Jump to content

Ersteller hat nur Rechte auf Ordner


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

akutell ist es in unserer Active Directory Umgebung so, dass wenn ein normaler User einen Ordner oder Datei in einem freigegebenen Ordner auf einem fileserver erstellt, dass nur er diesen Ordner löschen kann und teilweise nur er in den Ordner lesen kann.

Selbst als Domänenadmin, kann ich den Ordner dann nicht löschen, nur wenn ich mich als Besitzer eintrage und mich danach erst als hinzufüge mit mindestens Schreibrechten.

Was läuft da aktuell schief? Irgendwas stimmt doch nicht mit der Vererbung der Rechte oder?

 

Link zu diesem Kommentar

Hallo,

akutell ist es in unserer Active Directory Umgebung so, dass wenn ein normaler User einen Ordner oder Datei in einem freigegebenen Ordner auf einem fileserver erstellt, dass nur er diesen Ordner löschen kann und teilweise nur er in den Ordner lesen kann.

Selbst als Domänenadmin, kann ich den Ordner dann nicht löschen, nur wenn ich mich als Besitzer eintrage und mich danach erst als hinzufüge mit mindestens Schreibrechten.

Was läuft da aktuell schief? Irgendwas stimmt doch nicht mit der Vererbung der Rechte oder?

 

Dieses Verhalten ist Standard bei Windows/NTFS, und kein Bug, und es ist so seit ich denken kann.

 

- Das ist nicht Active Directory mit dem Du kämpfst, das sind NTFS Berechtigungen.

 

- Admins haben - spitzfindig gesehen - auf NTFS Datenbestände rein technisch nicht mehr Rechte als User. Wenn nicht mindestens Leserecht vorliegt, kein Zugriff, basta. Wenn das Recht, Rechte zu vergeben (enthalten im Rechtesatz "Vollzugriff"), nicht vorliegt, auch für den Admin erst mal keine Möglichkeit, sich Rechte zu geben, Basta.

Das einzige Recht, das den Admin auf NTFS wirklich mächtig macht ist, dass der Admin sich zum Besitzer von irgendwas machen dar, denn der Besitzer hat immer und unveränderbar das Recht, Rechte zu vergeben auf alles was er besitzt.

Deswegen darf auch ein Admin Ordner und Dateien, auf denen er (oder die Gruppe Administratoren) formal keine Rechte hat, erst mal nicht anfassen. Er kann aber sein Recht "Besitz übernehmen" nützen, und sich zum Besitzer dieser Datenbestände machen, wonach er sich und anderen beliebige Rechte zuordnen kann.

Administretoren erben den Großteil ihrer Zugriffsrechte, weil auf den meisten Ordnern, die man zwecks Datenspeicherung anlegt, das Recht Administratoren-Vollzugriff drauf ist, und später abgelegte Daten und Ordner erben das dann.

Fehlt dieses Recht, wird den Administratoren erst einmal der Zugriff verweigert. Deises Verhalten tritt auf, wenn jemand die Gruppe "Administratoren" aus den Rechten des Vorgängerverzeichnisses entfernt, oder wenn dieses Recht - wie im Fall von Benutzer-Verzeichnissen - per Default nicht drauf ist. Heißt konkret: wer einen Datenbestand (den Basis-Ordner) anlegt, muss sich Gedanken darüber machen, ob er den Administratoren freien Zugang gewährt, oder ob er ihnen Prügel in die Beine wirft.

 

- Backup hat übrigens das Recht, beliebige Dateien unabhängig vom Rechte-Satz zu lesen und zu schreiben, weshalb Du das Backup-Tool nicht berechtigen musst, auf alle Daten zugreifen zu dürfen.

 

- Ich schätze konkret, Du hast Dich bisher mit NTFS Rechten und deren Vererbung sowie den Spezial-Accounts "Jeder" und "Ersteller/Besitzer" nicht groß beschäftigt. Ich empfehle dringend, das nachzuholen, bevor Du versuchst, die Rechtesätze von Datenbeständen mit Unterordnern zu korrigieren. Ein falscher Mausklick, und Du ruinierst eine über Jahre aufgebaute Rechtestruktur, und ein "Rückgängig" gibts nicht.

 

- Wie Norbert schon schrieb, findest Du die Lösung auf dem Vorgängerordner, da neue Ordner beim Anlegen die Rechte von eben diesem übernehmen.

 

Armin

bearbeitet von Nimral
Link zu diesem Kommentar

Moin,

 

- Backup hat übrigens das Recht, beliebige Dateien unabhängig vom Rechte-Satz zu lesen und zu schreiben, weshalb Du das Backup-Tool nicht berechtigen musst, auf alle Daten zugreifen zu dürfen.

 

ich konkretisiere mal: Es gibt ein Recht (besser: Privileg), das für Backupsoftware gedacht ist, mit dem man sich über die Berechtigungen hinwegsetzen kann. Dieses Recht muss man a) haben und b) aktivieren bzw. nutzen, es muss also in der Software angefordert werden. Von selbst passiert das nicht. Und leider gibt es nicht nur Admins, die das nicht wissen, sondern auch Hersteller von Backupsoftware verfügen erschreckend oft nicht über dieses Wissen.

 

Genau genommen sind es sogar zwei Privilegien: SeBackupPrivilege und SeRestorePrivilege.

https://technet.microsoft.com/en-us/library/cc976700.aspx

 

Gruß, Nils

Link zu diesem Kommentar

@Nils, genauso ist es,

 

und wer nun völlig verwirrt ist, kann folgendes Spielchen machen:

 

- er erstellt ein Benutzerkonto, sagen wir mal "BackupUser" und gibt diesem - neben anderen Rechten welche die Software benötigt um als Dienst zu laufen - das Recht, Backups zu ziehen und wiederherzustellen.

 

- dann schnappt er sich irgendein (gutes) Backup-Tool, und lässt es per Scheduler unter diesem Account ein Backup ziehen. Erkenntnis: es werden auch Dateien gesichert, bei denen BackupUser keinerlei Lese-Berechtigung hat, weder auf die Datei, noch das Verzeichnis.

 

- dann löscht er die Originaldaten, und benützt das Backup Tool mit dem selben Account, um eine Rücksicherung zu machen. Erkenntnis: es werden auch Dateien wiederhergestellt, wo BackupUser weder auf die Datei, noch das Verzeichnis Schreibrechte hatte. Auch alle Berechtigungen, und die Ersteller/Besitzer ID werden wiederhergestellt.

 

- dann meldet sich unser Tester mit dem Account BackupUser interaktiv an (würde wenn der Windows Security wirklich beherrscht erst mal feststellen, dass das nicht mal geht, weil sich ein richtig gemachter Service-Account nicht interaktiv anmelden darf), aber er gibt dem BackupUser sagen wir Mal User-Rechte (das was ein Account per Default sowieso bekommt, wenn man ihn anlegt ohne sich um die Details zu kümmern), dann geht die Anmeldung, und er versucht, die Dateien über die Windows Oberfläche einzusehen. Ergebnis: Zugriff verweigert. Und das selbst bei Dateien, die BackupUser gerade vorher mittels Restore selbst wiederhergestellt hat.

 

Sinn der ganzen Aufwandes: Dienstkonten mit Administratorberechtigung waren früher mal gerne genutzte Angriffsvehikel bei Angriffen von innen, weil man mit ihnen ja alle Dateien abklappern konnte. Es ist in Windows möglich, Service-Accounts für Backup-Zwecke zu machen, die alle Dateien über ein Backup Tool sichern und rücksichern können, obwohl sie weder Mitglied der Administratoren-Gruppe sind, noch Lese- oder Schreibrechte auf die Dateien haben. Ein Techniker oder Klein-Admin, der für das Backup verantwortlich ist, kann durch Kenntnis des Passworts für diesen Account erst mal keine Streifzüge durch die IT Landschaft machen.

 

Ich hatte das erwähnt um dem OP von vornherein den vorhersehbaren Fehlweg zu ersparen, dass er dem Backup zumindest Leserecht für alle Dateien geben möchte. Der OP ist meiner Meinung nach gerade da, wo wir älteren Hasen vor 20 Jahren auch mal waren, er muss nicht unbedingt unsere Lernkurve in den Niederungen der NTFS Berechtigungsvergabe nachfahren, und dabei seine User von ihren Daten trennen. Was uns vermutlich jedem einmal passiert ist - genau ein Mal :-)

 

Armin.

Link zu diesem Kommentar

Naja wenn ich nen service account habe der die Daten sichern kann, dann ist es auch nicht schwer Zugriff auf diese Daten zu bekommen. Und dann streifzüge ich eben durch das datenvolumen, was ich ja sichern muss. Da hilft nur Verschlüsselung der zu sichernden Daten. Also das Szenario hinkt etwas, oder ich Habs nicht verstanden.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...