Besitzer - Phänomen bei NTFS
Hallo,
Wenn ich auf einem Windows-Share, welches mit NTFS formatiert und mit entsprechenden Berechtigungen versehen ist, eine Datei oder einen Order anlege, dann bin ich der Besitzer. Soweit - sogut.
Wenn ich jetzt auf mein Share shaue und den Besitzer anzeigen lasse, dann ist in den meisten Fällen die (wahrscheinlich dort lokale) Gruppe "Administratoren" der Besitzer für meine Dateien bzw. Ordner. Auch OK, da ich ja in der Gruppe der Domänen-Admins und damit dem Member automatisch in der lokalen Gruppe der Administratoren drin bin. Vielleicht eine Windows-Eigenheit. Aber warum bin nicht ICH der Besitzer? Bei manchen Dateien und Ordnern scheint es wohl so zu sein. Welche Vorraussetzungen müssen gegeben sein, dass ICH der Besitzer meiner Dateien bin? Meine primäre Gruppe in der Domäne ist Domänen-Benutzer. Das Phänomen scheint es nur bei Nutzern zu geben, die Admins sind, denn einen Besitzer der "Benutzer" heißt, gibt es nicht.
In diesem Atemzug gleich noch eine Frage: Wenn ich ein Verzeichnis auf einem Share für Admins berechtigen will, nehme ich dann die lokale Gruppe "Administratoren" oder die globale Gruppe "Domänen-Admins", das gleiche gilt für "Benutzer" und "Domänen-Benutzer". Am Ende ist es sicherlich das gleiche, aber was ist die Empfehlung?
Wer kann mich behelligen?
Shiva.
Wenn ich auf einem Windows-Share, welches mit NTFS formatiert und mit entsprechenden Berechtigungen versehen ist, eine Datei oder einen Order anlege, dann bin ich der Besitzer. Soweit - sogut.
Wenn ich jetzt auf mein Share shaue und den Besitzer anzeigen lasse, dann ist in den meisten Fällen die (wahrscheinlich dort lokale) Gruppe "Administratoren" der Besitzer für meine Dateien bzw. Ordner. Auch OK, da ich ja in der Gruppe der Domänen-Admins und damit dem Member automatisch in der lokalen Gruppe der Administratoren drin bin. Vielleicht eine Windows-Eigenheit. Aber warum bin nicht ICH der Besitzer? Bei manchen Dateien und Ordnern scheint es wohl so zu sein. Welche Vorraussetzungen müssen gegeben sein, dass ICH der Besitzer meiner Dateien bin? Meine primäre Gruppe in der Domäne ist Domänen-Benutzer. Das Phänomen scheint es nur bei Nutzern zu geben, die Admins sind, denn einen Besitzer der "Benutzer" heißt, gibt es nicht.
In diesem Atemzug gleich noch eine Frage: Wenn ich ein Verzeichnis auf einem Share für Admins berechtigen will, nehme ich dann die lokale Gruppe "Administratoren" oder die globale Gruppe "Domänen-Admins", das gleiche gilt für "Benutzer" und "Domänen-Benutzer". Am Ende ist es sicherlich das gleiche, aber was ist die Empfehlung?
Wer kann mich behelligen?
Shiva.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 165040
Url: https://administrator.de/contentid/165040
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo @Shiva99,
zuerst zu deiner 2. Frage: Nimm am besten immer die Domänen-Gruppen anstelle der lokalen. Die lassen sich einfach administrieren und der Netzwerkaufbau ist dann auch konsistenter, leichter zu verstehen.
Was dein erstes Problem angeht:
Auf lokalen Speicherorten ist es klar, dass du als Besitzer drinstehst. Auf Shares (so nehme ich an) wird die Gruppe als Besitzer eingetragen, welche am ehesten den Rechten des erstellenden Users gleicht. Wieso hier die lokale Gruppe "Administratoren" und nicht "Domänen-Administratoren" verwendet wird, ist mir allerdings schleierhaft.
Frohe Ostern + Feierabend
Gruß
Snow
zuerst zu deiner 2. Frage: Nimm am besten immer die Domänen-Gruppen anstelle der lokalen. Die lassen sich einfach administrieren und der Netzwerkaufbau ist dann auch konsistenter, leichter zu verstehen.
Was dein erstes Problem angeht:
Auf lokalen Speicherorten ist es klar, dass du als Besitzer drinstehst. Auf Shares (so nehme ich an) wird die Gruppe als Besitzer eingetragen, welche am ehesten den Rechten des erstellenden Users gleicht. Wieso hier die lokale Gruppe "Administratoren" und nicht "Domänen-Administratoren" verwendet wird, ist mir allerdings schleierhaft.
Frohe Ostern + Feierabend
Gruß
Snow
@snow
In diesem Sinne auch für Frage 2: Lokale Gruppe "Administratoren" verwenden, da "Domänen-Admins" als Mitglied der lokalen Gruppe ohnehin deren Rechte erben ...
Grüße
bastla
Wieso hier die lokale Gruppe "Administratoren" und nicht "Domänen-Administratoren" verwendet wird, ist mir allerdings schleierhaft.
AGDLP?In diesem Sinne auch für Frage 2: Lokale Gruppe "Administratoren" verwenden, da "Domänen-Admins" als Mitglied der lokalen Gruppe ohnehin deren Rechte erben ...
Grüße
bastla
Dieser Thread ist zwar schon ne Weile alt, aber die Lösung ist: By-design Windows.
Es gibt eine Sicherheitsrichtlinie, die das regelt.
Unter
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinie\Sicherheitsoptionen
gibts die Option
"Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden"
Da kann man eintragen, ob das die Administrtorengruppe wird (Standard) oder der jeweile Objektersteller.
Es gibt eine Sicherheitsrichtlinie, die das regelt.
Unter
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinie\Sicherheitsoptionen
gibts die Option
"Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden"
Da kann man eintragen, ob das die Administrtorengruppe wird (Standard) oder der jeweile Objektersteller.