4
Besitzer - Phänomen bei NTFS
Hallo,
Wenn ich auf einem Windows-Share, welches mit NTFS formatiert und mit entsprechenden Berechtigungen versehen ist, eine Datei oder einen Order anlege, dann bin ich der Besitzer. Soweit - sogut.
Wenn ich jetzt auf mein Share shaue und den Besitzer anzeigen lasse, dann ist in den meisten Fällen die (wahrscheinlich dort lokale) Gruppe "Administratoren" der Besitzer für meine Dateien bzw. Ordner. Auch OK, da ich ja in der Gruppe der Domänen-Admins und damit dem Member automatisch in der lokalen Gruppe der Administratoren drin bin. Vielleicht eine Windows-Eigenheit. Aber warum bin nicht ICH der Besitzer? Bei manchen Dateien und Ordnern scheint es wohl so zu sein. Welche Vorraussetzungen müssen gegeben sein, dass ICH der Besitzer meiner Dateien bin? Meine primäre Gruppe in der Domäne ist Domänen-Benutzer. Das Phänomen scheint es nur bei Nutzern zu geben, die Admins sind, denn einen Besitzer der "Benutzer" heißt, gibt es nicht.
In diesem Atemzug gleich noch eine Frage: Wenn ich ein Verzeichnis auf einem Share für Admins berechtigen will, nehme ich dann die lokale Gruppe "Administratoren" oder die globale Gruppe "Domänen-Admins", das gleiche gilt für "Benutzer" und "Domänen-Benutzer". Am Ende ist es sicherlich das gleiche, aber was ist die Empfehlung?
Wer kann mich behelligen?
Shiva.
Wenn ich auf einem Windows-Share, welches mit NTFS formatiert und mit entsprechenden Berechtigungen versehen ist, eine Datei oder einen Order anlege, dann bin ich der Besitzer. Soweit - sogut.
Wenn ich jetzt auf mein Share shaue und den Besitzer anzeigen lasse, dann ist in den meisten Fällen die (wahrscheinlich dort lokale) Gruppe "Administratoren" der Besitzer für meine Dateien bzw. Ordner. Auch OK, da ich ja in der Gruppe der Domänen-Admins und damit dem Member automatisch in der lokalen Gruppe der Administratoren drin bin. Vielleicht eine Windows-Eigenheit. Aber warum bin nicht ICH der Besitzer? Bei manchen Dateien und Ordnern scheint es wohl so zu sein. Welche Vorraussetzungen müssen gegeben sein, dass ICH der Besitzer meiner Dateien bin? Meine primäre Gruppe in der Domäne ist Domänen-Benutzer. Das Phänomen scheint es nur bei Nutzern zu geben, die Admins sind, denn einen Besitzer der "Benutzer" heißt, gibt es nicht.
In diesem Atemzug gleich noch eine Frage: Wenn ich ein Verzeichnis auf einem Share für Admins berechtigen will, nehme ich dann die lokale Gruppe "Administratoren" oder die globale Gruppe "Domänen-Admins", das gleiche gilt für "Benutzer" und "Domänen-Benutzer". Am Ende ist es sicherlich das gleiche, aber was ist die Empfehlung?
Wer kann mich behelligen?
Shiva.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165040
Url: https://administrator.de/contentid/165040
Printed on: April 25, 2024 at 14:04 o'clock
4 Comments
Latest comment
Hallo @Shiva99,
zuerst zu deiner 2. Frage: Nimm am besten immer die Domänen-Gruppen anstelle der lokalen. Die lassen sich einfach administrieren und der Netzwerkaufbau ist dann auch konsistenter, leichter zu verstehen.
Was dein erstes Problem angeht:
Auf lokalen Speicherorten ist es klar, dass du als Besitzer drinstehst. Auf Shares (so nehme ich an) wird die Gruppe als Besitzer eingetragen, welche am ehesten den Rechten des erstellenden Users gleicht. Wieso hier die lokale Gruppe "Administratoren" und nicht "Domänen-Administratoren" verwendet wird, ist mir allerdings schleierhaft.
Frohe Ostern + Feierabend
Gruß
Snow
zuerst zu deiner 2. Frage: Nimm am besten immer die Domänen-Gruppen anstelle der lokalen. Die lassen sich einfach administrieren und der Netzwerkaufbau ist dann auch konsistenter, leichter zu verstehen.
Was dein erstes Problem angeht:
Auf lokalen Speicherorten ist es klar, dass du als Besitzer drinstehst. Auf Shares (so nehme ich an) wird die Gruppe als Besitzer eingetragen, welche am ehesten den Rechten des erstellenden Users gleicht. Wieso hier die lokale Gruppe "Administratoren" und nicht "Domänen-Administratoren" verwendet wird, ist mir allerdings schleierhaft.
Frohe Ostern + Feierabend
Gruß
Snow
@snow
In diesem Sinne auch für Frage 2: Lokale Gruppe "Administratoren" verwenden, da "Domänen-Admins" als Mitglied der lokalen Gruppe ohnehin deren Rechte erben ...
Grüße
bastla
Wieso hier die lokale Gruppe "Administratoren" und nicht "Domänen-Administratoren" verwendet wird, ist mir allerdings schleierhaft.
AGDLP?In diesem Sinne auch für Frage 2: Lokale Gruppe "Administratoren" verwenden, da "Domänen-Admins" als Mitglied der lokalen Gruppe ohnehin deren Rechte erben ...
Grüße
bastla
Dieser Thread ist zwar schon ne Weile alt, aber die Lösung ist: By-design Windows.
Es gibt eine Sicherheitsrichtlinie, die das regelt.
Unter
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinie\Sicherheitsoptionen
gibts die Option
"Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden"
Da kann man eintragen, ob das die Administrtorengruppe wird (Standard) oder der jeweile Objektersteller.
Es gibt eine Sicherheitsrichtlinie, die das regelt.
Unter
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinie\Sicherheitsoptionen
gibts die Option
"Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden"
Da kann man eintragen, ob das die Administrtorengruppe wird (Standard) oder der jeweile Objektersteller.
Danke für den Tipp, aber die Richtlinie finde ich bei mir nicht, weder in den lokalen noch in den Gruppen-Richtlinien.
Da gibts nur:
Systemobjekte: Groß-/Kleinschreibung für Nicht-Windows-Subsysteme ignorieren
Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken
Aber das ist es nicht.
shiva
Da gibts nur:
Systemobjekte: Groß-/Kleinschreibung für Nicht-Windows-Subsysteme ignorieren
Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken
Aber das ist es nicht.
shiva
