Windows NTFS ACL vorhanden, wird aber nicht angewendet

Mitglied: HBCSDL

HBCSDL (Level 1)

08.03.2016, aktualisiert 11:34 Uhr, 963 Aufrufe, 4 Kommentare

Hallo, ich habe ein sehr eigenartiges Problem, zu dem ich bisher trotz intensiver Suche keine Lösung gefunden habe. Auf einem Windows 2012 R2 Server gibt es ein Verzeichnis mit sehr umfangreichem Inhalt und komplexen Berechtigungen für verschiedene Freigaben. Das nur vorweg, weil es dadurch nicht einfach neu erstellt werden kann.

Auf diesem Verzeichnis liegen auf den unterschiedlichsten Ordnern unterschiedliche Berechtigungen. Unter anderem gibt es auch Berechtigungen für die lokale Gruppe Administratoren, die als Mitglied die Domänenadministratorengruppe enthält sowie auch Berechtigungen, die direkt für die Gruppe der Domänenadministratoren vergeben wurden. Allerdings bekommen die Admins keinen direkten Zugriff auf Verzeichnisse und Dokumente. Es erscheint die Fehlermeldung: "Sie verfügen momentan nicht über die Berechtigung ..." Erzwingt man sich den Zugriff über die Schaltfläche "Fortsetzen" wird automatisch zusätzlich das Benutzerkonto des angemeldeten Admins in die ACL eingetragen, die Gruppenrechte werden weiterhin ignoriert.

Lässt man sich mit icacls *.* die Rechte anzeigen, wird der Zugriff auf die entsprechenden Unterverzeichnisse verweigert. Mit icacls *.* /c werden die Rechte angezeigt. Also auch die, die man eigentlich hat. Aber sie werden eben nicht angewendet. In den erweiterten Sicherheitseinstellungen der Ordnereigenschaften kann man sich die effektiven Berechtigungen anzeigen lassen. Diese bestätigen die Vollzugriffsrechte.

Auch eine neue (zweite) Admingruppe, die nachträglich auf das Verzeichnis gelegt wird, löst das Problem nicht.

Hat jemand eine Idee?

Vielen Dank!!!
4 Kommentare
Mitglied: DerWoWusste
LÖSUNG 08.03.2016, aktualisiert um 11:34 Uhr
Hi.

Das ist die UAC. Bekanntes "Problem" auf Dateiservern. Nimm einen Dateiexplorer, den Du explizit als Admin starten kannst (Totalcommander) oder schalte den Explorer dafür frei.
Mitglied: HBCSDL
08.03.2016 um 11:37 Uhr
Vielen Dank für die schnelle Antwort. Wir scheinen auf dem richtigen Weg zu sein, mit Total Commander erhalte ich tatsächlich Zugriff. Allerdings ist die UAC abgeschaltet und es funktioniert nur auf einem ganz speziellen Verzeichnis (mit seinen Unterverzeichnissen) nicht. Wenn ich auf dem selben Laufwerk ein neues Verzeichnis anlege und die selben Rechte eintrage, gibt es kein Problem.
Mitglied: DerWoWusste
08.03.2016 um 11:39 Uhr
Wäre die UAC aus, dürfte "fortsetzen" überhaupt nicht kommen, Seltsam, prüf das noch mal. Oder hast Du sie gerade ausgeschaltet und noch nicht neu gestartet?
Mitglied: HBCSDL
08.03.2016, aktualisiert um 13:00 Uhr
Nein, die ist schon ewig aus. Außerdem ist es ja auch nur ein Verzeichnis :-( face-sad

Aber du hast Recht, es MUSS irgendetwas mit der UAC sein. Ich werde noch ein bisschen forschen. DANKE!!