m.fessler
Goto Top

Können Freigabeberechtigungen NTFS Berechtigungen erweitern bzw. überstimmen?

Schönen Guten Tag,

bis eben war ich der Meinung, dass es nicht so unüblich sei, die Freigabeberechtigungen einfach auf Jeder/Vollzugriff zu setzen, wenn ohnehin mit NTFS Berechtigungen gearbeitet wird.
Nun bin ich über einen Blog gestolpert wo jemand behauptet, dass die Freigaberechte kumulativ seien und sich somit ein Benutzer sich selbst den Besitz auf Dateien bzw. Ordnern geben könne.

Das stimmt doch nicht - oder?
Ich meine die Freigabeberechtigungen können Rechte einschränken aber nicht erweitern.

Was jedoch bei einem Test funktionierte und mich auch überraschte:
Ist der Benutzer bereits Besitzer der Datei, kann er (mit Freigaberecht Jeder/Vollzugriff) Berechtigungen hinzufügen oder gar die Vererbung deaktivieren und so dann andere "aussperren".
Das alleine ist Grund genug, dass ich in Zukunft wohl nicht mehr blind "Jeder/Voll" setzen werde.

Apropos... beim Testen zwischen zwei Win10 Systemen habe ich es auf dem "Client" nicht geschafft die Benutzer des "Servers" in den Sicherheitseinstellungen/Prinzipal auswählen aufzulisten.
Fehlermeldung mit dem Benutzerkonto und Anmeldeinformation vom "Admin": "Mehrfache Verbindungen..." Klar kein Server OS.
Mit demselben Benutzerkonto wie auf dem "Server": "Es stimmen keine Elemente mit den Suchkriterien überein."
Hat jemand eine Idee woran das liegen könnte?

Danke schon mal für jede Rückmeldung!
Grüße Martin

Content-ID: 8134564623

Url: https://administrator.de/contentid/8134564623

Ausgedruckt am: 13.11.2024 um 00:11 Uhr

MysticFoxDE
MysticFoxDE 14.08.2023 aktualisiert um 07:59:03 Uhr
Goto Top
Moin @m.fessler,

bis eben war ich der Meinung, dass es nicht so unüblich sei, die Freigabeberechtigungen einfach auf Jeder/Vollzugriff zu setzen, wenn ohnehin mit NTFS Berechtigungen gearbeitet wird.
Nun bin ich über einen Blog gestolpert wo jemand behauptet, dass die Freigaberechte kumulativ seien und sich somit ein Benutzer sich selbst den Besitz auf Dateien bzw. Ordnern geben könne.

Das stimmt doch nicht - oder?

nein, das Stimmt überhaupt nicht!
Freigabeberechtigungen können Zugriffe zwar weiter einschränken, aber niemals die per NTFS vergebenen Rechte übergehen/erweitern.

Sprich, wenn ein Benutzer per NTFS keinen Zugriff auf die entsprechenden Daten hat, dann wird er auf diese auch nicht zugreifen können, selbst wenn diesem in der Freigabe voller Zugriff (Lesen/Schreiben) gewährt wurde.

Apropos... beim Testen zwischen zwei Win10 Systemen habe ich es auf dem "Client" nicht geschafft die Benutzer des "Servers" in den Sicherheitseinstellungen/Prinzipal auswählen aufzulisten.

Ähm, du kannst auf einem Windows Client und oder auch einem Windows Server nicht die lokalen Benutzer eines anderen Clients oder Servers verwenden. Wenn du ohne Tricks auf Server und Client dieselben Benutzer verwenden möchtest, dann benötigst du eine zentrale Benutzerverwaltung alla Active-Directory.

Gruss Alex
DerWoWusste
DerWoWusste 14.08.2023 um 08:58:37 Uhr
Goto Top
Ist der Benutzer bereits Besitzer der Datei, kann er (mit Freigaberecht Jeder/Vollzugriff) Berechtigungen hinzufügen oder gar die Vererbung deaktivieren und so dann andere "aussperren".
Das alleine ist Grund genug, dass ich in Zukunft wohl nicht mehr blind "Jeder/Voll" setzen werde.
Und genau so ist es.Das ist die Ausnahme der Regel, aber sie ist so wichtig, dass man in den Freigaberechten nie allen Vollzugriff geben darf, sondern eben nur ändern.
MysticFoxDE
MysticFoxDE 14.08.2023 um 09:09:07 Uhr
Goto Top
Moin @DerWoWusste:

Ist der Benutzer bereits Besitzer der Datei, kann er (mit Freigaberecht Jeder/Vollzugriff) Berechtigungen hinzufügen oder gar die Vererbung deaktivieren und so dann andere "aussperren".
Das alleine ist Grund genug, dass ich in Zukunft wohl nicht mehr blind "Jeder/Voll" setzen werde.

Und genau so ist es.Das ist die Ausnahme der Regel, aber sie ist so wichtig, dass man in den Freigaberechten nie allen Vollzugriff geben darf, sondern eben nur ändern.

ähm, nein das ist keine Ausnahme in der Regel sondern ein Fehler seitens der NTFS Berechtigung. 😉

Gruss Alex
DerWoWusste
DerWoWusste 21.08.2023 um 12:05:41 Uhr
Goto Top
Hallo Alex.

Mir ist dieses Problem, was der Autor anspricht, seit vielen Jahren bekannt. Es existiert und ist kein Fehler der NTFS-Berechtigung.

Leg einen Ordner an, erteile der Gruppe "Jeder" Vollzugriff in den Freigabeberechtigungen.
In den NTFS-Berechtigungen, lass Admins drin und pack einen Testnutzer rein mit Ändern-Zugriff.

Erwartetes Verhalten: der Testnutzer hat Ändern-Rechte auf allen Dateien unterhalb dieser Freigabe.
Beobachtetes Verhalten: auf vom Testnutzer selbst angelegten Dateien, wo der Testnutzer logischerweise Besitzer ist, hat er Vollzugriff. Das träte nicht auf, wenn man als Freigaberecht nur jeder:ändern vergeben hätte.

Ergo: da wir Admins nicht wollen, dass Nutzer auf Ihren Dateien Rechte vergeben dürfen, müssen wir auf den Freigaberechten bereits jeder:ändern vergeben.
MysticFoxDE
MysticFoxDE 21.08.2023 aktualisiert um 16:47:17 Uhr
Goto Top
Moin @DerWoWusste,

Leg einen Ordner an, erteile der Gruppe "Jeder" Vollzugriff in den Freigabeberechtigungen.
In den NTFS-Berechtigungen, lass Admins drin und pack einen Testnutzer rein mit Ändern-Zugriff.

Erwartetes Verhalten: der Testnutzer hat Ändern-Rechte auf allen Dateien unterhalb dieser Freigabe.
Beobachtetes Verhalten: auf vom Testnutzer selbst angelegten Dateien, wo der Testnutzer logischerweise Besitzer ist, hat er Vollzugriff. Das träte nicht auf, wenn man als Freigaberecht nur jeder:ändern vergeben hätte.

das kommt daher, weil der "ERSTELLER-BESITZER" per Default in NTFS Vollzugriff hat.

ersteller-besitzer2

Wenn du den rausschmeisst, dann kommt es nicht mehr zu dem von dir beschriebenem Verhalten.

Gruss Alex
DerWoWusste
DerWoWusste 21.08.2023 aktualisiert um 16:51:09 Uhr
Goto Top
Nein, bei mir ist Ersteller/Besitzer in der ACL des freigegebenen Ordners gar nicht vertreten.
Nimm den doch mal raus und teste es.
7907292512
7907292512 21.08.2023 aktualisiert um 17:02:19 Uhr
Goto Top
Quote from @DerWoWusste:

Nein, bei mir ist Ersteller/Besitzer in der ACL des freigegebenen Ordners gar nicht vertreten.
Nimm den doch mal raus und teste es.

Jepp das ist auch korrekt so, der Owner hat per Default das Recht Permissions zu ändern wenn nicht durch die Freigabe auf "Ändern" eingeschränkt wurde, auch ohne explizite ACL
https://learn.microsoft.com/en-us/windows/security/threat-protection/sec ...

Every object has an owner, whether the object resides in an NTFS volume or Active Directory database. The owner controls how permissions are set on the object and to whom permissions are granted.
By default, the owner is the person who or the process that created the object. Owners can always change permissions to objects, even when they're denied all access to the object.
MysticFoxDE
MysticFoxDE 21.08.2023 aktualisiert um 18:14:33 Uhr
Goto Top
Moin @DerWoWusste,

Nein, bei mir ist Ersteller/Besitzer in der ACL des freigegebenen Ordners gar nicht vertreten.
Nimm den doch mal raus und teste es.

😯 ... du hast absolut recht!
Mein Testuser kann die Berechtigung über eine Freigabe mit jeder/vollzugriff sogar ändern, obwohl ich dies per ACL explizit untersagt habe.

freigabe-berechtigung2
😱 ... 😭

Das muss ich jetzt erstmal richtig verdauen.

Gruss Alex