The estimated reading time 3 minutes

In einem Projekt ging es um das Thema Besitzerrecht und wie dieses vom Standardverhalten geändert werden kann.

Ziel: Wenn ein Benutzer einen Ordner anlegt, soll er zwar als Besitzer eingetragen sein, aber keinen Vollzugriff auf den Ordner.

Nun beschreibe ich das Standardverhalten an dem noch keine Änderung angewendet wurde:

Sehen wir uns zunächste die Standardberechtigungen (NTFS) eines Windows Dateiservers an, wenn eine neue Freigabe erstellt wird (keine manuellen Anpassungen gemacht)

Die Ersteller-Besitzer Berechtigung erlaubt es dem Benutzer Vollzugriff auf einen von ihm erstellten Ordner zu erhalten.

Erstellt also ein Benutzer innerhalb dieser Freigabe einen Ordner hat er Vollzugriff auf diesen und kann die NTFS Berechtigungen beliebig abändern.

Ich habe zum Test einen Unterordner in diesem Verzeichnis mit einem anderen Benutzer (test09) erstellt.

Nun bin ich in der Lage als test09 die Vererbung zu deaktivieren und alle Berechtigungen zu entfernen (direkt vom Client aus).

Nun ist für meinen anderen Benutzer (test13) der Ordner dank ABE nicht mehr sichtbar und auch kein Zugriff mehr möglich.

Auch als Administrator kann ich über die Freigabe nicht mehr zugreifen.

Sobald ich über den Server direkt auf die Partition gehen, wo meine Frage liegt kann ich mir als Administrator wieder Zugriff verschaffen.

Man kann nun den Administrator oder einen anderen Benutzer als Besitzer eintragen und erhält wieder Zugriff.

Möchte man aber vorher wissen, wer nun alleiniger Besitzer dieses Ordner ist (sprich wer die Berechtigungen entfernt hat) kann dies per Powershell direkt auf dem Dateiserver gemacht werden.

get-acl -Path "C:\Shares\share01\testordner01\testunterordner01" | select path, Owner -expand access

Möglichst sollte der Benutzer keinen Vollzugriff erhalten, deshalb gibt es eine Möglichkeit diese Berechtigung anzupassen bzw. durch eine andere zu ersetzen.

STICHWORT: OWNER-Rights oder auch Eigentümerrechte (in deutschen Betriebssystemen)

Leider findet man bei MS nicht sonderlich viel zu dieser doch sehr wichtigen Thematik (ich zumindest, freue mich aber gerne über Kommentare bzw. Links).

nur einen Verweis, der leider auch nicht richtig übersetzt ist siehe Link

  • SID: S-1-3-4 Name: Owner Rights
    Beschreibung: Eine Gruppe, die den aktuellen Besitzer des Objekts darstellt. Wenn ein ACE, der diese SID wird auf ein Objekt angewendet wird, ignoriert die impliziten READ_CONTROL und WRITE_DAC-Berechtigungen für Objektbesitzer.

HINWEIS: im deutschen Betriebssystem findet man OWNERRIGHTS NICHT. Hier nennt sich die Berechtigung EIGENTÜMERRECHTE

Um also den Benutzer zu hindern eigenmächtig Rechte zu vergeben, muss das Recht „Creator Owner“ bzw. „Ersteller-Besitzer“ komplett entfernt werden (WICHTIG da sonst die Rechtevergabe trotzdem funktioniert, wenn die Gruppe bestehen bleibt). Nach dem Entfernen kann das Recht EIGENTÜMERRECHTE hinzugefügt werden mit der Berechtigung „Ändern“ siehe Screenshot.

Wird nun innerhalb der Freigabe ein neuer Ordner angelegt, ist der Benutzer zwar der Besitzer hat aber keine Vollzugriffsrechte mehr auf den Ordner.

Hier noch ein Screenshot vom deutschen System.

Er kann nun also auch die Vererbung nicht mehr deaktivieren und auch keine Benutzer und Gruppen entfernen.

Fazit: Das Thema Eigentümerrecht ist ein wichtiger Schritt im Bereich NTFS Sicherheit und sollte bei allen NTFS Dateisystemen angewendet werden.

Nochmals der Hinweis:

selbst wenn Ersteller-Besitzer nur vorhanden ist und nicht auf Vollzugriff steht, ist es als Benutzer möglich NTFS Berechtigungen zu setzen. Die Gruppe muss also explizit entfernt werden.

Dies funktioniert auch nachträglich, also nachdem bereits Ordner durch Benutzer angelegt wurden. Der Vollzugriff der Benutzer verschwindet nach dem zuweisen von Eigentümerrechte.

Viel Spaß beim Testen.

Kommentare sind gern gesehen.

 

Print Friendly, PDF & Email
  • Was this Helpful ?
  • yes   no