Server): Alles erfolgreich

Alle genannten Konten müssen natürlich Vollzugriff auf Freigabe und Sicherheitseinstellungen haben, sonst geht das nicht face-smile

Dies verleitete mich zu der Aussage, dass man, wenn man nicht gerade Zugriff auf das lokale Administratorkonto auf dem Server hat bzw. dessen Anmeldedaten nicht kennt, man zum Ändern eines Besitzers eines Ordners von remote aus die Anmeldedaten genau dieses zu ändernden Besitzers braucht.
DerWoWusste
DerWoWusste 16.01.2014 aktualisiert um 11:27:51 Uhr
Goto Top
Okay, ich muss wohl etwas genauer alles erklären, denn ich bilde mir ja keine Anmeldefenster ein
Das glaube ich wohl. Bevor ich mir den ganzen Text nun durchlese, antworte ich erstmal darauf. Ein Anmeldefenster bei einer ACL-Eingabe kommt nur genau dann, wenn man einen lokalen Benutzer am Wickel hat, um die ACL zu schreiben, beispielsweise den lokalen Admin, während der PC jedoch Mitglied einer Domäne ist. Man benötigt das Kennwort irgendeines Domänenbenutzers, denn man macht LDAP-Abfragen schon um die Namen der zu Berechtigenden zu sehen...und das kann der lokale Admin nicht.

Das hat nichts damit zu tun, dass man die Kennwörter der zu berechtigenden Nutzer kennen muss. Prüf das bitte und dann unterhalten wir uns weiter.
soundinle
soundinle 17.01.2014 um 18:12:08 Uhr
Goto Top
Zunächst einmal Danke für deine Geduld ... ich weiß das sehr zu schätzen, wirklich!

Ich verstehe leider nicht genau, was du mit dem Domänen-Zeug geschrieben hast. Ich habe hier selbst nämlich keine. Aber in der Tat reden wir von Usern, die auf dem Rechner mit der Freigabe gespeichert sind (also "lokale User" auf dem Server). Um irgendwie rüberzubringen, was ich meine, kann ich vielleicht einfach mal ein Bild anhängen, das zeigt, was genau ich gemacht habe:

[URL=http://www.bilderhoster.net/6yxl111b.jpg.html][IMG]http://www.bilderhoster.net/thumbs/6yxl111b.jpg[/IMG][/URL]

Ich möchte also den User von "Temp2" nach "Temp" ändern. Es erscheint dann das abgebildete Fenster. Und in dieses muss man jetzt den Usernamen von Temp eingeben usw. (siehe letzter Post, wo beschrieben ist, was passiert wenn man was eingibt). Sitze ich also an irgendeinem PC und möchte den Besitzer einer Netzwerkfreigabe ändern, brauche ich also irgendwelche Kennwörter, sonst geht das nicht (zumindest sieht es für mich so aus - aber vielleicht hast du das ja auch so gemeint?).

Vielleicht können wir das alles durch das Bild auf eine konkretere Ebene bringen, so dass ich das auch besser verstehen kann face-smile

Freue mich schon auf deine (bzw. auch andere) Antwort face-smile
DerWoWusste
Lösung DerWoWusste 20.01.2014, aktualisiert am 28.01.2014 um 14:24:49 Uhr
Goto Top
Moin.

Verstehe nun, warum das passiert: Wenn der Nutzer nur auf dem Server vorhanden ist, muss man sich mit dessen Security Authority verbinden. Ist im Prinzip das selbe wie bei der Domäne: um Nutzer auswählen zu können, muss man sich erst mal authentifizieren, sonst bekommt man die Nutzer des Servers nicht einmal angezeigt.

Hoffe, Dein Problem ist somit aufgeklärt.
soundinle
soundinle 22.01.2014 um 12:49:58 Uhr
Goto Top
Okay, das erklärt einiges.

Nun, mein Problem ist so zu 90 % gelöst, denn irgendwie ist es wie "verhext". Und so ganz logisch reagiert der Rechner noch nicht (ich bin über was gestolpert, deshalb antworte ich erst jetzt):

- Wenn ich am Client mit einem Administratorkonto lokal angemeldet bin (User ist in der Gruppe "Administratoren) und mich auf den Server mit der "Security Authority" des neu zu setzenden Besitzers verbinden will, erhalte ich plötzlich kein Fensterr mehr, wo ich Nutzername und Passwort eintragen kann
- Wenn ich am Client mit einem normalen Benutzerkonto lokal angemeldet bin und mich auf den Server mit der "Security Authority" des neu zu setzenden Besitzers verbinden will, erhalte ich nach wie vor das oben gezeigte Anmeldefenster

Im ersten Fall baut Windows die Verbindung also mit den Anmeldedaten des angemeldeten Administratorkontos auf ohne Chance, diese zu ändern (Folge: Fehler), im zweiten Fall werde ich noch immer brav nach Nutzername und Passwort gefragt (Folge: Ich kann die korrekten Anmeldedaten eingeben).

Was kann das nun wieder sein? Langsam wird es irgendwie undurchschaubar. Ich habe definitiv auf keiner Seite was verändert. Aber das widerspricht jeglicher Logik der Informatik. Außer ein Windowsupdate ist zufällig schuld an diesem veränderten Verhalten (wäre aber weit hergeholt).
DerWoWusste
DerWoWusste 22.01.2014 um 12:58:25 Uhr
Goto Top
Gib doch noch mal die Randumstände an: welche Konten gibt es auf Server und Client und welche davon haben gleiche Kennwörter?
soundinle
soundinle 22.01.2014 um 13:53:00 Uhr
Goto Top
Klar, kein Problem!

Client:

- Konto "Temp", Mitglied von "Administratoren", Passwort XABZ
- Konto "Temp2", Mitglied von "Benutzer", Passwort XABZ

Server (Freigabename = "Freigabe"):

- Konto "Temp", Mitglied von keiner Gruppe, Passwort XABZ, Vollzugriff auf der Freigabe, Vollzugriff in den Sicherheitseinstellungen der Freigabe
- Konto "Temp2", Mitglied von keiner Gruppe, Passwort XABZ, Vollzugriff auf der Freigabe, Volzugriff in den Sicherheitseinstellungen der Freigabe
- Außerdem haben die Konten "Administrator", die Gruppe "Administratoren" und der User "MStudio" (der auch in der Gruppe "Administratoren" ist) Vollzugriff in den Sicherheitseinstellungen der Freigabe, nicht aber in den Freigabeeinstellungen

Nur, wenn ich am Client mit "Temp2" lokal angemeldet bin, erhalte ich noch die Nachfrage nach Benutzername und Passwort, wenn ich den Besitzer der Freigabe ändern möchte. Bei lokaler Anmeldung mit "Temp" erhalte ich die nicht mehr --> Wenn ich den User nach "Temp2" ändern möchte, macht das der Server mit Benutzernamen "Temp" und "XABZ" --> Fehlermeldung

Wenn ich nun aber mit "Temp" lokal angemeldet bin und ich dann ein Netzlaufwerk mit "Temp2" verbinde, kann ich auch den Besitzer der Freigabe ändern (denn dann baut Windows die Verbindungen ja bis zur nächsten Abmeldung mit "Temp2" auf - alter Hut). Nur das ist ein rieeesen Umweg. Mein Anmeldefenster war mir (theoretisch) lieber face-smile
DerWoWusste
DerWoWusste 22.01.2014 um 13:59:04 Uhr
Goto Top
Ganz sicher, dass weder der eine, noch der andere temp-Nutzer am Server eingruppiert ist? Wenn ja, müsste ich das mal nachstellen.
soundinle
soundinle 22.01.2014 um 14:31:40 Uhr
Goto Top
Ja, das habe ich gerade nachgeschaut: Keine Gruppierung der User auf dem "Server". Ich finde es toll, dass du das nachstellen willst. Nur vielleicht kommst du dann auch zu meinem ersten Ergebnis (dass man das Anmeldefenster immer sieht). So war es anfangs bei mir ja auch. Irgendwas hat sich bei mir vielleicht ungewollt verändert. Es interessiert mich zwar unglaublich, was, aber ich komme einfach nicht drauf. Ich habe nicht in den GPOs herumgespielt oder so. Plötzlich ein total anderes Verhalten. Oh du bunte Computerwelt face-smile
soundinle
soundinle 25.01.2014 um 03:12:34 Uhr
Goto Top
Sooo, die ganze Sache war jetzt komplexer als gedacht, denn es spielen hier viele Sachen mit rein. Ich möchte meine Ergebnisse hier veröffentlichen, denn vielleicht helfen sie ja mal iiiiiiiirgendwann jemand anderem auch face-smile

Um das gewünschte Eingabefenster zu erhalten, muss man am Client die UAC deaktivieren (komischerweise). Denn nur dann fragt Windows nach, mit welchem User man die Änderung des Besitzers vornehmen möchte. Bei aktivierter UAC wird hier einfach der gerade angemeldete User genommen, was, bei entsprechender Rechteverteilung, zu Fehlermeldungen führen kann.

Auf dem Server muss man den Besitzer bei aktivierter UAC auf dem Server immer über den User "Administrator" ändern, da serverseitig anders berechtigte User wohl nicht die selben Rechte haben (UAC eben). Schaltet man auf dem Server die UAC aus, können nur die User den Besitzer ändern, die in der GPO "Wiederherstellen von Dateien und Verzeichnissen" stehen (da steht standardmäßig nur der User "Administrator" drinnen). Dann können Änderungen der Besitzer vorgenommen werden.

Bei serverseitig aktivierter UAC und einer Anmeldung eines Clients am Server auf einer Freigabe ("Benutzername und Passwort"), bei der der angemeldete User Vollzugriff hat, kann dieser angemeldete User die Besitzrechte so ändern, dass er selbst Besitzer wird, aber nicht so, dass er andere zum Besitzer machen kann (dazu müsste er den Login vom User "Administrator" nutzen bzw. in der Wiederherstellungs-GPO stehen, s.o.). Das wären meine Ergebnisse - es spielt hier wohl sehr viel rein.

@DerWoWusste: Bin jetzt in der Rechtevergabe nach deinem Vorschlag vorgegangen. Die Gruppe "Netzzugriff" hat keinen Vollzugriff auf eine Freigabe (keine explizite Erlaubnis) und in den Sicherheitseinstellungen kann sie alles, AUßER "Besitz übernehmen", "Berechtigungen ändern" und "Berechtigungen lesen".

Meine aller letzten 2 Fragen zu diesem Thread bezieht sich auf dieses "Berechtigungen lesen":

- User, die Besitzer eines Ordners sind, können diesen samt Inhalt ohne Probleme vom Server kopieren. Bei "Nicht-Besitzern" kommt jedoch bei gerade erläuterter "Gesetzgebung" eine Fehlermeldung beim Kopieren: "Sie benötigen Berechtigungen zur Durchführung des Vorgangs". Brauchen User denn das Recht (außer sie sind Besitzer), ihre Rechte zu lesen, um kopieren zu können?

- Besitzer können trotzdem noch "Berechtigungen lesen", obwohl verboten. Kann man auch dieses Recht noch beschneiden? Über die Freigabeeinstellungen ja wohl eher nicht, denn sonst dürfen ja alle gar nix mehr ... oder gibt es einen Weg?
DerWoWusste
Lösung DerWoWusste 27.01.2014, aktualisiert am 28.01.2014 um 14:25:01 Uhr
Goto Top
Bei "Nicht-Besitzern" kommt jedoch bei gerade erläuterter "Gesetzgebung" eine Fehlermeldung beim Kopieren
Zum Kopieren braucht man nur Leserechte. Zum Verschieben (=Kopieren und Löschen der Quelle) natürlich auch Schreib-/Löschrechte.
Besitzer können trotzdem noch "Berechtigungen lesen", obwohl verboten.
Da hast Du wohl Recht.
soundinle
soundinle 28.01.2014 um 14:23:18 Uhr
Goto Top
Okay, und offenbar braucht man zum Kopieren auch das Recht "Berechtigungen lesen" in den Sicherheitseinstellungen. Sonst geht das Kopieren auch nicht, obwohl das Erstellen eines Ordners z.B. trotz VERBOT von "Berechtigungen lesen" geht. Das wird eben irgendeine Windows-Eigenart sein face-smile

Dass der Besitzer jetzt Berechtigungen lesen kann ist nicht weiter tragisch. Zumindest ist er jetzt in den anderen Punkten "beschnitten", und die anderen User können jetzt auch die Berechtigungen lesen (sonst können sie nicht kopieren, s.o.). Sieg für uns face-smile

Danke vielmals für eure Geduld und das Mithelfen face-smile