The estimated reading time 4 minutes
In einem Projekt ging es um das Thema Besitzerrecht und wie dieses vom Standardverhalten geändert werden kann.
Ziel: Wenn ein Benutzer einen Ordner anlegt, soll er zwar als Besitzer eingetragen sein, aber keinen Vollzugriff auf den Ordner.
Nun beschreibe ich das Standardverhalten an dem noch keine Änderung angewendet wurde:
Sehen wir uns zunächste die Standardberechtigungen (NTFS) eines Windows Dateiservers an, wenn eine neue Freigabe erstellt wird (keine manuellen Anpassungen gemacht)
Die Ersteller-Besitzer Berechtigung erlaubt es dem Benutzer Vollzugriff auf einen von ihm erstellten Ordner zu erhalten.
Erstellt also ein Benutzer innerhalb dieser Freigabe einen Ordner hat er Vollzugriff auf diesen und kann die NTFS Berechtigungen beliebig abändern.
Ich habe zum Test einen Unterordner in diesem Verzeichnis mit einem anderen Benutzer (test09) erstellt.
Nun bin ich in der Lage als test09 die Vererbung zu deaktivieren und alle Berechtigungen zu entfernen (direkt vom Client aus).
Nun ist für meinen anderen Benutzer (test13) der Ordner dank ABE nicht mehr sichtbar und auch kein Zugriff mehr möglich.
Auch als Administrator kann ich über die Freigabe nicht mehr zugreifen.
Sobald ich über den Server direkt auf die Partition gehen, wo meine Frage liegt kann ich mir als Administrator wieder Zugriff verschaffen.
Man kann nun den Administrator oder einen anderen Benutzer als Besitzer eintragen und erhält wieder Zugriff.
Möchte man aber vorher wissen, wer nun alleiniger Besitzer dieses Ordner ist (sprich wer die Berechtigungen entfernt hat) kann dies per Powershell direkt auf dem Dateiserver gemacht werden.
get-acl -Path "C:\Shares\share01\testordner01\testunterordner01" | select path, Owner -expand access
Möglichst sollte der Benutzer keinen Vollzugriff erhalten, deshalb gibt es eine Möglichkeit diese Berechtigung anzupassen bzw. durch eine andere zu ersetzen.
STICHWORT: OWNER-Rights oder auch Eigentümerrechte (in deutschen Betriebssystemen)
Leider findet man bei MS nicht sonderlich viel zu dieser doch sehr wichtigen Thematik (ich zumindest, freue mich aber gerne über Kommentare bzw. Links).
nur einen Verweis, der leider auch nicht richtig übersetzt ist siehe Link
- SID: S-1-3-4 Name: Owner Rights
Beschreibung: Eine Gruppe, die den aktuellen Besitzer des Objekts darstellt. Wenn ein ACE, der diese SID wird auf ein Objekt angewendet wird, ignoriert die impliziten READ_CONTROL und WRITE_DAC-Berechtigungen für Objektbesitzer.
HINWEIS: im deutschen Betriebssystem findet man OWNERRIGHTS NICHT. Hier nennt sich die Berechtigung EIGENTÜMERRECHTE
Um also den Benutzer zu hindern eigenmächtig Rechte zu vergeben, muss das Recht „Creator Owner“ bzw. „Ersteller-Besitzer“ komplett entfernt werden (WICHTIG da sonst die Rechtevergabe trotzdem funktioniert, wenn die Gruppe bestehen bleibt). Nach dem Entfernen kann das Recht EIGENTÜMERRECHTE hinzugefügt werden mit der Berechtigung „Ändern“ siehe Screenshot.
Wird nun innerhalb der Freigabe ein neuer Ordner angelegt, ist der Benutzer zwar der Besitzer hat aber keine Vollzugriffsrechte mehr auf den Ordner.
Hier noch ein Screenshot vom deutschen System.
Er kann nun also auch die Vererbung nicht mehr deaktivieren und auch keine Benutzer und Gruppen entfernen.
Fazit: Das Thema Eigentümerrecht ist ein wichtiger Schritt im Bereich NTFS Sicherheit und sollte bei allen NTFS Dateisystemen angewendet werden.
Nochmals der Hinweis:
selbst wenn Ersteller-Besitzer nur vorhanden ist und nicht auf Vollzugriff steht, ist es als Benutzer möglich NTFS Berechtigungen zu setzen. Die Gruppe muss also explizit entfernt werden.
Dies funktioniert auch nachträglich, also nachdem bereits Ordner durch Benutzer angelegt wurden. Der Vollzugriff der Benutzer verschwindet nach dem zuweisen von Eigentümerrechte.
HINWEIS: wer mit Freigabeberechtigungen arbeitet (nicht Jeder Vollzugriff), hat das Problem mit dem Vollzugriff ebenfalls nicht, allerdings muss hier immer bedacht werden, dass diese Berechtigungen an den Server gebunden sind und beim nächsten Umzug verloren sind.
(Danke für die Ergänzung Martin F.)
Viel Spaß beim Testen.
Kommentare sind gern gesehen.
Achtung:
Für vererbte „OWNER RIGHTS / EIGENTÜMERRECHTE“ wird immer der „Owner / Besitzer“ des „Geerbt von“-Objekts mit kopiert/angewendet.
Auf die Beispiele hier bezogen:
C:\Shares definiert „OWNER RIGHTS“ und hat als „Owner“ den User Administrator
C:\Shares\Unterordner erbt „OWNER RIGHTS“ und hat als „Owner“ den User Test13
Für C:\Shares\Unterordner gelten die „OWNER RIGHTS“ nun für den User Administrator – und *nicht* wie hier angenommen für den User Test13.
Hi,
in den Screenshots ist es zu sehen, dass die Eigentümer Berechtigung den Eigentümer des neuen (unterhalb) erstellten Ordners anpasst.
Hierzu habe ich auch nochmals einen Eintrag gefunden:
Nachtrag: Der Oberordner „C:\Shares“ muss als “Owner” eine Gruppe „Administratoren“ zugewiesen bekommen, damit im Unterordner „C:\Shares\Unterordner“ auf den dort als „Owner“ hinterlegten User „Test13“ die vererbten “OWNER RIGHTS” Berechtigungen übergehen.
Ist hingegen für den Oberordner („C:\Shares“) als „Owner“ ein User „Administrator“ hinterlegt, dann bekommt der im Unterordner „C:\Shares\Unterordner“ als „Owner“ hinterlegt User „Test13“ keinerlei Berechtigungen auf Basis der vererbten “OWNER RIGHTS”. Über einen extra Berechtigungseintrag anhand einer Gruppe kann man dem User „Test13“ dann trotzdem zusätzliche Rechte zuweisen.
Nachvollziehen lässt sich dies für einen Unterordner im Reiter „Effektiver Zugriff“ mit selektiertem User „Test13“:
Angenommen die „OWNER RIGHTS“ umfassen die „Ändern“-Berechtigung.
Hallo,
es funktioniert auch mit einem Benutzer anstatt einer Gruppe, man muss nur den Geltungsbereich der Eigentümerrechte wieder umstellen.
Die werden nämlich bei Änderung des Besitzers (egal ob Benutzer oder Gruppe) auf „Kein“ gesetzt.
Keine Ahnung warum, aber sehr fies!
Grüße,
Martin
[…] (Owner Rights in deutsch Eigentümerrechte siehe mein Artikel) […]
Hallo,
Sie beschränken hier die Rechte des Owners Creators mit Hilfe der OWNER RIGHTS lediglich auf ändern. Eine Mitarbeiter der aus einer Berechtigungsgruppe (z.B. Abteilung) entfernt wurde könnte dann aber weiterhin die von ihm erstellten Files und Ordner einsehen und ändern? Wäre es eventuell sinnvoller die OWNER RIGHTS niedriger zu setzen?
Habe eben getestet, ein Verzeichnis mit testUser Einzelberechtigung (ohne Gruppenberechtigung) auf ändern und OWNER RIGHTS auf LesenAusführen.Der User behält auch hier (wie erwartet) additv das höhere Recht (UserEinzelberechtigung).
Wenn ich jetzt alle Rechte des Users (Einzel und Gruppen) entferne, kann er nur noch direkt zu den Objekten navigieren deren Owner Creator er ist mit den Rechten aus den OWNER RIGHTS.In meinem Fall Lesen/Ausführen.
Ein listiger User könnte sich also längerfristigen Zugriff zu Dateien (Fremdownership) verschaffen indem er sie in einen Ordner kopiert in dem er OWNER CREATOR ist.
Es gibt wohl Administratoren die deswegen eine Denygruppe mitführen.
Ich plane OWNER RIGHT bei mir für ein share einzusetzen und mich würde daher interessieren ob sie OWNER RIGHT produktiv einsetzen und ob Sie irgendwelche Nachteile feststellen konnten, z.B. Anwendungen die auf dieses verminderte Recht reagieren? Leider gibt es zu diesem Thema recht wenig Infos.
LG Hans-Georg
Hallo Hans-Georg,
zunächst mal, ja ich setze Owner Rights produktiv ein, und ja alle Aussagen stimmen. Generell ist es ja so, sobald ein Benutzer in einem Ordner einen neuen Ordner erstellen kann, steht er ja als Besitzer drin. Die Owner Rights schränken lediglich das Recht ein, dass der Besitzer in diesem Fall der Benutzer kein „Vollzugriff“ mehr hat. Es sollen die Rechte entzogen werden, dass NTFS Berechtigungen vergeben werden können und Administratoren ausgesperrt werden (gut dass der Admin sich die Rechte immer zurückholen kann).
Bisher bin ich noch in kein Problem getreten, welches ich direkt auf Owner Rights zurückführen konnte. Aber man soll ja niemals nie sagen.
Viele Grüße
Alexander
kann mir jemand helfen nd auf diese nummer anrufen 071 845 99 88
bitte so schnell wie möglich ich habe eine Eoche zeit
Hallo Stephanie,
das ist kein Supportforum mit kostenlosen Telefonanrufen. Schnell geht hier nichts, beschreibe doch einfach erst mal dein Problem. „Geht nicht“, ist keine Beschreibung,
Viele Grüße
hä das geht voll nicht
Hi,
wenn allerdings die Freigabeberechtigung nicht auf Jeder – Vollzugriff steht, sondern nur auf ändern, darf der User auch keine NTFS Berechtigungen manipulieren.
Uns ist gerade aufgefallen, das der owner (Eigentümer) eines Verzeichnisses trotzdem noch Berechtigungen auf dieses verzeichnis und Dateien darin vergeben kann, obwohl wir vorher explizit die Gruppe „Owner..“ entfernt haben.!!???
Hi Marius,
wie ist denn genau das Setup? Welcher Fileserver (Version), was habt ihr genau auf den Ordner gesetzt? Eigentümerrechte Gruppe mit welchen Berechtigungen? Werden die Berechtigungen nach unten vererbt? Hier ist noch eine gute Erklärung zum Unterschied zwischen Creat Owner und Ownerrights
Viele Grüße
Alex
Hi, danke für diese Doku!
Was für mich nicht ganz logisch ist: wieso vergibt man überhaut noch „Eigentümerrechte“ . Wenn der User ein File erstellen kann, hat er ja auch die NTFS-Berechtigungen dazu. Was ist das schlussendliche Ziel mit der Gruppe „Eigentümerrechte“ bzw. welche Anwendungsfälle kann man damit abbilden, welche man ohne der Gruppe „Eigentümerrecht“ nicht abbilden könnte?
Grüsse
Hi Manu,
Eigentümerrechte verhindern eben, dass der Benutzer eigene Berechtigungen auf Dateien vergibt, auch nicht wenn er diese erstellt hat. Vollzugriff ist eine komplett andere Berechtigungsstufe wie Ändern.
Vollzugriff = Berechtigungen anpassen, Dateien ändern und löschen
Ändern = Dateien ändern und löschen
(in aller Kürze)
Mit Eigentümerrechte kannst du eben steuern ob die Benutzer selber Rechte vergeben können oder nicht. In den meisten Fällen ist dies nicht gewollt.
Grüße