Nutzer auf neuem Clientrechner ohne Adminrechte

Mitglied: Wahl66

Wahl66 (Level 1)

22.08.2007, aktualisiert 20:24 Uhr, 3753 Aufrufe, 19 Kommentare

Ich habe unserem Netzwerk (Windows 2003 SBS, Clients mit XP Prof) einen neuen Rechner wie üblich hinzugefügt. Alles funktioniert auch problemlos, aber ein Nutzer mit Adminrechten in der Domäne hat vom neuen Client aus keine Admin- sondern nur normale Benutzerrechte, die er von einem der anderen Clients aber ausüben kann! Nicht mal der Administrator erhält die üblichen Rechte! Es kann nicht an den Userrechten liegen, sondern muss mit dem Clientrechner zusammenhängen?!
Vielen Dank für schnelle Hilfe!
Mitglied: SlainteMhath
22.08.2007 um 10:20 Uhr
Gibts Meldungen im Eventlog des Rechners? Im Zweifelsfall würd' ich den PC einfach nochmal aus der Domäne rausnehmen und danach nochmal joinen.
Mitglied: 51705
22.08.2007 um 10:22 Uhr
Nutzt du eine Richtlinie, welche die Domänen-Admins der Gruppe der lokalen Administratoren hinzufügt?
Mitglied: Wahl66
22.08.2007 um 10:27 Uhr
Danke für die schnelle Antwort!
Eventlog, wo finde ich das?
Das habe ich bereits einmal getan, das Ergebnis war leider das gleiche!
Mitglied: Wahl66
22.08.2007 um 10:28 Uhr
Wie kann ich das herausfinden?
Mitglied: 51705
22.08.2007 um 10:38 Uhr
in dem du:

a) auf dem PC schaust, wer alles Mitglied der Gruppe Administratoren ist
b) Mit dem Gruppenrichtlinienergebnisassistenten

Falls die Domänen-Admins nicht Mitglied sind, solltest du eine entsprechende Richtlinie erstellen.

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Eingeschränkte Gruppen
-> Gruppe hinzufügen: Administratoren
-> Mitglieder dieser Gruppe: Hinzufügen -> Domänen-Admins

Dafür sorgen, das die Richtlinie auf den PCs angewendet wird (Gruppenrichtlinienergebnisassistenten)
Mitglied: SlainteMhath
22.08.2007 um 10:43 Uhr
Eventlog, wo finde ich das?
Arbeitsplatz -> Verwalten -> Ereignisprotokoll
Mitglied: Wahl66
22.08.2007 um 10:52 Uhr
Die Domänen-Admins sind Mitglied der Gruppe Administratoren auf dem Client.
Mitglied: 51705
22.08.2007 um 11:01 Uhr
Kannst du mal ein Beispiel geben, wo die fehlenden Adminrechte auftreten?
Mitglied: Wahl66
22.08.2007 um 11:11 Uhr
Vielen Dank für Deine Geduld!
Aufgefallen ist das Problem beim Hinzufügen eines Clients zu einem auf dem Server liegenden Programm. Dabei ist die Erstellung von Ordnern auf dem Server zur Ablage der Client-Rechner-Informationen notwendig. Diese Ordnererstellung wird nicht gestattet. Der Versuch, als User mit Adminrechten einen Ordner auf dem Server vom (neuen) Client aus in einem Verzeichnis, in welchem das "normalen" Benutzern nicht erlaubt ist, zu erstellen, scheitert mit der Meldung "... konnte nicht erstellt werden, Zugriff verweigert". Von einem beliebigen anderen Client funktioniert das bei gleichem Anmeldenamen problemlos!
Mitglied: 51705
22.08.2007 um 11:18 Uhr
Wer genau legt muß dieses Verzeichnis anlegen (Admin-Account oder Computer-Account)?

Was passiert, wenn du versuchst vom Client aus dieses Verzeichnis manuell anzulegen (ich gehe davon aus, das du in deiner Beschreibung ein automatisches Erstellen meinst)
Mitglied: Wahl66
22.08.2007 um 11:29 Uhr
Für die Installation benötigt man Administratorenrechte. Dabei müssen u.a. auch vorhandene Dateien überschrieben/ersetzt werden.
Das manuelle Anlegen des Ordners habe ich schon versucht (siehe meine letzte Antwort).
Mitglied: SlainteMhath
22.08.2007 um 11:34 Uhr
Hast Du schon mal die "üblichen Verdächtigen" abgeschaltet/überprüft: Firewall- und Antiviren-Software?

Steht denn jetzt was auffälliges im Eventlog des Rechners?

Als letzte Option bleibt Dir immernoch eine komplette Neuinstallation des Rechners incl. Format - damit kommt mann erfahrungsgem. schneller zum Ziel als mit aufwendiger Fehlersuche mit ungewissem Ergebniss.
Mitglied: 51705
22.08.2007 um 11:49 Uhr
Wie sehen denn die Rechte für die Freigabe, das Verzeichnis und die zu überschreibenden Dateien aus?

Sind die Uhrzeiten auf Server und Client synchron?
Mitglied: Wahl66
22.08.2007 um 12:29 Uhr
Das Abschalten des Virenscanners etc. habe ich schon getestet, leider ohne Erfolg!
Vor der Neuinstallation werde ich nun erst einmal den Dell-Support mit dem Problem beschäftigen, evtl. kennen die das ja schon.
Mitglied: Wahl66
22.08.2007 um 12:35 Uhr
Admins und Domänen-Admins haben Vollzugriff, Benutzer nur Lesen und Ordner auflisten.
Die Zeiten sind identisch.

Habe gerade mal mit einem weiteren Spezialisen telefoniert. Der hat mich in etwa die gleichen Dinge nachschauen lassen wie hier empfohlen, leider auch ohne Erfolg. Er ist aber sehr an der Lösung interessiert

Ich versuch´s jetzt mal mit dem Dell-Support.
Mitglied: Wahl66
22.08.2007 um 14:18 Uhr
Der Dell-Support wollte mir nicht helfen, das würden sie nicht dürfen, da der Rechner in einer Domäne verwendet wird.

Es gibt nun zwei Benutzerverzeichnisse unter Dokumente und Einstellungen: __sbs_netsetup__ und __sbs_netsetup__.AALTO (AALTO heißt der Client). Was ist das?
Nach dem Netzwerkassistenten startet der Computer 2x hintereinander neu, ist das richtig? Kann es ein, dass an dieser Stelle schon irgendetwas schief geht?
Mitglied: D.T.Soko
22.08.2007 um 15:07 Uhr
Hallo,

hätte vielleicht auch noch ne idee:

Hast du bei deinen Gruppenrichtlinien verschiedene OU eingerichtet in denen die User bzw. Computer stecken?

Beispiel:
Ich habe bei mir für User und Comupter eigene Gruppenrichtlinien. Wenn ich nun einen Computer neu ins Netz nehme muss ich diesen erst in die entsprechende OU verschieben bevor meine dort hinterlegten Startscripts laufen.

Nicht das sich da ein paar Einstellenungen gegenseitig aufheben (um das herauszufinden habe ich den Server gleich zweimal neu installiert !!! )

mfg
d.t.soko


edit:

Na toll! Ich dachte ich hätte den Beitrag gelesen aber irgendwie sind hier die Postings durcheinandergeraten?!? Wahl66 hat die Antwort schon geschrieben.
mfg
d.t.soko
Mitglied: 51705
22.08.2007 um 15:16 Uhr
Admins und Domänen-Admins haben
Vollzugriff, Benutzer nur Lesen und Ordner
auflisten.

Gilt die Berechtigung sowohl im Filesystem als auch auf der Freigabe?
Mitglied: Wahl66
22.08.2007 um 20:24 Uhr
Und DAS wäre die richtige Antwort gewesen!!!

Nachdem wir kurz vor der Neuinstallation standen, haben wir einen Test mit einem neuen Ordner gemacht und bei der Freigabe, siehe da: weitere Eintragungsmöglichkeiten für Berechtigungen! Hier stand "Jeder" drin nur mit Leseberechtigung! Zum Test auf Vollzugriff gestellt und schon gehte es! Danke Steffen, das hätten wir also mit Deiner Hilfe auch hingekriegt!

Doch auch das wirft Fragen auf:
1. Wieso gibt es zwei verschiedene Bereiche für die Eintragung von Berechtigungen?!
2. Warum funktionierten die vorhandenen Einstellungen bei den vorhandenen Clients und nicht bei den neuen?!

Morgen werde ich den Telefon-Spezi (siehe oben) anrufen, der wird sich freuen!
Titel: Nutzer auf neuem Clientrechner ohne Adminrechte
Content-ID: 66785
Art des Inhalts: Frage
Ausgedruckt am: 02.04.2020 um 01:07:49 Uhr
URL: https://administrator.de/contentid/66785