5
Probleme NTFS-Berechtigungen: gewollt oder ein Bug?
Hallo,
beim einrichten meiner Fileserver (1x Windows Server 2016, 1x CentOS7 mit SMB und Winbind) bin ich bei den NTFS-Berechtigungen auf ein Problem gestoßen.
Auf einigen Shares wird dem "Ersteller-Besitzer"-Prinzipal kein Vollzugriff erteilt, sondern lediglich das "Ändern"-Recht. Damit soll der Nutzer daran gehindert werden nach dem Erstellen von Dateien die (geerbten) Berechtigungen zu ändern. Hintergrund: Kann ein Benutzer die Rechte ändern, so kann er auch den/die Administrator(en) komplett von diesem Ordner ausschließen, so dass der Admin diesen Ordner noch nicht einmal mehr löschen kann.
Nun stellt es sich trotz dieser gesetzten Rechte aber anders da: Ein Besitzer eines Ordners/Datei kann immer die Berechtigungen ändern. Er kann auch die Vererbung auf diesen Objekten verhindern. Ist diese Verhalten normal? Und gibt es einen Trick das zu umgehen?
Das Einzige was mir bisher eingefallen ist: Dem Ersteller-Besitzer spezielle Berechtigungen erteilen und ihm das "Berechtigungen anzeigen"-Recht entziehen. Damit ist der Tab "Sicherheit" im Explorer-Fenster wenigstens deaktiviert und er kann nicht mehr rumspielen. Das ist aber für mich keine schöne Lösung.
beim einrichten meiner Fileserver (1x Windows Server 2016, 1x CentOS7 mit SMB und Winbind) bin ich bei den NTFS-Berechtigungen auf ein Problem gestoßen.
Auf einigen Shares wird dem "Ersteller-Besitzer"-Prinzipal kein Vollzugriff erteilt, sondern lediglich das "Ändern"-Recht. Damit soll der Nutzer daran gehindert werden nach dem Erstellen von Dateien die (geerbten) Berechtigungen zu ändern. Hintergrund: Kann ein Benutzer die Rechte ändern, so kann er auch den/die Administrator(en) komplett von diesem Ordner ausschließen, so dass der Admin diesen Ordner noch nicht einmal mehr löschen kann.
Nun stellt es sich trotz dieser gesetzten Rechte aber anders da: Ein Besitzer eines Ordners/Datei kann immer die Berechtigungen ändern. Er kann auch die Vererbung auf diesen Objekten verhindern. Ist diese Verhalten normal? Und gibt es einen Trick das zu umgehen?
Das Einzige was mir bisher eingefallen ist: Dem Ersteller-Besitzer spezielle Berechtigungen erteilen und ihm das "Berechtigungen anzeigen"-Recht entziehen. Damit ist der Tab "Sicherheit" im Explorer-Fenster wenigstens deaktiviert und er kann nicht mehr rumspielen. Das ist aber für mich keine schöne Lösung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 430069
Url: https://administrator.de/contentid/430069
Printed on: April 18, 2024 at 19:04 o'clock
5 Comments
Latest comment
Hi
ist gewollt. Lösung ist, das die FREIGABE nicht mit "Vollzugriff" erstellt wird, sondern nur mit Ändern. Dann kann der Creator/owner das nicht mehr
ist gewollt. Lösung ist, das die FREIGABE nicht mit "Vollzugriff" erstellt wird, sondern nur mit Ändern. Dann kann der Creator/owner das nicht mehr
2
Zitat von @SeaStorm:
Hi
ist gewollt. Lösung ist, das die FREIGABE nicht mit "Vollzugriff" erstellt wird, sondern nur mit Ändern. Dann kann der Creator/owner das nicht mehr
Und dazu gab es von @DerWoWusste auch mal einen Beitrag dazu. Das man Jeder NICHT Vollzugriff gibt.Hi
ist gewollt. Lösung ist, das die FREIGABE nicht mit "Vollzugriff" erstellt wird, sondern nur mit Ändern. Dann kann der Creator/owner das nicht mehr
Gruss Penny.
Korrekt. War nur schnell eine neue Freigabe "erstellt" wo das halt default ist. Aber das muss der TO selbst entscheiden was er da macht
Vielen Dank! Das ist also des Rätsels Lösung.
Auf dem Windows Server auch ohne Probleme umzusetzen, jetzt muss ich nur noch schauen, wie ich das auch mit SAMBA realisieren kann.
Auf dem Windows Server auch ohne Probleme umzusetzen, jetzt muss ich nur noch schauen, wie ich das auch mit SAMBA realisieren kann.
Zitat von @BigBob:
Hallo,
Auf einigen Shares wird dem "Ersteller-Besitzer"-Prinzipal kein Vollzugriff erteilt, sondern lediglich das "Ändern"-Recht. Damit soll der Nutzer daran gehindert werden nach dem Erstellen von Dateien die (geerbten) Berechtigungen zu ändern. Hintergrund: Kann ein Benutzer die Rechte ändern, so kann er auch den/die Administrator(en) komplett von diesem Ordner ausschließen, so dass der Admin diesen Ordner noch nicht einmal mehr löschen kann.
Hallo,
Auf einigen Shares wird dem "Ersteller-Besitzer"-Prinzipal kein Vollzugriff erteilt, sondern lediglich das "Ändern"-Recht. Damit soll der Nutzer daran gehindert werden nach dem Erstellen von Dateien die (geerbten) Berechtigungen zu ändern. Hintergrund: Kann ein Benutzer die Rechte ändern, so kann er auch den/die Administrator(en) komplett von diesem Ordner ausschließen, so dass der Admin diesen Ordner noch nicht einmal mehr löschen kann.
Servus. Das möchte ich mal sehen, dass man einen Admin aussperren kann.
