Ownership auf NTFS-Volumes setzen

(Letztes Update) | Posted by | Migration |

 

Bei einer Migration von User-Profilen bei unserem Kunden sind wir auf eine interessante Tatsache gestoßen:

Der Nutzer, der den Kopiervorgang durchführt, wird standardmäßig als Owner des Ordners im Ziel eingetragen. Unser Programm sollte aber definitiv den Owner des Verzeichnisses auf den jeweiligen AD-User setzen.

Bei einem Test mit einem Domain-Admin war das Setzen der Ownership auch kein Problem. Nur mit unserem Service-User war dies nicht möglich. Aber den Service-User für die Migration in die Domain-Admin Gruppe aufzunehmen, war aber natürlich keine Option.

Wir prüften also die Berechtigungen unseres Users im Ziel und stellten fest, dass wir überall Full-Control hatten. Dennoch erhielten wir eine Fehlermeldung, wenn wir versuchten den Owner einer Datei zu verändern. Der Grund, stellte sich heraus, war denkbar einfach.

 

Ownership von Verzeichnissen durch User ändern

Das Setzen der Ownership von Dateien und Ordnern hat nichts mit den NTFS-Berechtigungen auf dem Datei-System zu tun. Es ist vielmehr ein Privileg, welches sich im Token des Users befinden muss, der sich gegen das Ziel-System authentifiziert.

Das Recht ist „WRITE_OWNER“ und es ist im Privileg „SE_RESTORE_NAME“ enthalten.

Standardmäßig haben unter Windows genau zwei Sicherheitsgruppen dieses Privileg

  • lokalen Administratoren (und damit auch Domain Administratoren)
  • Backup-Operators

Wenn ein User die Ownership von Verzeichnissen verändern können soll und kein lokaler (oder Domain) Administrator sein darf, ist die Gruppe „Backup-Operators“ die einfachste Lösung.

Es ist außerdem möglich das Privileg direkt über eine Gruppenrichtlinie zu vergeben. Die Einstellung befindet sich im gpedit.msc unter:

Richtlinien für Lokaler Computer -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Sichern von Dateien und Verzeichnissen

Oder auf einem Englischen System:

Local Computer Policy -> Computer Configuration -> Windows Settings -> Securitry Settings -> Local Policies -> User Rights Assignment -> Restore files and directories

Artikel erstellt am: 25.07.2013
Tags:

You also might be interested in

Windows 7 – Geändertes Verhalten beim Verschieben

Windows 7 – Geändertes Verhalten beim Verschieben

Mit Windows 7 hat sich scheinbar das Verhalten des Windows[...]

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

Einführung und Beschreibung der Creator Owner-Berechtigung. Potentielle Gefahren die von[...]

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

FirstAttribute

AD Gruppen dynamisch machen

DynamicGroup

© 2020 · Active-Directory-FAQ by firstattribute.com