• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Ownership auf NTFS-Volumes setzen

Jul 26, 2013 (Letztes Update) | Posted by Hannes Hayashi Migration |

 

Bei einer Migration von User-Profilen bei unserem Kunden sind wir auf eine interessante Tatsache gestoßen:

Der Nutzer, der den Kopiervorgang durchführt, wird standardmäßig als Owner des Ordners im Ziel eingetragen. Unser Programm sollte aber definitiv den Owner des Verzeichnisses auf den jeweiligen AD-User setzen.

Bei einem Test mit einem Domain-Admin war das Setzen der Ownership auch kein Problem. Nur mit unserem Service-User war dies nicht möglich. Aber den Service-User für die Migration in die Domain-Admin Gruppe aufzunehmen, war aber natürlich keine Option.

Wir prüften also die Berechtigungen unseres Users im Ziel und stellten fest, dass wir überall Full-Control hatten. Dennoch erhielten wir eine Fehlermeldung, wenn wir versuchten den Owner einer Datei zu verändern. Der Grund, stellte sich heraus, war denkbar einfach.

 

Ownership von Verzeichnissen durch User ändern

Das Setzen der Ownership von Dateien und Ordnern hat nichts mit den NTFS-Berechtigungen auf dem Datei-System zu tun. Es ist vielmehr ein Privileg, welches sich im Token des Users befinden muss, der sich gegen das Ziel-System authentifiziert.

Das Recht ist „WRITE_OWNER“ und es ist im Privileg „SE_RESTORE_NAME“ enthalten.

Standardmäßig haben unter Windows genau zwei Sicherheitsgruppen dieses Privileg

  • lokalen Administratoren (und damit auch Domain Administratoren)
  • Backup-Operators

Wenn ein User die Ownership von Verzeichnissen verändern können soll und kein lokaler (oder Domain) Administrator sein darf, ist die Gruppe „Backup-Operators“ die einfachste Lösung.

Es ist außerdem möglich das Privileg direkt über eine Gruppenrichtlinie zu vergeben. Die Einstellung befindet sich im gpedit.msc unter:

Richtlinien für Lokaler Computer -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Sichern von Dateien und Verzeichnissen

Oder auf einem Englischen System:

Local Computer Policy -> Computer Configuration -> Windows Settings -> Securitry Settings -> Local Policies -> User Rights Assignment -> Restore files and directories

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 25.07.2013
Tags: NTFSOwnershipUser Migration
0

You also might be interested in

ntf-authorization-creator-owner-berechtigung

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

Okt 23, 2015

Einführung und Beschreibung der Creator Owner-Berechtigung. Potentielle Gefahren die von[...]

NTFS / ACL - Dateien verschwinden nach Verschieben

Windows 7 – Geändertes Verhalten beim Verschieben

Mrz 30, 2015

Mit Windows 7 hat sich scheinbar das Verhalten des Windows[...]

Leave a Reply

Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren
  • Mailversand über O365 automatisieren
  • AD LDS Installation und Backup mit Powershell
  • E-Mail-Adresse mit PowerShell prüfen


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Sebastian Goras bei IsMember – Gruppenmitgliedschaft des Benutzers prüfen
  • Paul bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Steve König bei AD PowerShell Basics 1: New-ADUser
Login
Impressum
Datenschutzerklärung

© 2020 · Active-Directory-FAQ by firstattribute.com

Prev Next