Eigentümer eines Ordners soll kein Vollzugriff haben OWNER Rights / Eigentümer Rechte erklärt NTFS Sicherheit

The estimated reading time 4 minutes

In einem Projekt ging es um das Thema Besitzerrecht und wie dieses vom Standardverhalten geändert werden kann.

Ziel: Wenn ein Benutzer einen Ordner anlegt, soll er zwar als Besitzer eingetragen sein, aber keinen Vollzugriff auf den Ordner.

Nun beschreibe ich das Standardverhalten an dem noch keine Änderung angewendet wurde:

Sehen wir uns zunächste die Standardberechtigungen (NTFS) eines Windows Dateiservers an, wenn eine neue Freigabe erstellt wird (keine manuellen Anpassungen gemacht)

Die Ersteller-Besitzer Berechtigung erlaubt es dem Benutzer Vollzugriff auf einen von ihm erstellten Ordner zu erhalten.

Erstellt also ein Benutzer innerhalb dieser Freigabe einen Ordner hat er Vollzugriff auf diesen und kann die NTFS Berechtigungen beliebig abändern.

Ich habe zum Test einen Unterordner in diesem Verzeichnis mit einem anderen Benutzer (test09) erstellt.

Nun bin ich in der Lage als test09 die Vererbung zu deaktivieren und alle Berechtigungen zu entfernen (direkt vom Client aus).

Nun ist für meinen anderen Benutzer (test13) der Ordner dank ABE nicht mehr sichtbar und auch kein Zugriff mehr möglich.

Auch als Administrator kann ich über die Freigabe nicht mehr zugreifen.

Sobald ich über den Server direkt auf die Partition gehen, wo meine Frage liegt kann ich mir als Administrator wieder Zugriff verschaffen.

Man kann nun den Administrator oder einen anderen Benutzer als Besitzer eintragen und erhält wieder Zugriff.

Möchte man aber vorher wissen, wer nun alleiniger Besitzer dieses Ordner ist (sprich wer die Berechtigungen entfernt hat) kann dies per Powershell direkt auf dem Dateiserver gemacht werden.

get-acl -Path "C:\Shares\share01\testordner01\testunterordner01" | select path, Owner -expand access

Möglichst sollte der Benutzer keinen Vollzugriff erhalten, deshalb gibt es eine Möglichkeit diese Berechtigung anzupassen bzw. durch eine andere zu ersetzen.

STICHWORT: OWNER-Rights oder auch Eigentümerrechte (in deutschen Betriebssystemen)

Leider findet man bei MS nicht sonderlich viel zu dieser doch sehr wichtigen Thematik (ich zumindest, freue mich aber gerne über Kommentare bzw. Links).

nur einen Verweis, der leider auch nicht richtig übersetzt ist siehe Link

  • SID: S-1-3-4 Name: Owner Rights
    Beschreibung: Eine Gruppe, die den aktuellen Besitzer des Objekts darstellt. Wenn ein ACE, der diese SID wird auf ein Objekt angewendet wird, ignoriert die impliziten READ_CONTROL und WRITE_DAC-Berechtigungen für Objektbesitzer.

HINWEIS: im deutschen Betriebssystem findet man OWNERRIGHTS NICHT. Hier nennt sich die Berechtigung EIGENTÜMERRECHTE

Um also den Benutzer zu hindern eigenmächtig Rechte zu vergeben, muss das Recht „Creator Owner“ bzw. „Ersteller-Besitzer“ komplett entfernt werden (WICHTIG da sonst die Rechtevergabe trotzdem funktioniert, wenn die Gruppe bestehen bleibt). Nach dem Entfernen kann das Recht EIGENTÜMERRECHTE hinzugefügt werden mit der Berechtigung „Ändern“ siehe Screenshot.

Wird nun innerhalb der Freigabe ein neuer Ordner angelegt, ist der Benutzer zwar der Besitzer hat aber keine Vollzugriffsrechte mehr auf den Ordner.

Hier noch ein Screenshot vom deutschen System.

Er kann nun also auch die Vererbung nicht mehr deaktivieren und auch keine Benutzer und Gruppen entfernen.

Fazit: Das Thema Eigentümerrecht ist ein wichtiger Schritt im Bereich NTFS Sicherheit und sollte bei allen NTFS Dateisystemen angewendet werden.

Nochmals der Hinweis:

selbst wenn Ersteller-Besitzer nur vorhanden ist und nicht auf Vollzugriff steht, ist es als Benutzer möglich NTFS Berechtigungen zu setzen. Die Gruppe muss also explizit entfernt werden.

Dies funktioniert auch nachträglich, also nachdem bereits Ordner durch Benutzer angelegt wurden. Der Vollzugriff der Benutzer verschwindet nach dem zuweisen von Eigentümerrechte.

HINWEIS: wer mit Freigabeberechtigungen arbeitet (nicht Jeder Vollzugriff), hat das Problem mit dem Vollzugriff ebenfalls nicht, allerdings muss hier immer bedacht werden, dass diese Berechtigungen an den Server gebunden sind und beim nächsten Umzug verloren sind.
(Danke für die Ergänzung Martin F.)

Viel Spaß beim Testen.

Kommentare sind gern gesehen.

Was this article helpful?
YesNo
0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest
15 Comments
Newest
Oldest Most Voted
Inline Feedbacks
View all comments
A...
A...
2 Jahre zuvor

Achtung: 
Für vererbte „OWNER RIGHTS / EIGENTÜMERRECHTE“ wird immer der „Owner / Besitzer“ des „Geerbt von“-Objekts mit kopiert/angewendet. 
 
Auf die Beispiele hier bezogen: 
C:\Shares definiert „OWNER RIGHTS“ und hat als „Owner“ den User Administrator 
C:\Shares\Unterordner erbt „OWNER RIGHTS“ und hat als „Owner“ den User Test13 
 
Für C:\Shares\Unterordner gelten die „OWNER RIGHTS“ nun für den User Administrator – und *nicht* wie hier angenommen für den User Test13. 

A...
A...
Reply to  A.K.
2 Jahre zuvor

Nachtrag: Der Oberordner „C:\Shares“ muss als “Owner” eine Gruppe „Administratoren“ zugewiesen bekommen, damit im Unterordner „C:\Shares\Unterordner“ auf den dort als „Owner“ hinterlegten User „Test13“ die vererbten “OWNER RIGHTS” Berechtigungen übergehen.

Ist hingegen für den Oberordner („C:\Shares“) als „Owner“ ein User „Administrator“ hinterlegt, dann bekommt der im Unterordner „C:\Shares\Unterordner“ als „Owner“ hinterlegt User „Test13“ keinerlei Berechtigungen auf Basis der vererbten “OWNER RIGHTS”. Über einen extra Berechtigungseintrag anhand einer Gruppe kann man dem User „Test13“ dann trotzdem zusätzliche Rechte zuweisen.

Nachvollziehen lässt sich dies für einen Unterordner im Reiter „Effektiver Zugriff“ mit selektiertem User „Test13“:
Angenommen die „OWNER RIGHTS“ umfassen die „Ändern“-Berechtigung.

  • Oberordner hat als Owner die Gruppe „Administratoren“ –> Owner des Unterordners (User „Test13“) hat dort die „Ändern“-Berechtigung.
  • Oberordner hat als Owner den User „Administrator“ –> Owner des Unterordners (User „Test13“) hat dort erstmal keinerlei Berechtigung.
Martin Fessler
Martin Fessler
Reply to  A...
5 Monate zuvor

Hallo,

es funktioniert auch mit einem Benutzer anstatt einer Gruppe, man muss nur den Geltungs­bereich der Eigentümerrechte wieder umstellen.
Die werden nämlich bei Änderung des Besitzers (egal ob Benutzer oder Gruppe) auf „Kein“ gesetzt.
Keine Ahnung warum, aber sehr fies!

Grüße,
Martin

trackback
2 Jahre zuvor

[…] (Owner Rights in deutsch Eigentümerrechte siehe mein Artikel) […]

Hans-Georg
Hans-Georg
3 Jahre zuvor

Hallo,
Sie beschränken hier die Rechte des Owners Creators mit Hilfe der OWNER RIGHTS lediglich auf ändern. Eine Mitarbeiter der aus einer Berechtigungsgruppe (z.B. Abteilung) entfernt wurde könnte dann aber weiterhin die von ihm erstellten Files und Ordner einsehen und ändern? Wäre es eventuell sinnvoller die OWNER RIGHTS niedriger zu setzen?

Habe eben getestet, ein Verzeichnis mit testUser Einzelberechtigung (ohne Gruppenberechtigung) auf ändern und OWNER RIGHTS auf LesenAusführen.Der User behält auch hier (wie erwartet) additv das höhere Recht (UserEinzelberechtigung).

Wenn ich jetzt alle Rechte des Users (Einzel und Gruppen) entferne, kann er nur noch direkt zu den Objekten navigieren deren Owner Creator er ist mit den Rechten aus den OWNER RIGHTS.In meinem Fall Lesen/Ausführen.

Ein listiger User könnte sich also längerfristigen Zugriff zu Dateien (Fremdownership) verschaffen indem er sie in einen Ordner kopiert in dem er OWNER CREATOR ist.

Es gibt wohl Administratoren die deswegen eine Denygruppe mitführen.

Ich plane OWNER RIGHT bei mir für ein share einzusetzen und mich würde daher interessieren ob sie OWNER RIGHT produktiv einsetzen und ob Sie irgendwelche Nachteile feststellen konnten, z.B. Anwendungen die auf dieses verminderte Recht reagieren? Leider gibt es zu diesem Thema recht wenig Infos.

LG Hans-Georg

Helia
Helia
3 Jahre zuvor

kann mir jemand helfen nd auf diese nummer anrufen 071 845 99 88
bitte so schnell wie möglich ich habe eine Eoche zeit

Helia
Helia
3 Jahre zuvor

hä das geht voll nicht

Chris
Chris
4 Jahre zuvor

Hi,
wenn allerdings die Freigabeberechtigung nicht auf Jeder – Vollzugriff steht, sondern nur auf ändern, darf der User auch keine NTFS Berechtigungen manipulieren.

Marius Schuff
Marius Schuff
4 Jahre zuvor

Uns ist gerade aufgefallen, das der owner (Eigentümer) eines Verzeichnisses trotzdem noch Berechtigungen auf dieses verzeichnis und Dateien darin vergeben kann, obwohl wir vorher explizit die Gruppe „Owner..“ entfernt haben.!!???

Manu
Manu
6 Jahre zuvor

Hi, danke für diese Doku!

Was für mich nicht ganz logisch ist: wieso vergibt man überhaut noch „Eigentümerrechte“ . Wenn der User ein File erstellen kann, hat er ja auch die NTFS-Berechtigungen dazu. Was ist das schlussendliche Ziel mit der Gruppe „Eigentümerrechte“ bzw. welche Anwendungsfälle kann man damit abbilden, welche man ohne der Gruppe „Eigentümerrecht“ nicht abbilden könnte?

Grüsse