8
Können Freigabeberechtigungen NTFS Berechtigungen erweitern bzw. überstimmen?
Schönen Guten Tag,
bis eben war ich der Meinung, dass es nicht so unüblich sei, die Freigabeberechtigungen einfach auf Jeder/Vollzugriff zu setzen, wenn ohnehin mit NTFS Berechtigungen gearbeitet wird.
Nun bin ich über einen Blog gestolpert wo jemand behauptet, dass die Freigaberechte kumulativ seien und sich somit ein Benutzer sich selbst den Besitz auf Dateien bzw. Ordnern geben könne.
Das stimmt doch nicht - oder?
Ich meine die Freigabeberechtigungen können Rechte einschränken aber nicht erweitern.
Was jedoch bei einem Test funktionierte und mich auch überraschte:
Ist der Benutzer bereits Besitzer der Datei, kann er (mit Freigaberecht Jeder/Vollzugriff) Berechtigungen hinzufügen oder gar die Vererbung deaktivieren und so dann andere "aussperren".
Das alleine ist Grund genug, dass ich in Zukunft wohl nicht mehr blind "Jeder/Voll" setzen werde.
Apropos... beim Testen zwischen zwei Win10 Systemen habe ich es auf dem "Client" nicht geschafft die Benutzer des "Servers" in den Sicherheitseinstellungen/Prinzipal auswählen aufzulisten.
Fehlermeldung mit dem Benutzerkonto und Anmeldeinformation vom "Admin": "Mehrfache Verbindungen..." Klar kein Server OS.
Mit demselben Benutzerkonto wie auf dem "Server": "Es stimmen keine Elemente mit den Suchkriterien überein."
Hat jemand eine Idee woran das liegen könnte?
Danke schon mal für jede Rückmeldung!
Grüße Martin
bis eben war ich der Meinung, dass es nicht so unüblich sei, die Freigabeberechtigungen einfach auf Jeder/Vollzugriff zu setzen, wenn ohnehin mit NTFS Berechtigungen gearbeitet wird.
Nun bin ich über einen Blog gestolpert wo jemand behauptet, dass die Freigaberechte kumulativ seien und sich somit ein Benutzer sich selbst den Besitz auf Dateien bzw. Ordnern geben könne.
Das stimmt doch nicht - oder?
Ich meine die Freigabeberechtigungen können Rechte einschränken aber nicht erweitern.
Was jedoch bei einem Test funktionierte und mich auch überraschte:
Ist der Benutzer bereits Besitzer der Datei, kann er (mit Freigaberecht Jeder/Vollzugriff) Berechtigungen hinzufügen oder gar die Vererbung deaktivieren und so dann andere "aussperren".
Das alleine ist Grund genug, dass ich in Zukunft wohl nicht mehr blind "Jeder/Voll" setzen werde.
Apropos... beim Testen zwischen zwei Win10 Systemen habe ich es auf dem "Client" nicht geschafft die Benutzer des "Servers" in den Sicherheitseinstellungen/Prinzipal auswählen aufzulisten.
Fehlermeldung mit dem Benutzerkonto und Anmeldeinformation vom "Admin": "Mehrfache Verbindungen..." Klar kein Server OS.
Mit demselben Benutzerkonto wie auf dem "Server": "Es stimmen keine Elemente mit den Suchkriterien überein."
Hat jemand eine Idee woran das liegen könnte?
Danke schon mal für jede Rückmeldung!
Grüße Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8134564623
Url: https://administrator.de/contentid/8134564623
Printed on: April 28, 2024 at 14:04 o'clock
8 Comments
Latest comment
Moin @m.fessler,
nein, das Stimmt überhaupt nicht!
Freigabeberechtigungen können Zugriffe zwar weiter einschränken, aber niemals die per NTFS vergebenen Rechte übergehen/erweitern.
Sprich, wenn ein Benutzer per NTFS keinen Zugriff auf die entsprechenden Daten hat, dann wird er auf diese auch nicht zugreifen können, selbst wenn diesem in der Freigabe voller Zugriff (Lesen/Schreiben) gewährt wurde.
Ähm, du kannst auf einem Windows Client und oder auch einem Windows Server nicht die lokalen Benutzer eines anderen Clients oder Servers verwenden. Wenn du ohne Tricks auf Server und Client dieselben Benutzer verwenden möchtest, dann benötigst du eine zentrale Benutzerverwaltung alla Active-Directory.
Gruss Alex
bis eben war ich der Meinung, dass es nicht so unüblich sei, die Freigabeberechtigungen einfach auf Jeder/Vollzugriff zu setzen, wenn ohnehin mit NTFS Berechtigungen gearbeitet wird.
Nun bin ich über einen Blog gestolpert wo jemand behauptet, dass die Freigaberechte kumulativ seien und sich somit ein Benutzer sich selbst den Besitz auf Dateien bzw. Ordnern geben könne.
Das stimmt doch nicht - oder?
Nun bin ich über einen Blog gestolpert wo jemand behauptet, dass die Freigaberechte kumulativ seien und sich somit ein Benutzer sich selbst den Besitz auf Dateien bzw. Ordnern geben könne.
Das stimmt doch nicht - oder?
nein, das Stimmt überhaupt nicht!
Freigabeberechtigungen können Zugriffe zwar weiter einschränken, aber niemals die per NTFS vergebenen Rechte übergehen/erweitern.
Sprich, wenn ein Benutzer per NTFS keinen Zugriff auf die entsprechenden Daten hat, dann wird er auf diese auch nicht zugreifen können, selbst wenn diesem in der Freigabe voller Zugriff (Lesen/Schreiben) gewährt wurde.
Apropos... beim Testen zwischen zwei Win10 Systemen habe ich es auf dem "Client" nicht geschafft die Benutzer des "Servers" in den Sicherheitseinstellungen/Prinzipal auswählen aufzulisten.
Ähm, du kannst auf einem Windows Client und oder auch einem Windows Server nicht die lokalen Benutzer eines anderen Clients oder Servers verwenden. Wenn du ohne Tricks auf Server und Client dieselben Benutzer verwenden möchtest, dann benötigst du eine zentrale Benutzerverwaltung alla Active-Directory.
Gruss Alex
Ist der Benutzer bereits Besitzer der Datei, kann er (mit Freigaberecht Jeder/Vollzugriff) Berechtigungen hinzufügen oder gar die Vererbung deaktivieren und so dann andere "aussperren".
Das alleine ist Grund genug, dass ich in Zukunft wohl nicht mehr blind "Jeder/Voll" setzen werde.
Und genau so ist es.Das ist die Ausnahme der Regel, aber sie ist so wichtig, dass man in den Freigaberechten nie allen Vollzugriff geben darf, sondern eben nur ändern.Das alleine ist Grund genug, dass ich in Zukunft wohl nicht mehr blind "Jeder/Voll" setzen werde.
Moin @DerWoWusste:
ähm, nein das ist keine Ausnahme in der Regel sondern ein Fehler seitens der NTFS Berechtigung. 😉
Gruss Alex
Ist der Benutzer bereits Besitzer der Datei, kann er (mit Freigaberecht Jeder/Vollzugriff) Berechtigungen hinzufügen oder gar die Vererbung deaktivieren und so dann andere "aussperren".
Das alleine ist Grund genug, dass ich in Zukunft wohl nicht mehr blind "Jeder/Voll" setzen werde.
Das alleine ist Grund genug, dass ich in Zukunft wohl nicht mehr blind "Jeder/Voll" setzen werde.
Und genau so ist es.Das ist die Ausnahme der Regel, aber sie ist so wichtig, dass man in den Freigaberechten nie allen Vollzugriff geben darf, sondern eben nur ändern.
ähm, nein das ist keine Ausnahme in der Regel sondern ein Fehler seitens der NTFS Berechtigung. 😉
Gruss Alex
Hallo Alex.
Mir ist dieses Problem, was der Autor anspricht, seit vielen Jahren bekannt. Es existiert und ist kein Fehler der NTFS-Berechtigung.
Leg einen Ordner an, erteile der Gruppe "Jeder" Vollzugriff in den Freigabeberechtigungen.
In den NTFS-Berechtigungen, lass Admins drin und pack einen Testnutzer rein mit Ändern-Zugriff.
Erwartetes Verhalten: der Testnutzer hat Ändern-Rechte auf allen Dateien unterhalb dieser Freigabe.
Beobachtetes Verhalten: auf vom Testnutzer selbst angelegten Dateien, wo der Testnutzer logischerweise Besitzer ist, hat er Vollzugriff. Das träte nicht auf, wenn man als Freigaberecht nur jeder:ändern vergeben hätte.
Ergo: da wir Admins nicht wollen, dass Nutzer auf Ihren Dateien Rechte vergeben dürfen, müssen wir auf den Freigaberechten bereits jeder:ändern vergeben.
Mir ist dieses Problem, was der Autor anspricht, seit vielen Jahren bekannt. Es existiert und ist kein Fehler der NTFS-Berechtigung.
Leg einen Ordner an, erteile der Gruppe "Jeder" Vollzugriff in den Freigabeberechtigungen.
In den NTFS-Berechtigungen, lass Admins drin und pack einen Testnutzer rein mit Ändern-Zugriff.
Erwartetes Verhalten: der Testnutzer hat Ändern-Rechte auf allen Dateien unterhalb dieser Freigabe.
Beobachtetes Verhalten: auf vom Testnutzer selbst angelegten Dateien, wo der Testnutzer logischerweise Besitzer ist, hat er Vollzugriff. Das träte nicht auf, wenn man als Freigaberecht nur jeder:ändern vergeben hätte.
Ergo: da wir Admins nicht wollen, dass Nutzer auf Ihren Dateien Rechte vergeben dürfen, müssen wir auf den Freigaberechten bereits jeder:ändern vergeben.
Moin @DerWoWusste,
das kommt daher, weil der "ERSTELLER-BESITZER" per Default in NTFS Vollzugriff hat.
Wenn du den rausschmeisst, dann kommt es nicht mehr zu dem von dir beschriebenem Verhalten.
Gruss Alex
Leg einen Ordner an, erteile der Gruppe "Jeder" Vollzugriff in den Freigabeberechtigungen.
In den NTFS-Berechtigungen, lass Admins drin und pack einen Testnutzer rein mit Ändern-Zugriff.
Erwartetes Verhalten: der Testnutzer hat Ändern-Rechte auf allen Dateien unterhalb dieser Freigabe.
Beobachtetes Verhalten: auf vom Testnutzer selbst angelegten Dateien, wo der Testnutzer logischerweise Besitzer ist, hat er Vollzugriff. Das träte nicht auf, wenn man als Freigaberecht nur jeder:ändern vergeben hätte.
In den NTFS-Berechtigungen, lass Admins drin und pack einen Testnutzer rein mit Ändern-Zugriff.
Erwartetes Verhalten: der Testnutzer hat Ändern-Rechte auf allen Dateien unterhalb dieser Freigabe.
Beobachtetes Verhalten: auf vom Testnutzer selbst angelegten Dateien, wo der Testnutzer logischerweise Besitzer ist, hat er Vollzugriff. Das träte nicht auf, wenn man als Freigaberecht nur jeder:ändern vergeben hätte.
das kommt daher, weil der "ERSTELLER-BESITZER" per Default in NTFS Vollzugriff hat.
Wenn du den rausschmeisst, dann kommt es nicht mehr zu dem von dir beschriebenem Verhalten.
Gruss Alex
Nein, bei mir ist Ersteller/Besitzer in der ACL des freigegebenen Ordners gar nicht vertreten.
Nimm den doch mal raus und teste es.
Nimm den doch mal raus und teste es.
Quote from @DerWoWusste:
Nein, bei mir ist Ersteller/Besitzer in der ACL des freigegebenen Ordners gar nicht vertreten.
Nimm den doch mal raus und teste es.
Nein, bei mir ist Ersteller/Besitzer in der ACL des freigegebenen Ordners gar nicht vertreten.
Nimm den doch mal raus und teste es.
Jepp das ist auch korrekt so, der Owner hat per Default das Recht Permissions zu ändern wenn nicht durch die Freigabe auf "Ändern" eingeschränkt wurde, auch ohne explizite ACL
https://learn.microsoft.com/en-us/windows/security/threat-protection/sec ...
Every object has an owner, whether the object resides in an NTFS volume or Active Directory database. The owner controls how permissions are set on the object and to whom permissions are granted.
By default, the owner is the person who or the process that created the object. Owners can always change permissions to objects, even when they're denied all access to the object.
By default, the owner is the person who or the process that created the object. Owners can always change permissions to objects, even when they're denied all access to the object.
Moin @DerWoWusste,
😯 ... du hast absolut recht!
Mein Testuser kann die Berechtigung über eine Freigabe mit jeder/vollzugriff sogar ändern, obwohl ich dies per ACL explizit untersagt habe.
😱 ... 😭
Das muss ich jetzt erstmal richtig verdauen.
Gruss Alex
Nein, bei mir ist Ersteller/Besitzer in der ACL des freigegebenen Ordners gar nicht vertreten.
Nimm den doch mal raus und teste es.
Nimm den doch mal raus und teste es.
😯 ... du hast absolut recht!
Mein Testuser kann die Berechtigung über eine Freigabe mit jeder/vollzugriff sogar ändern, obwohl ich dies per ACL explizit untersagt habe.
Das muss ich jetzt erstmal richtig verdauen.
Gruss Alex
