Zum Inhalt wechseln


Foto

Ersteller hat nur Rechte auf Ordner


  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 porki

porki

    Junior Member

  • 127 Beiträge

 

Geschrieben 03. August 2017 - 16:52

Hallo,

akutell ist es in unserer Active Directory Umgebung so, dass wenn ein normaler User einen Ordner oder Datei in einem freigegebenen Ordner auf einem fileserver erstellt, dass nur er diesen Ordner löschen kann und teilweise nur er in den Ordner lesen kann.

Selbst als Domänenadmin, kann ich den Ordner dann nicht löschen, nur wenn ich mich als Besitzer eintrage und mich danach erst als hinzufüge mit mindestens Schreibrechten.

Was läuft da aktuell schief? Irgendwas stimmt doch nicht mit der Vererbung der Rechte oder?

 


mfg porki :cool:

#2 NorbertFe

NorbertFe

    Expert Member

  • 30.921 Beiträge

 

Geschrieben 03. August 2017 - 17:32

Nimm Ersteller/Besitzer aus dem oberordner raus.

Make something i***-proof and they will build a better i***.


#3 Nimral

Nimral

    Newbie

  • 62 Beiträge

 

Geschrieben 04. August 2017 - 07:31

Hallo,

akutell ist es in unserer Active Directory Umgebung so, dass wenn ein normaler User einen Ordner oder Datei in einem freigegebenen Ordner auf einem fileserver erstellt, dass nur er diesen Ordner löschen kann und teilweise nur er in den Ordner lesen kann.

Selbst als Domänenadmin, kann ich den Ordner dann nicht löschen, nur wenn ich mich als Besitzer eintrage und mich danach erst als hinzufüge mit mindestens Schreibrechten.

Was läuft da aktuell schief? Irgendwas stimmt doch nicht mit der Vererbung der Rechte oder?

 

Dieses Verhalten ist Standard bei Windows/NTFS, und kein Bug, und es ist so seit ich denken kann.

 

- Das ist nicht Active Directory mit dem Du kämpfst, das sind NTFS Berechtigungen.

 

- Admins haben - spitzfindig gesehen - auf NTFS Datenbestände rein technisch nicht mehr Rechte als User. Wenn nicht mindestens Leserecht vorliegt, kein Zugriff, basta. Wenn das Recht, Rechte zu vergeben (enthalten im Rechtesatz "Vollzugriff"), nicht vorliegt, auch für den Admin erst mal keine Möglichkeit, sich Rechte zu geben, Basta.

Das einzige Recht, das den Admin auf NTFS wirklich mächtig macht ist, dass der Admin sich zum Besitzer von irgendwas machen dar, denn der Besitzer hat immer und unveränderbar das Recht, Rechte zu vergeben auf alles was er besitzt.

Deswegen darf auch ein Admin Ordner und Dateien, auf denen er (oder die Gruppe Administratoren) formal keine Rechte hat, erst mal nicht anfassen. Er kann aber sein Recht "Besitz übernehmen" nützen, und sich zum Besitzer dieser Datenbestände machen, wonach er sich und anderen beliebige Rechte zuordnen kann.

Administretoren erben den Großteil ihrer Zugriffsrechte, weil auf den meisten Ordnern, die man zwecks Datenspeicherung anlegt, das Recht Administratoren-Vollzugriff drauf ist, und später abgelegte Daten und Ordner erben das dann.

Fehlt dieses Recht, wird den Administratoren erst einmal der Zugriff verweigert. Deises Verhalten tritt auf, wenn jemand die Gruppe "Administratoren" aus den Rechten des Vorgängerverzeichnisses entfernt, oder wenn dieses Recht - wie im Fall von Benutzer-Verzeichnissen - per Default nicht drauf ist. Heißt konkret: wer einen Datenbestand (den Basis-Ordner) anlegt, muss sich Gedanken darüber machen, ob er den Administratoren freien Zugang gewährt, oder ob er ihnen Prügel in die Beine wirft.

 

- Backup hat übrigens das Recht, beliebige Dateien unabhängig vom Rechte-Satz zu lesen und zu schreiben, weshalb Du das Backup-Tool nicht berechtigen musst, auf alle Daten zugreifen zu dürfen.

 

- Ich schätze konkret, Du hast Dich bisher mit NTFS Rechten und deren Vererbung sowie den Spezial-Accounts "Jeder" und "Ersteller/Besitzer" nicht groß beschäftigt. Ich empfehle dringend, das nachzuholen, bevor Du versuchst, die Rechtesätze von Datenbeständen mit Unterordnern zu korrigieren. Ein falscher Mausklick, und Du ruinierst eine über Jahre aufgebaute Rechtestruktur, und ein "Rückgängig" gibts nicht.

 

- Wie Norbert schon schrieb, findest Du die Lösung auf dem Vorgängerordner, da neue Ordner beim Anlegen die Rechte von eben diesem übernehmen.

 

Armin


Bearbeitet von Nimral, 04. August 2017 - 07:37.


#4 NorbertFe

NorbertFe

    Expert Member

  • 30.921 Beiträge

 

Geschrieben 04. August 2017 - 07:40

und Du ruinierst eine über Jahre aufgebaute Rechtestruktur, und ein "Rückgängig" gibts nicht.


Naja, meist würde ich das nicht "aufgebaute Rechtestruktur" nennen, sondern aufgestauten Rechtekladeratsch. ;)
  • Sunny61 gefällt das

Make something i***-proof and they will build a better i***.


#5 testperson

testperson

    Board Veteran

  • 4.644 Beiträge

 

Geschrieben 04. August 2017 - 07:50

Naja, meist würde ich das nicht "aufgebaute Rechtestruktur" nennen, sondern aufgestauten Rechtekladeratsch. ;)

 

"Gewachsen Strukturen" ;)


Good morning, that's a nice TNETENNBA!

#6 NorbertFe

NorbertFe

    Expert Member

  • 30.921 Beiträge

 

Geschrieben 04. August 2017 - 08:31

historisch bedingte... :D

Make something i***-proof and they will build a better i***.


#7 Nimral

Nimral

    Newbie

  • 62 Beiträge

 

Geschrieben 04. August 2017 - 10:01

"Hysterisch bedingte" waren ab und zu auch dabei :-)

 

Ich wollte erreichen, dass der OP dreimal nachdenkt, bevor die Häkchen bei "Rechte auch in Unterverzeichnisse ersetzen" setzt, und OK klickt.

 

Armin.


Bearbeitet von Nimral, 04. August 2017 - 10:07.


#8 NilsK

NilsK

    Expert Member

  • 12.458 Beiträge

 

Geschrieben 04. August 2017 - 12:26

Moin,

 

- Backup hat übrigens das Recht, beliebige Dateien unabhängig vom Rechte-Satz zu lesen und zu schreiben, weshalb Du das Backup-Tool nicht berechtigen musst, auf alle Daten zugreifen zu dürfen.

 

ich konkretisiere mal: Es gibt ein Recht (besser: Privileg), das für Backupsoftware gedacht ist, mit dem man sich über die Berechtigungen hinwegsetzen kann. Dieses Recht muss man a) haben und B) aktivieren bzw. nutzen, es muss also in der Software angefordert werden. Von selbst passiert das nicht. Und leider gibt es nicht nur Admins, die das nicht wissen, sondern auch Hersteller von Backupsoftware verfügen erschreckend oft nicht über dieses Wissen.

 

Genau genommen sind es sogar zwei Privilegien: SeBackupPrivilege und SeRestorePrivilege.

https://technet.micr...y/cc976700.aspx

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 Nimral

Nimral

    Newbie

  • 62 Beiträge

 

Geschrieben 04. August 2017 - 14:16

@Nils, genauso ist es,

 

und wer nun völlig verwirrt ist, kann folgendes Spielchen machen:

 

- er erstellt ein Benutzerkonto, sagen wir mal "BackupUser" und gibt diesem - neben anderen Rechten welche die Software benötigt um als Dienst zu laufen - das Recht, Backups zu ziehen und wiederherzustellen.

 

- dann schnappt er sich irgendein (gutes) Backup-Tool, und lässt es per Scheduler unter diesem Account ein Backup ziehen. Erkenntnis: es werden auch Dateien gesichert, bei denen BackupUser keinerlei Lese-Berechtigung hat, weder auf die Datei, noch das Verzeichnis.

 

- dann löscht er die Originaldaten, und benützt das Backup Tool mit dem selben Account, um eine Rücksicherung zu machen. Erkenntnis: es werden auch Dateien wiederhergestellt, wo BackupUser weder auf die Datei, noch das Verzeichnis Schreibrechte hatte. Auch alle Berechtigungen, und die Ersteller/Besitzer ID werden wiederhergestellt.

 

- dann meldet sich unser Tester mit dem Account BackupUser interaktiv an (würde wenn der Windows Security wirklich beherrscht erst mal feststellen, dass das nicht mal geht, weil sich ein richtig gemachter Service-Account nicht interaktiv anmelden darf), aber er gibt dem BackupUser sagen wir Mal User-Rechte (das was ein Account per Default sowieso bekommt, wenn man ihn anlegt ohne sich um die Details zu kümmern), dann geht die Anmeldung, und er versucht, die Dateien über die Windows Oberfläche einzusehen. Ergebnis: Zugriff verweigert. Und das selbst bei Dateien, die BackupUser gerade vorher mittels Restore selbst wiederhergestellt hat.

 

Sinn der ganzen Aufwandes: Dienstkonten mit Administratorberechtigung waren früher mal gerne genutzte Angriffsvehikel bei Angriffen von innen, weil man mit ihnen ja alle Dateien abklappern konnte. Es ist in Windows möglich, Service-Accounts für Backup-Zwecke zu machen, die alle Dateien über ein Backup Tool sichern und rücksichern können, obwohl sie weder Mitglied der Administratoren-Gruppe sind, noch Lese- oder Schreibrechte auf die Dateien haben. Ein Techniker oder Klein-Admin, der für das Backup verantwortlich ist, kann durch Kenntnis des Passworts für diesen Account erst mal keine Streifzüge durch die IT Landschaft machen.

 

Ich hatte das erwähnt um dem OP von vornherein den vorhersehbaren Fehlweg zu ersparen, dass er dem Backup zumindest Leserecht für alle Dateien geben möchte. Der OP ist meiner Meinung nach gerade da, wo wir älteren Hasen vor 20 Jahren auch mal waren, er muss nicht unbedingt unsere Lernkurve in den Niederungen der NTFS Berechtigungsvergabe nachfahren, und dabei seine User von ihren Daten trennen. Was uns vermutlich jedem einmal passiert ist - genau ein Mal :-)

 

Armin.


  • mwiederkehr gefällt das

#10 NilsK

NilsK

    Expert Member

  • 12.458 Beiträge

 

Geschrieben 05. August 2017 - 10:22

Moin,

Ja, korrekt. Robocopy kann das auch, Schalter B.

Gruß, Nils

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#11 NorbertFe

NorbertFe

    Expert Member

  • 30.921 Beiträge

 

Geschrieben 05. August 2017 - 10:33

Naja wenn ich nen service account habe der die Daten sichern kann, dann ist es auch nicht schwer Zugriff auf diese Daten zu bekommen. Und dann streifzüge ich eben durch das datenvolumen, was ich ja sichern muss. Da hilft nur Verschlüsselung der zu sichernden Daten. Also das Szenario hinkt etwas, oder ich Habs nicht verstanden.

Make something i***-proof and they will build a better i***.