Probleme NTFS-Berechtigungen: gewollt oder ein Bug?
Hallo,
beim einrichten meiner Fileserver (1x Windows Server 2016, 1x CentOS7 mit SMB und Winbind) bin ich bei den NTFS-Berechtigungen auf ein Problem gestoßen.
Auf einigen Shares wird dem "Ersteller-Besitzer"-Prinzipal kein Vollzugriff erteilt, sondern lediglich das "Ändern"-Recht. Damit soll der Nutzer daran gehindert werden nach dem Erstellen von Dateien die (geerbten) Berechtigungen zu ändern. Hintergrund: Kann ein Benutzer die Rechte ändern, so kann er auch den/die Administrator(en) komplett von diesem Ordner ausschließen, so dass der Admin diesen Ordner noch nicht einmal mehr löschen kann.
Nun stellt es sich trotz dieser gesetzten Rechte aber anders da: Ein Besitzer eines Ordners/Datei kann immer die Berechtigungen ändern. Er kann auch die Vererbung auf diesen Objekten verhindern. Ist diese Verhalten normal? Und gibt es einen Trick das zu umgehen?
Das Einzige was mir bisher eingefallen ist: Dem Ersteller-Besitzer spezielle Berechtigungen erteilen und ihm das "Berechtigungen anzeigen"-Recht entziehen. Damit ist der Tab "Sicherheit" im Explorer-Fenster wenigstens deaktiviert und er kann nicht mehr rumspielen. Das ist aber für mich keine schöne Lösung.
beim einrichten meiner Fileserver (1x Windows Server 2016, 1x CentOS7 mit SMB und Winbind) bin ich bei den NTFS-Berechtigungen auf ein Problem gestoßen.
Auf einigen Shares wird dem "Ersteller-Besitzer"-Prinzipal kein Vollzugriff erteilt, sondern lediglich das "Ändern"-Recht. Damit soll der Nutzer daran gehindert werden nach dem Erstellen von Dateien die (geerbten) Berechtigungen zu ändern. Hintergrund: Kann ein Benutzer die Rechte ändern, so kann er auch den/die Administrator(en) komplett von diesem Ordner ausschließen, so dass der Admin diesen Ordner noch nicht einmal mehr löschen kann.
Nun stellt es sich trotz dieser gesetzten Rechte aber anders da: Ein Besitzer eines Ordners/Datei kann immer die Berechtigungen ändern. Er kann auch die Vererbung auf diesen Objekten verhindern. Ist diese Verhalten normal? Und gibt es einen Trick das zu umgehen?
Das Einzige was mir bisher eingefallen ist: Dem Ersteller-Besitzer spezielle Berechtigungen erteilen und ihm das "Berechtigungen anzeigen"-Recht entziehen. Damit ist der Tab "Sicherheit" im Explorer-Fenster wenigstens deaktiviert und er kann nicht mehr rumspielen. Das ist aber für mich keine schöne Lösung.
Please also mark the comments that contributed to the solution of the article
Content-Key: 430069
Url: https://administrator.de/contentid/430069
Printed on: April 18, 2024 at 19:04 o'clock
5 Comments
Latest comment
Zitat von @SeaStorm:
Hi
ist gewollt. Lösung ist, das die FREIGABE nicht mit "Vollzugriff" erstellt wird, sondern nur mit Ändern. Dann kann der Creator/owner das nicht mehr
Und dazu gab es von @DerWoWusste auch mal einen Beitrag dazu. Das man Jeder NICHT Vollzugriff gibt.Hi
ist gewollt. Lösung ist, das die FREIGABE nicht mit "Vollzugriff" erstellt wird, sondern nur mit Ändern. Dann kann der Creator/owner das nicht mehr
Gruss Penny.
Zitat von @BigBob:
Hallo,
Auf einigen Shares wird dem "Ersteller-Besitzer"-Prinzipal kein Vollzugriff erteilt, sondern lediglich das "Ändern"-Recht. Damit soll der Nutzer daran gehindert werden nach dem Erstellen von Dateien die (geerbten) Berechtigungen zu ändern. Hintergrund: Kann ein Benutzer die Rechte ändern, so kann er auch den/die Administrator(en) komplett von diesem Ordner ausschließen, so dass der Admin diesen Ordner noch nicht einmal mehr löschen kann.
Hallo,
Auf einigen Shares wird dem "Ersteller-Besitzer"-Prinzipal kein Vollzugriff erteilt, sondern lediglich das "Ändern"-Recht. Damit soll der Nutzer daran gehindert werden nach dem Erstellen von Dateien die (geerbten) Berechtigungen zu ändern. Hintergrund: Kann ein Benutzer die Rechte ändern, so kann er auch den/die Administrator(en) komplett von diesem Ordner ausschließen, so dass der Admin diesen Ordner noch nicht einmal mehr löschen kann.
Servus. Das möchte ich mal sehen, dass man einen Admin aussperren kann.