• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

Nov 17, 2016 (Letztes Update) | Posted by Alexander Rieder Administration |

 

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

Einführung und Beschreibung der Creator Owner-Berechtigung.

Potentielle Gefahren die von ihr ausgehen, wenn die Berechtigungen für einen User geändert werden und wie diese umgangen werden können.

 

Inhaltsverzeichnis

  • 1 Wozu dient die Creator Owner/Ersteller Besitzer -Gruppe
  • 2 Beispielszenario
  • 3 Auswirkungen
  • 4 Lösung

Wozu dient die Creator Owner/Ersteller Besitzer -Gruppe

Die „Creator Owner/Ersteller Besitzer“ Berechtigung dient als Template.
Das bedeutet, dass ein Benutzer auf einem beliebigen „Verzeichnis“ (siehe Abbildung 1) die Rechte hat Unterverzeichnisse oder Dateien anzulegen. Der User erhält auf das von ihm angelegte Verzeichnis genau die Berechtigungen, die die Gruppe„Creator Owner / Ersteller Besitzer“ Gruppe auf dem „Parent Folder“ besitzt.

NTFS-Creator-Owner

Abbildung 1

 

Beispielszenario

Wir haben hier ein Beispielverzeichnis „Accounting“, welches der Netzwerkfreigabe dient. Die ACL ist auf Abbildung 1 einzusehen. Zu beachten sind die Berechtigungen „Creator Owner/Ersteller Besitzer“ und „Test-Group01“ (siehe auch Abbildung 2 und Abbildung 3)

NTFS-Creator-Owner2

Abbildung 2

In Abbildung ist zu sehen, dass die „Creator Owner/Ersteller Besitzer“-Gruppe Vollzugriff auf unser „Accounting“-Verzeichnis hat.

Permission-Entry

Abbildung 3

In unserer „Test-Group01“ befindet sich der User „Max Mustermann“ aus unserer Domäne „DC01“.
Alle User die Mitglied der Gruppe „Test-Group01“ sind, erhalten spezielle Rechte in diesem Verzeichnis.

Legt der User „Max Mustermann“ unter „Accounting“ ein Verzeichnis an, so erhält er durch die Creator Owner/Ersteller Besitzer“ Berechtigung auf dieses Verzeichnis auch Vollzugriff und Ownership auf das von ihm angelegte Unterverzeichnis (siehe Abbildung 4 und Abbildung 5).

Test-Properties

Abbildung 4

Advanced-Settings

Abbildung 5

 

Auswirkungen

Dieses Verhalten ist von Microsoft im NTFS Standard vorgegeben, kann jedoch vor allem in größeren Umgebungen einige Nachteile mit sich bringen.

Nehmen wir als Bsp. das oben verwendete Szenario und stellen uns vor, dass wir uns in einer größeren Umgebung (ca. 20000 User) befinden. „Max Mustermann“ legt unterhalb von „Accounting“ ein Verzeichnis „sensible Daten“ an und erbt die „Creator Owner / Ersteller Besitzer“ Berechtigungen. Er ist nun explizit als „Owner / Besitzer“ berechtigt und erhält Vollzugriff auf das Verzeichnis „sensible Daten“.

Durch einen Wechsel werden ihm die Berechtigung auf das „Accounting“ Verzeichnis entzogen. Er kann das Verzeichnis „Accounting“ folglich nicht mehr lesen. Durch seine explizite Berechtigung auf dem Verzeichnis „sensible Daten“, welche er vorher durch das „Creator Owner“ Template erbte, hätte Max Mustermann aber immer noch die Möglichkeit auf dieses Verzeichnis zuzugreifen. Das kann sehr schnell zu internen Sicherheitsproblemen führen, da die Berechtigungssteuerung durch Berechtigungsgruppen hier ausgehebelt wird.

Die Nachvollziehbarkeit der Berechtigungsvergabe ist nicht mehr gegeben.
 

Lösung

Die Lösung um dieses Verhalten zu beseitigen ist ganz simpel.

Man entfernt einfach die Berechtigung „Creator Owner/Ersteller Besitzer“.
Somit gelten auf neu angelegte Unterverzeichnisse oder neue Dateien nur noch die von oben vererbten Berechtigungen.
Die zusätzlichen Berechtigungen durch das „Creator Owner“ Template werden nicht angewendet. Dies kann bedenkenlos gemacht werden, es treten keine weiteren Einschränkungen auf.
 


 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting
| File Server Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 23.10.2015
Tags: BerechtigungCreator OwnerNTFS
0

You also might be interested in

snippet-inkonsistene-berechtigung

Inkonsistente Berechtigungen im Global Catalog

Jan 29, 2015

Wer mit Hilfe von Active Directory Gruppen Berechtigungen auf Ressourcen[...]

Least Privileg: Minimale Berechtigungen um Computer ins AD zu joinen

Jan 6, 2012

Welche Berechtigungen sind nötig um einen Computer zu einer Domäne[...]

Ownership auf NTFS-Volumes setzen

Jul 25, 2013

Bei einer Migration von User-Profilen bei unserem Kunden sind wir[...]

2 Comments

Leave your reply.
  • Jan
    · Antworten

    12. Mai 2016 at 8:27 AM

    hello senk ju it wos gutt for mi

    • Matthias Rudolph
      · Antworten

      12. Mai 2016 at 11:55 AM

      Wir freuen uns, dass es geholfen hat.

      In case you prefer English posts, check our sister page http://www.activedirectoryfaq.com 😉

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next