NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

Einführung und Beschreibung der Creator Owner-Berechtigung.

Potentielle Gefahren die von ihr ausgehen, wenn die Berechtigungen für einen User geändert werden und wie diese umgangen werden können.

Wozu dient die Creator Owner/Ersteller Besitzer -Gruppe

Die „Creator Owner/Ersteller Besitzer“ Berechtigung dient als Template.
Das bedeutet, dass ein Benutzer auf einem beliebigen „Verzeichnis“ (siehe Abbildung 1) die Rechte hat Unterverzeichnisse oder Dateien anzulegen. Der User erhält auf das von ihm angelegte Verzeichnis genau die Berechtigungen, die die Gruppe„Creator Owner / Ersteller Besitzer“ Gruppe auf dem „Parent Folder“ besitzt.

Abbildung 1

Beispielszenario

Wir haben hier ein Beispielverzeichnis „Accounting“, welches der Netzwerkfreigabe dient. Die ACL ist auf Abbildung 1 einzusehen. Zu beachten sind die Berechtigungen „Creator Owner/Ersteller Besitzer“ und „Test-Group01“ (siehe auch Abbildung 2 und Abbildung 3)

Abbildung 2

In Abbildung ist zu sehen, dass die „Creator Owner/Ersteller Besitzer“-Gruppe Vollzugriff auf unser „Accounting“-Verzeichnis hat.

Abbildung 3

In unserer „Test-Group01“ befindet sich der User „Max Mustermann“ aus unserer Domäne „DC01“.
Alle User die Mitglied der Gruppe „Test-Group01“ sind, erhalten spezielle Rechte in diesem Verzeichnis.

Legt der User „Max Mustermann“ unter „Accounting“ ein Verzeichnis an, so erhält er durch die Creator Owner/Ersteller Besitzer“ Berechtigung auf dieses Verzeichnis auch Vollzugriff und Ownership auf das von ihm angelegte Unterverzeichnis (siehe Abbildung 4 und Abbildung 5).

Abbildung 4

Abbildung 5

Auswirkungen

Dieses Verhalten ist von Microsoft im NTFS Standard vorgegeben, kann jedoch vor allem in größeren Umgebungen einige Nachteile mit sich bringen.

Nehmen wir als Bsp. das oben verwendete Szenario und stellen uns vor, dass wir uns in einer größeren Umgebung (ca. 20000 User) befinden. „Max Mustermann“ legt unterhalb von „Accounting“ ein Verzeichnis „sensible Daten“ an und erbt die „Creator Owner / Ersteller Besitzer“ Berechtigungen. Er ist nun explizit als „Owner / Besitzer“ berechtigt und erhält Vollzugriff auf das Verzeichnis „sensible Daten“.

Durch einen Wechsel werden ihm die Berechtigung auf das „Accounting“ Verzeichnis entzogen. Er kann das Verzeichnis „Accounting“ folglich nicht mehr lesen. Durch seine explizite Berechtigung auf dem Verzeichnis „sensible Daten“, welche er vorher durch das „Creator Owner“ Template erbte, hätte Max Mustermann aber immer noch die Möglichkeit auf dieses Verzeichnis zuzugreifen. Das kann sehr schnell zu internen Sicherheitsproblemen führen, da die Berechtigungssteuerung durch Berechtigungsgruppen hier ausgehebelt wird.

Die Nachvollziehbarkeit der Berechtigungsvergabe ist nicht mehr gegeben.
 

Lösung

Die Lösung um dieses Verhalten zu beseitigen ist ganz simpel.

Man entfernt einfach die Berechtigung „Creator Owner/Ersteller Besitzer“.
Somit gelten auf neu angelegte Unterverzeichnisse oder neue Dateien nur noch die von oben vererbten Berechtigungen.
Die zusätzlichen Berechtigungen durch das „Creator Owner“ Template werden nicht angewendet. Dies kann bedenkenlos gemacht werden, es treten keine weiteren Einschränkungen auf.