Jump to content
Sign in to follow this  
Chewie

Seltsames Berechtigungsverhalten bei Ersteller-Besitzer-Zugriff über Freigabe

Recommended Posts

Folgende Situation:

Es gibt ein Verzeichnis XY in dem die Administratorengruppe Vollzugriff hat.

Dieses ist freigegeben als XY-Freigabe mit folgenden Berechtigungen:

Authentifizierte Benutzer lesen,

Ersteller-Besitzer ändern.

In diesem Verzeichnis XY liegt eine Datei, dessen Besitzer der Administrator ist.

 

Jetzt das Seltsame:

Der Administrator kann diese Datei bei Zugriff über die XY-Freigabe zwar öffnen, aber nicht ändern, obwohl er bezogen auf diese Datei Mitglied der Ersteller-Besitzer-Gruppe sein müßte und somit Änderungsrechte haben müßte, auch das Erzeugen von neuen Dateien ist ihm nicht möglich.

Der Administrator scheint der Gruppe Ersteller-Besitzer nicht zugeordnet zu werden.

 

Laut Microsoft-Buch zur 70.290-Prüfung (2. Auflage S. 683) müßte das funktionieren, tut's aber (bei mir) nicht.

 

Kann es sein, dass die Verwendung der Gruppe Ersteller-Besitzer bei Freigabeberechtigungen gar nicht zugelassen ist? Bei XP lässt sie sich beispielsweise gar nicht in den Freigabeberechtigungen auswählen, bei 2003 aber schon.

 

Viele Grüße

Chewie

Share this post


Link to post
Share on other sites

Falsch verstanden denke ich, das Verhalten ist vollkommen normal ... Er ist erst Ersteller-Besitzer, wenn er die Datei erstellt und dann wird sein Konto zur ACL der erzeugten Datei mit der Berechtigung, die dem "Ersteller-Besitzer" gewährt wurde, zugefügt. Da er aber keine Berechtigung hat, in diesen Ordner zu schreiben (Authentifizierte Benutzer - Lesen), kann er demzufolge auch gar nicht zum Ersteller-Besitzer werden. Würde die Gruppe Authentifizierte Benutzer die spezielle Berechtigung "Dateien erstellen/Daten schreiben" bzw. "Ordner erstellen/Daten anhängen" haben, könnte er zufügen, würde also zum Ersteller-Besitzer werden können. In der Berechtigung der Datei würde dann sein Name mit der Berechtigung Ändern stehen (angewendet durch die Parent-Berechtigung Ersteller-Besitzer - Ändern). Die komplette Berechtigung dieser Datei wäre dann Administrator - Ändern, geerbt und Authentifizierte Benutzer - <Berechtigung wie im Parent>, geerbt). Ob in den Berechtigungen der Datei, speziell beim Erzeugen eines Objektes durch den Administrator, nur der Administrator (also der Objektersteller) steht oder die Gruppe der Administratoren, hängt von der Gruppenrichtlinie "Systemobjekte: Standardbenutzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden" ab. Per Default ist es auf einer XP-Maschine der Objektersteller (also der Administrator) und auf einem Server die Gruppe Administratoren. Ersteller-Besitzer bezeichnet auch keine Gruppe, Ersteller-Gruppe bezieht sich auf eine solche, nämlich auf die primäre Gruppe des Benutzers (per Default Domänen-Benutzer). Ist die Ersteller-Gruppe berechtigt und erzeugt ein User eine Datei in diesem Ordner, wird seine primäre Gruppe berechtigt, also in der Regel die Domänenbenutzer ...

Entscheidend für das Bearbeiten der schon vorhandenen Datei, also die, die vorher schon da war und die Berechtigungen NICHT durch die Anwendung der Berechtigung des Ersteller-Besitzers bekommen hat, ist ihre derzeitige Berechtigung. Ich denke, dass der Administrator nur Lesen-Berechtigung hat. Bei Anlegen eines Ordners verhält sich das Ganze ein wenig anders, da, abhängig von dem Bereich, der für die Ersteller-Besitzer gilt, auch die Ersteller-Besitzer zu der ACL des Ordners zugefügt werden, zusätzlich zum Namen des Benutzers, der erstellt hat und den Authentifizierten Benutzern. Bei Dateien tauchen die Ersteller-Besitzer in der ACL nicht mehr auf (wozu auch, die Datei ist schon erstellt worden und man kann unter ihr nichts mehr erstellen, im Gegensatz zu einem Ordner, wo man weitere Objekte erstellen kann) ...

Share this post


Link to post
Share on other sites

Wer erhält denn überhaupt Berechtigungen über einen Ersteller-Besitzer-Eintrag in der FREIGABE-Berechtigung? Eine Freigabe hat ja keinen Besitzer, höchstens das freigegebene Verzeichnis. Berechtigungen auf Freigabe-Ebene werden ja außerdem auch nicht auf darunterliegende Verzeichnisse oder Dateien vererbt.

 

Heißt das, dass nur der Besitzer des für die Freigabe verwendeten Verzeichnisses als Ersteller-Besitzer im Sinne der FREIGABE-Berechtigung gilt?

 

 

@IThome

Du hast geschrieben:

Entscheidend für das Bearbeiten der schon vorhandenen Datei, also die, die vorher schon da war und die Berechtigungen NICHT durch die Anwendung der Berechtigung des Ersteller-Besitzers bekommen hat, ist ihre derzeitige Berechtigung.

 

Im Technet steht:

Ersteller-Besitzer (S-1-3-0)

Ein Platzhalter in einem vererbbaren Eintrag für die Zugriffssteuerung (Access Control Entry, ACE). Wenn der Eintrag für die Zugriffssteuerung vererbt wird, ersetzt das System diesen Sicherheitsbezeichner durch den Sicherheitsbezeichner des aktuellen Besitzers des Objekts.

 

Meiner Auffassung nach dürfte es dann doch nicht nötig sein, eine Datei unter Anwendung einer vorhandenen Ersteller-Besitzer-Berechtigung zu erzeugen, nur um anschließend über die Ersteller-Besitzer-Berechtigung darauf zugreifen zu können. Solange derjenige, der Besitzer der Datei ist, zugreift, müßte er automatisch die Berechtigung des Ersteller-Besitzers haben (sofern natürlich Ersteller-Besitzer in der ACL eingetragen ist). Dies müßte auch dann gelten, wenn die Datei schon lange existierte, bevor der ACL-Eintrag Ersteller-Besitzer hinzugefügt wurde.

 

Hier noch mal ganz konkret das Problem:

 

Falls jemand das MS Press Buch Verwalten und Warten einer Windows Server 2003 Umgebung (2. Auflage) hat, bitte versucht doch mal auf Seite 683 die 2. Frage zum Lernziel 3.1 anhand der Musterlösung nachzustellen. Bei mir funktioniert es nicht.

 

Hier die Frage (wörtlich) für diejenigen, die das Buch nicht haben:

 

Sie konfigurieren Freigabeberechtigungen für einen freigegebenen Ordner auf einem Dateiserver. Sie möchten, dass alle authentifizierten Benutzer Dateien in dem Ordner speichern, alle Dateien im Ordner lesen und ihre eigenen Dateien ändern und löschen können.

Wie lauten die korrekten Berechtigungen, die sie für den freigegebenen Ordner einrichten müssen, um dieses Ziel zu erreichen?

Laut Musterlösung ist die Antwort:

1. Authentifizierte Benutzer - Lesen

2. Ersteller/Besitzer - Ändern

 

Dies funktioniert so einfach nicht.

 

Viele Grüße

Chewie

Share this post


Link to post
Share on other sites

Erstmal vorab, die Lösung dieser Aufgabe ist mit diesen beiden Vorschlägen nicht zu erreichen. Auch hier gilt, dass jemand erstmal Berechtigungen haben muss, um dem Ordner bzw. der Freigabe etwas zufügen zu können, bevor die Berechtigungen des Ersteller-Besitzers greifen. Auf der Freigabe allein kann man sowas gar nicht konfigurieren. Das klappt nur in Verbindung mit den NTFS-Berechtigungen (bedenke, dass bei Zusammenwirken von Freigabe- und NTFS-Berechtigungen die am meisten einschränkende die effektive Berechtigung ist). Auf folgende Weise kannst Du das Ziel erreichen, was in der Frage gefordert ist.

Freigabeberechtigung:

Authentifizierte Benutzer - Ändern

NTFS-Berechtigung

Authentifizierte Benutzer

Lesen - "Dateien erstellen/Daten schreiben" - "Ordner erstellen/Daten anhängen"

Ersteller-Besitzer

Ändern

Was macht jetzt eigentlich der Ersteller-Besitzer ? Fangen wir mal anders an. Angenommen, Du hast einen Ordner, in dem GRUPPEA - Ändern und die Benutzer - Lesen , beides für Diesen Ordner, Unterordner und Dateien, haben. Jetzt erzeugt ein Mitglied der GRUPPEA eine Datei. In der Berechtigung der Datei steht jetzt GRUPPEA - Ändern und Benutzer - Lesen. Die Berechtigung, die im Ordner angegeben wurde, wird also auf Objekte unterhalb dieses Ordners vererbt. Beim Ersteller-Besitzer verhält es sich etwas anders. Zusätzlich zu den Berechtigungen im obigen Beispiel kommen jetzt noch die Ersteller-Besitzer - Vollzugriff dazu. Wenn jetzt ein Mitglied der GRUPPEA eine Datei in diesem Ordner erstellt, ist er beim Erstellen auch ein Ersteller-Besitzer. In den Berechtigungen des Ordners ist festgelegt, dass Berechtigungen des Ersteller-Besitzers (in diesem Fall das Mitglied der GRUPPEA) nach unten vererbt werden sollen. Also wird, wie von Dir beschrieben, Ersteller-Besitzer durch die SID des Mitgliedes der GRUPPEA ersetzt, Ersteller-Besitzer ist also ein Platzhalter und taucht in der Berechtigung der Datei nicht mehr auf. Also steht in der Berechtigung der Datei zusätzlich zu GRUPPEA und Benutzer auch das Mitglied der GRUPPEA mit Vollzugriff.

Also bekommt man niemals eine Berechtigung durch "Ersteller-Besitzer" selbst, sondern nur durch das, was durch das Ersetzen des Ersteller-Besitzers in einem vererbten Eintrag angewendet wird.

Share this post


Link to post
Share on other sites

Also bekommt man niemals eine Berechtigung durch "Ersteller-Besitzer" selbst, sondern nur durch das, was durch das Ersetzen des Ersteller-Besitzers in einem vererbten Eintrag angewendet wird.

 

@IThome Vielen Dank für die detaillierten Antworten! Ich war tatsächlich bislang der Auffassung in den ACLs würde auch bei den untergeordneten Objekten noch Ersteller-Besitzer auftauchen, aber du hast Recht, der ACL-Eintrag Ersteller-Besitzer steht nur im übergeordneten Objekt!

 

Dies heißt dann auch, dass man nicht allem, was im offiziellen MS Press Buch steht, trauen darf. Ich hatte ja schon in dem entsprechenden Errata-KnowledgeBase-Artikel KB842651 gesucht, da steht aber zu dieser Frage noch keine Korrektur drin.

 

Wenn ich Ersteller-Besitzer in die ACL einer Datei eintrage, und anschließend die Dateieigenschaften aktualisiere, ist die Berechtigung sofort durch den entsprechenden Benutzer ersetzt worden. Dies braucht man dann IMHO höchstens in Skripten um automatisch den jeweiligen Besitzer in die ACLs bestimmer Dateien aufzunehmen, sieht du das auch so?

 

Jetzt bleibt aus meiner Sicht nur noch eine letzte Frage offen:

Warum ist es überhaupt möglich, in den Freigabeberechtigungen "Ersteller-Besitzer" einzutragen? Da Freigabeberechtigungen nicht vererbt werden und Freigaben selbst auch keinen Besitzer haben ist dies doch komplett wirkungslos (bei XP geht es ja auch gar nicht, nur bei 2003), oder?

 

Viele Grüße und einen schönen Sonntagabend!

Chewie

Share this post


Link to post
Share on other sites

Ich persönlich benutze die Anwendungsmöglichkeit , nämlich das Beispiel aus Deinem Buch. Die Standardberechtigungen für ein Rootlaufwerk sind übrigens fast genauso eingestellt, der User darf allerdings in der Root nur Unterordner und keine Dateien erstellen, auf dem Ordner hat er dann Vollzugriff, was aber nicht auf weitere Unterordner vererbt wird.

Mit dem Ersteller-Besitzer in Freigaben hast Du Recht , mir fällt ebenfalls kein Grund ein, die Ersteller-Besitzer als Berechtigung in eine Freigabe aufzunehmen ...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...