Ownership auf NTFS-Volumes setzen
Bei einer Migration von User-Profilen bei unserem Kunden sind wir auf eine interessante Tatsache gestoßen:
Der Nutzer, der den Kopiervorgang durchführt, wird standardmäßig als Owner des Ordners im Ziel eingetragen. Unser Programm sollte aber definitiv den Owner des Verzeichnisses auf den jeweiligen AD-User setzen.
Bei einem Test mit einem Domain-Admin war das Setzen der Ownership auch kein Problem. Nur mit unserem Service-User war dies nicht möglich. Aber den Service-User für die Migration in die Domain-Admin Gruppe aufzunehmen, war aber natürlich keine Option.
Wir prüften also die Berechtigungen unseres Users im Ziel und stellten fest, dass wir überall Full-Control hatten. Dennoch erhielten wir eine Fehlermeldung, wenn wir versuchten den Owner einer Datei zu verändern. Der Grund, stellte sich heraus, war denkbar einfach.
Ownership von Verzeichnissen durch User ändern
Das Setzen der Ownership von Dateien und Ordnern hat nichts mit den NTFS-Berechtigungen auf dem Datei-System zu tun. Es ist vielmehr ein Privileg, welches sich im Token des Users befinden muss, der sich gegen das Ziel-System authentifiziert.
Das Recht ist „WRITE_OWNER“ und es ist im Privileg „SE_RESTORE_NAME“ enthalten.
Standardmäßig haben unter Windows genau zwei Sicherheitsgruppen dieses Privileg
- lokalen Administratoren (und damit auch Domain Administratoren)
- Backup-Operators
Wenn ein User die Ownership von Verzeichnissen verändern können soll und kein lokaler (oder Domain) Administrator sein darf, ist die Gruppe „Backup-Operators“ die einfachste Lösung.
Es ist außerdem möglich das Privileg direkt über eine Gruppenrichtlinie zu vergeben. Die Einstellung befindet sich im gpedit.msc unter:
Richtlinien für Lokaler Computer -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Sichern von Dateien und Verzeichnissen
Oder auf einem Englischen System:
Local Computer Policy -> Computer Configuration -> Windows Settings -> Securitry Settings -> Local Policies -> User Rights Assignment -> Restore files and directories
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>