Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ACL ERSTELLER-BESITZER wird nicht geerbt

Frage Microsoft Windows Server

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

28.08.2013, aktualisiert 16:49 Uhr, 3355 Aufrufe, 9 Kommentare

Hallo,

in einer W2k8 R2 Active Directory Umgebung mit Ordnerumleitung der Eigenen Dateien, habe ich auf den obersten Ordner, neben den Admin-Rechten, das intigrierte Sicherheitsprinzipal ERSTELLER-BESITZER hinterlegt.

Ich erwarte, dass wenn der User sich anmeldet, der Ordner für die Eigenen Dateien erstellt wird und der ERSTELLER-BESITZER entfernt wird bzw. durch den Anwender ersetzt wird.

Es entsteht ein Ordner, der Ersteller ist auch Besitzer, aber nur für "Nur diesen Ordner" berechtigt. Es existiert kein Erbe. ERSTELLER-BESITZER bleibt ebenfalls in allen Unterordnern vorhanden und wenn der Anwender neue Unterordner erzeugt, ist er wegen ERSTELLER-BESITZER auch berechtigt. Aber alles nur für den jeweiligen Ordner und Datei. Ein herkömmliches Erbe existiert nicht.

Was mache ich denn falsch?

Gruß,
mexx

BILDER:


Hier sieht man den obersten Knoten, in dem der ERSTELLER-BESITZER drin ist und nach meiner Erwartung durch den Anwender ersetzt wird, der den Ordner erzeugt.

4b94410f72005980e76866a82ca15de1 - Klicke auf das Bild, um es zu vergrößern

Hier sieht man den Fehler sehr gut. Der Anwender XY steht drin, aber nicht wirklich geerbt. Auch das Recht Vollzugriff auf "Nur diesen Ordner" und das ERSTELLER-BESITZER immer noch drin ist, finde ich fragwürdig.

1188b443e4c69eb706a662a5b8367cc5 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Snowman25
28.08.2013 um 15:42 Uhr
Hey mexx,

Uhm... ERSTELLER-BESITZER __soll__ doch garnicht vererbt werden.
Es ist doch genau für den Zweck da um zurückverfolgen zu können, wer ein Objekt ursprünglich erstellt hat.
Diese Konzept wäre natürlich kaputt, wenn ERSTELLER-BESITZER vererbt werden würde.
Beispiel:
  • User A hat Schreibrechte in den Eigenen Dateien von User B.
  • User A erstellt eine Datei innerhalb von Eigene Dateien von User B und kopiert diese dann in seine Eigenen Dateien.

Sollte Ersteller-Besitzer vererbt werden, hätte die Datei jetzt User B als Besitzer, was ja nicht stimmt. Immerhin hatte User A sie ja erstellt (und das steht so auch in den ACL).

Gruß,
Snowman25
Bitte warten ..
Mitglied: mexx
28.08.2013 um 16:09 Uhr
Danke für die Antwort, aber dass Anwender in die Eigenen Dateien eines anderen Anwenders schreiben, wird nicht vorkommen und soll nicht vorkommen. Ich erwarte, dass ERSTELLER-BESITZER durch den Erzeuge des Ordners ersetzt wird.

Hier die Erklärung aus der Windows Hilfe zu der Gruppe.

Ersteller-Besitzer
(S-1-3-0) Ein Platzhalter in einem vererbbaren Eintrag für die Zugriffssteuerung (Access Control Entry, ACE). Wenn der Eintrag für die Zugriffssteuerung vererbt wird, ersetzt das System diesen Sicherheitsbezeichner durch den Sicherheitsbezeichner des aktuellen Besitzers des Objekts.

Und genau das Ersetzten durch den aktuellen Besitzer des Objekts passiert nicht.
Bitte warten ..
Mitglied: MartinBinder
28.08.2013 um 16:22 Uhr
Deshalb gilt Ersteller-Besitzer normalerweise auch nicht für alle Unterordner, sondern nur für diesen Ordner. Es SOLL (zumindest in umgeleiteten Ordnern oder Profilverzeichnissen) gar nicht vererbt werden.

Das "Übernehmen für" bei Ersteller-Besitzer ist deshalb normalerweise auch nur für "Unterordner und Dateien" gesetzt, und JEDER bekommt das Recht zum Erstellen von Ordnern, aber nur für diesen Ordner. Dann klappt's besser...
Bitte warten ..
Mitglied: Snowman25
28.08.2013 um 16:30 Uhr
Verstehe ich dich richtig, dass der Ordner dem (System-)User ERSTELLER-BESITZER gehört, anstatt dem eigentlichen User?
Bitte warten ..
Mitglied: mexx
28.08.2013 um 16:39 Uhr
Domain-Benutzer haben nur für diesen Ordner ein Schreibrecht
ERSTELLER-BESITZER hat für Unterordner und Dateien Vollzugriff

Sobald ein Anwender einen Ordner erzeugt ist

Domain-Benutzer raus
der Anwender selbst ist drin mit Vollzugriff auf "Nur diesen Ordner" (KEIN ERBE!)
der Anwender ist Besitzer
ERSTELLER-BESITZER ist auch noch drin mit Vollzugriff

Und genau das verstehe ich nicht. Ich erwarte, dass ERSTELLER-BESITZER dann raus ist und nur noch der Anwender mit Vollzugriff auf Ordner, Unterordner und Dateien drin ist.
Bitte warten ..
Mitglied: MartinBinder
28.08.2013 um 16:44 Uhr
Nein, denn Ersteller kann ja auch jeder andere Account mit Vollzugriff sein (z.B. SYSTEM). IMHO paßt das schon so.
Bitte warten ..
Mitglied: mexx
28.08.2013 um 16:50 Uhr
Ich habe oben zwei Bilder hinzugefügt, die das Problem vielleicht besser erklären. Um meine Frage noch mal einfacher zu stellen.

Oberster Knoten ERSTELLER-BESITZER. Sobald Anwender Ordner erzeugt -> ERSTELLER-BESITZER raus und dafür der Anwender mit Erbe rein. Wie geht das?
Bitte warten ..
Mitglied: MartinBinder
28.08.2013 um 18:22 Uhr
Works as designed: http://networkadminkb.com/KB/a80/creator-owner-explained.aspx
Objekte, die als Parent dienen können (also Ordner im Dateisystem oder Container/OUs in AD) haben immer Ersteller-Besitzer drin.
Mit freundlichen Grüßen Martin
Bitte warten ..
Mitglied: mexx
30.08.2013 um 15:18 Uhr
Eben nicht. Ohne ERSTELLER-BESITZER sind wird zwar ein Ordner erzeugt, aber der Anwender hat absolut kein Recht darauf.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Batch & Shell
gelöst Aktueller Besitzer der aktuellen Datei herausfinden und in Variable schreiben (11)

Frage von Peter32 zum Thema Batch & Shell ...

Humor (lol)
Staubsaugerroboter stürzt Besitzer in die Kackastrophe (1)

Link von magicteddy zum Thema Humor (lol) ...

Batch & Shell
gelöst Powershell Datei kopieren mit ACL Script funktioniert nicht (4)

Frage von xpxy15 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (23)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...