none
NTFS Berechtigungen - Administrator erhält automatisch Vollzugriff und kann trotz Verweigerung löschen? RRS feed

  • Frage

  • Hallo zusammen

    Folgendes Szenario: Ich möchte auf einem 2008R2 ein Backup erstellen (mit Personal Backup). Dazu habe ich einen BackupUser angelegt. Das Backup soll auf Festplatte F: gespeichert werden. In den Sicherheitseinstellungen des Laufwerks hat BackupUser vollzugriff. Die Gruppe Administratoren hat nur Lesezugriff und ausdrücklich Lösch- Schreib und Änderungsrechte verweigert. Weitere Berechtigungen gibt es nicht. Besitzer ist ebenfalls BackupUser.

    Ich bin als Administrator an der Konsole angemeldet und führe das Backup im Kontext von BackupUser aus. Das Backup läuft ganz normal durch, im Explorer sehe ich auch das angelegte Verzeichnis auf F: mit dem Schloss-Symbol gekennzeichnet. Klicke ich nun - weiterhin als Administrator angemeldet auf das Verzeichnis verschwindet das Schloss aber,  und in den Berechtigungen des Verzeichnisses und seiner Unterverzeichnisse wurden ERSTELLER-BESITZER ohne Rechte, SYSTEM mit Vollzugriff und auch die Gruppe der Adminisratoren mit Vollzugriff hinzugefügt. Der Administrator kann nun das Verzeichnis problemlos löschen, was jedoch absolut unerwünscht ist.

    Geblieben sind die vererbten Berechtigungen vom Stammverzeichnis, also auch die explizite Verweigerung der Löschrechte für die Gruppe der Administratoren. Da Verweigerungen eigentlich vor Berechtigungen gehen, sollte spätestens eigentlich hier der Administrator am löschen gehindert werden, das ist jedoch nicht der Fall.

    Frage: Warum ist das so, und wie kann ich es verhindern? Der Plan war eigentlich, dass - wie für das Hauptverzeichnis eingestellt - nur der BackupUser vollzugriff auf die Backups haben soll und sonst jeder andere nur Lesezugriff.

    Beste Grüße

    Holger


    Dienstag, 24. Juli 2018 18:42

Antworten

  • Hallo zusammen,

    danke für eure Antworten. Es war ein wirklich dummer Fehler von mir. Windows verhält sich tatsächlich genau wie erwartet und gewollt, nur wenn man im Backup halt einstellt "Originale Dateiberechtigungen übernehmen" dann darf mann sich nicht wundern. Peinlich, peinlich.

    Trotzdem was dazugelernt. Was mir klar war: Verweigern hat Vorrang vor zulassen. Was mir nicht klar war:  Explizites Zulassen hat Vorrang vor vererbten verweigern.

    • Als Antwort markiert Holger Keil Mittwoch, 25. Juli 2018 14:55
    Mittwoch, 25. Juli 2018 14:55

Alle Antworten

  • Einen Administrator kann man nicht ausschließen.
    Selbst wenn man es versucht, kommt meist, wenn eingestellt, die UAC-Meldung. Mit Bestätigung kommt man dann trotzdem weiter.
    Und wenn man denn nicht weiter kommt, so kann ein Administrator per erweiterter Einstellung sich als Besitzer (Owner) eintragen und schwupps, gehts schon wieder.

    "und führe das Backup im Kontext von BackupUser aus."

    Wie passiert dies denn?
    Es kann nämlich durchaus sein, dass der Backup als neuer Prozess wiederum unter Admin läuft.
    Und was du auch nicht schreibst: wer ist als Besitzer der Datei/des Verzeichnises denn eingetragen?

    Mittwoch, 25. Juli 2018 08:35
  • Dass es letztlich immer eine Möglichkeit gibt ist klar, es soll nicht allzu einfach sein.

    Grundsätzlich lässt sich der Administrator schon erstmal ausschließen. Ich kann als Administrator ja an dem Laufwerk ja auch keinerlei Änderungen mehr machen, nachdem ich ihm selber erstmal die Rechte entzogen habe (natürlich kann ich das Laufwerk aber formatieren und somit wieder zugang erlangen, aber das soll hier nicht der Punkt sein). Versuche ich als Administrator eine Datei auf dem Laufwerk zu erstellen, so funktioniert das nicht wegen fehlender berechtigungen. Auch die UAC meldet sich nicht um Credentials abzufragen. Soweit so schön. Mit den Berechtigungen wie sie im Stammverzeichnis gesetzt sind, würde also erstmal alles so funktionieren wie ich es möchte. Problem ist nur, dass für die neu erstellten Dateien und Verzeichnisse automatsich Berechtigungen hinzugefügt werden.

    Im Kontext des BackupUsers entweder über ein Dienstprogramm von Personal Backup oder über die Windows Aufgabenplanung. Der Prozess läuft auch unter dem BackupUser, wie vorstehend könnte er als Administrator ja nicht schreiben. Der Besitzer der geschriebenen Dateien und Verzeichnisse ist ebenfalls BackupUser.

    Mittwoch, 25. Juli 2018 08:47
  • > Ich bin als Administrator an der Konsole angemeldet und führe das Backup im Kontext von BackupUser aus. Das Backup läuft ganz normal durch, im Explorer sehe ich auch das angelegte Verzeichnis auf F: mit dem Schloss-Symbol gekennzeichnet. Klicke ich nun - weiterhin als Administrator angemeldet auf das Verzeichnis verschwindet das Schloss aber,  und in den Berechtigungen des Verzeichnisses und seiner Unterverzeichnisse wurden ERSTELLER-BESITZER ohne Rechte, SYSTEM mit Vollzugriff und auch die Gruppe der Adminisratoren mit Vollzugriff hinzugefügt. Der Administrator kann nun das Verzeichnis problemlos löschen, was jedoch absolut unerwünscht ist.

    UAC aktiviert und bei "Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren" hast Du "Erhöhte Rechte ohne Eingabeaufforderung" aktiviert? Dann passiert genau das - der Elevation-Dialog wird automatisch bestätigt, und im Fall von fehlenden Rechten ergänzt Explorer dann stillschweigend die ACL.
     -- Greetings/Grüße, Martin

    Mittwoch, 25. Juli 2018 10:14
  • Das Thema Berechtigungen (NTFS wirde mit Windows 2000 eingeführt) ist hier ganz gut erklärt:
    https://technet.microsoft.com/en-us/library/dd277411.aspx?f=255&MSPPError=-2147217396

    Das Stichwort ist hier i.W. Vererbung (inheritence).
    Wenn die Berechtigungen als zu vererben (all subfolders and files) markiert sind, wird die sog. ACL an jedes Objekt angehängt, bekommt also keine neue ACL. Somit wird jede Änderung an der Haupt-ACL sofort auf alle Objekt wirksam.

    Wird eine neue ACL für ein Objekt erstellt, so ist der Default für "Jeder" immer Lesen/Ausführen.
    Jeder Ersteller ist also selber dafür verantwortlich, wie er die neue Datei berechtigt, wenn er sich nicht auf die Berechtigungen des Verzeichnisses verlässt.

    Windows selber macht da überhaupt nichts.

    Die Frage ist also, ob der BackupUser ggf. seine Verzeichnisse und Dateien mit eigenen Berechtigungen versieht.
    Dies kann man ggf. einschränken, wenn man auch als Admin erstmal auch das Root-Verzeichnis nicht zu sehen bekommt.

    Diese Berechtigung kann man aber nur erteilen, wenn man als Backupuser angemeldet ist und ihm das Verzeichnis gehört.

    • Als Antwort vorgeschlagen Der Suchende Mittwoch, 25. Juli 2018 16:36
    Mittwoch, 25. Juli 2018 10:23
  • Somit wird jede Änderung an der Haupt-ACL sofort auf alle Objekt wirksam.

    Nur wenn Du danach durchvererbst (was der Explorer automatisch macht) :-)) Defacto hat jeder ACL-Eintrag ein Flag "inherited". Ist das gesetzt, dann kam die ACL ursprünglich durch "Vererben" an das Objekt und ist in allen GUIs nicht bearbeitbar. Aber es ist und bleibt eine DACL, und eine Änderung der topmost "Grandmother of all ALC" führt in keinem Fall automatisch zu einem Update der untergeordneten ACLs.

    Persönlich finde ich das einfach nur ungüstig übersetzt. Englisch ist es viel klarer - da heißt es nicht "vererbt", sondern "inherited". Wäre deutsch besser "geerbt", und das weist einen Tick besser darauf hin, daß das nicht "von oben heruntergereicht" wurde, sondern "unten quasi von oben genommen". Klingt jetzt auch blöd, aber vielleicht wißt Ihr, was ich meine :-)

    Diese Berechtigung kann man aber nur erteilen, wenn man als Backupuser angemeldet ist und ihm das Verzeichnis gehört.

    Eigentlich braucht ein Backup-User nur 2 Dinge:
    1. Ändern-Rechte auf das Backup-Ziel
    2. seBackupPrivilege und ggf. seRestorePrivilege auf dem Quellsystem

    Dazu noch das passende Anmelderecht (Dienst/Batch/Interaktiv, jeder wie er mag...).

    Mittwoch, 25. Juli 2018 14:47
  • Hallo zusammen,

    danke für eure Antworten. Es war ein wirklich dummer Fehler von mir. Windows verhält sich tatsächlich genau wie erwartet und gewollt, nur wenn man im Backup halt einstellt "Originale Dateiberechtigungen übernehmen" dann darf mann sich nicht wundern. Peinlich, peinlich.

    Trotzdem was dazugelernt. Was mir klar war: Verweigern hat Vorrang vor zulassen. Was mir nicht klar war:  Explizites Zulassen hat Vorrang vor vererbten verweigern.

    • Als Antwort markiert Holger Keil Mittwoch, 25. Juli 2018 14:55
    Mittwoch, 25. Juli 2018 14:55
  • Wie ich schon sagte;-):

    "Die Frage ist also, ob der BackupUser ggf. seine Verzeichnisse und Dateien mit eigenen Berechtigungen versieht."

    was ja durch deine Aussage "Originale Dateiberechtigungen übernehmen" bestätigt wird.
    Es wäre daher sehr nett von dir, wenn du meine obige Antwort bestätigst.

    Mittwoch, 25. Juli 2018 15:33