• administration
  • migration
  • powershell
  • kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQ Active Directory FAQ
  • administration
  • migration
  • powershell
  • kontakt
  • EN

Ownership auf NTFS-Volumes setzen

Jul 26, 2013 (Letztes Update) | Posted by Hannes Siefert | Migration |

 

Bei einer Migration von User-Profilen bei unserem Kunden sind wir auf eine interessante Tatsache gestoßen:

Der Nutzer, der den Kopiervorgang durchführt, wird standardmäßig als Owner des Ordners im Ziel eingetragen. Unser Programm sollte aber definitiv den Owner des Verzeichnisses auf den jeweiligen AD-User setzen.

Bei einem Test mit einem Domain-Admin war das Setzen der Ownership auch kein Problem. Nur mit unserem Service-User war dies nicht möglich. Aber den Service-User für die Migration in die Domain-Admin Gruppe aufzunehmen, war aber natürlich keine Option.

Wir prüften also die Berechtigungen unseres Users im Ziel und stellten fest, dass wir überall Full-Control hatten. Dennoch erhielten wir eine Fehlermeldung, wenn wir versuchten den Owner einer Datei zu verändern. Der Grund, stellte sich heraus, war denkbar einfach.

 

Ownership von Verzeichnissen durch User ändern

Das Setzen der Ownership von Dateien und Ordnern hat nichts mit den NTFS-Berechtigungen auf dem Datei-System zu tun. Es ist vielmehr ein Privileg, welches sich im Token des Users befinden muss, der sich gegen das Ziel-System authentifiziert.

Das Recht ist „WRITE_OWNER“ und es ist im Privileg „SE_RESTORE_NAME“ enthalten.

Standardmäßig haben unter Windows genau zwei Sicherheitsgruppen dieses Privileg

  • lokalen Administratoren (und damit auch Domain Administratoren)
  • Backup-Operators

Wenn ein User die Ownership von Verzeichnissen verändern können soll und kein lokaler (oder Domain) Administrator sein darf, ist die Gruppe „Backup-Operators“ die einfachste Lösung.

Es ist außerdem möglich das Privileg direkt über eine Gruppenrichtlinie zu vergeben. Die Einstellung befindet sich im gpedit.msc unter:

Richtlinien für Lokaler Computer -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Sichern von Dateien und Verzeichnissen

Oder auf einem Englischen System:

Local Computer Policy -> Computer Configuration -> Windows Settings -> Securitry Settings -> Local Policies -> User Rights Assignment -> Restore files and directories

Artikel weiterempfehlen:
  • xingen
  • sharen
  • tweeten
  • teilen
  • Google+
  • mailen
Artikel erstellt am: 25.07.2013
Tags: NTFSOwnershipUser Migration
0

You also might be interested in

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

Okt 23, 2015

Einführung und Beschreibung der Creator Owner-Berechtigung. Potentielle Gefahren die von[...]

Windows 7 – Geändertes Verhalten beim Verschieben

Windows 7 – Geändertes Verhalten beim Verschieben

Mrz 30, 2015

Mit Windows 7 hat sich scheinbar das Verhalten des Windows[...]

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

Cancel Reply

Neueste Artikel

  • Native Linux-Bash unter Windows
  • AD DS und AD LDS im Direktvergleich
  • Powershell 6 & .NET-Core – Die Zukunft?
  • Seltene AD Attribute mit PowerShell setzen
  • OUs einfach exportieren und importieren
  • Tasks per PowerShell anlegen
  • PowerShell Skripte zeitgesteuert ausführen mit Task Scheduler
  • Primäre E-Mail-Adresse ändern mit PowerShell
  • Einfaches Datenmapping mit Calculated Properties (PS)
  • Pester: Test-Framework für PowerShell

Links

  • FirstAttribute – AD Consulting
  • FirstAttribute – Migrationen
  • Jobs bei FirstAttribute
  • FirstAttribute – Software

Kategorien

  • Administration
  • Citrix
  • Cloud
  • Exchange
  • KnowHow
  • Konfiguration
  • Migration
  • PowerShell
  • Programmierung
  • Quest Migration Manager
  • SharePoint
  • Tools

AD Gruppen dynamisch machen

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt azure Azure AD Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM Exchange Quest Migration Manager Schema Set-ADUser SharePoint SID SID History Windows 10 Windows Server 2012 R2 ZCM

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Ohne nachdenken. Active Directory ganz anders. FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt azure Azure AD Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM Exchange Quest Migration Manager Schema Set-ADUser SharePoint SID SID History Windows 10 Windows Server 2012 R2 ZCM

Neue Kommentare

  • Paul bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Steve König bei AD PowerShell Basics 1: New-ADUser
  • Dennis bei AD PowerShell Basics 1: New-ADUser
Login

© 2019 · Active-Directory-FAQ by firstattribute.com

Prev Next