Windows Server 2008 - Ist der Administrator in Wirklichkeit ein Superadministrator?
Hallo zusammen,
ich bin eigentlich Entwickler und zum Administrieren unseres Servers gekommen wie das Kind zu Bade, d.h. das Folgende ist von einem ausgesprochenen Server-Laien geschrieben (lässt mich allerdings hoffen, dass mein Problem nur aus einer kleinen Dummheit resultiert und vielleicht einfach zu lösen ist).
Ich habe mit einem gerade frisch installierten Windows Server 2008 R2 Betriebssystem folgendes Problem:
Nach der Betriebssystem-Installation (als Standalone-Server, kein Domänencontroller und auch nicht Mitglied einer Domäne) habe ich ein paar Anwendungen installiert sowie Daten-Dateien von anderen Rechnern kopiert. Das habe ich unter dem Account "Administrator" gemacht. Es gab keinerlei Probleme und alles lief wie gewünscht.
Dann habe ich einen zweiten Account "XYZ" angelegt, den ich in der lokalen Account-Verwaltung konfiguriert habe wie den "Administrator", d.h. er ist insbesondere (und ausschließlich) der Gruppe "Administratoren" zugeordnet. Ich kann keine Unterschiede in den Accounts "Administrator" und "XYZ" erkennen.
Wenn ich mich nun als "XYZ" anmelde, kann ich keine der vorhandenen Dateien ändern und ich kann in den vorhandenen Ordnern keine Dateien anlegen. Ich kann jedoch neue Ordner anlegen (und in denen auch neue Dateien erstellen). Außerdem kann ich die vorhandenen Dateien löschen! (Ja, löschen, aber nicht ändern!) Desweiteren kann ich die vorhandenen Dateien kopieren und dann diese Kopien verändern.
Wenn ich mir (z.B. bei einer simplen Textdatei) unter Eigenschaften/Sicherheit die Einstellungen ansehe, finde ich (neben der Gruppe "SYSTEM" und "Benutzer" auch die Gruppe "Administratoren" mit allen Zugriffsrechten (u.a. Vollzugriff). (Wie gesagt, gehört "XYZ" zur Gruppe "Administratoren"; ich würde also Vollzugriff und Änderungsrecht erwarten, hat XYZ aber anscheinend nicht.)
Als aktueller "Besitzer" der Datei ist ebenfalls die Gruppe "Administratoren" angegeben (wirklich die GRUPPE, nicht der Benutzer "Administrator").
Das Ganze ist nicht umkehrbar, d.h.: Wenn ich als "XYZ" einen Ordner und eine Datei darin anlege, kann ich unter dem Konto "Administrator" dennoch diese Datei ändern und ich kann im angelegten Ordner neue Dateien erstellen.
Ein weiterer Unterschied ist mir aufgefallen: Wenn ich eine neue Datei als "Administrator" anlege, finde ich unter den Sicherheitseinstellungen für diese Datei die GRUPPE "Administratoren", aber nicht den Benutzer "Administrator". Lege ich eine Datei als "XYZ" an, so haben die Sicherheitseinstellungen sowohl die GRUPPE "Administratoren" als auch den Benutzer "XYZ".
D.h. "Administrator" und "XYZ" verhalten sich nicht "symmetrisch" zueinander, obwohl die Konteneinstellungen (scheinbar) völlig identisch sind.
Meine Fragen nun:
1) Hat das Konto "Administrator" intern versteckt noch mehr Rechte als ein Benutzer, welcher der Gruppe "Administratoren" angehört? Ist der "Administrator" also sozusagen eine Art Superadministrator?
2) Hab' ich möglicherweise irgendwas falsch gemacht beim Setup des OS, beim Anlegen der Konten, bei der Installation der Programme, ... ?
3) Und am wichtigsten: Wie bekomme ich das Elend der fehlenden Zugriffsberechtigungen für XYZ wieder in den Griff?
Vielen Dank für jede Hilfe und für Tips im Voraus!
Nach der Betriebssystem-Installation (als Standalone-Server, kein Domänencontroller und auch nicht Mitglied einer Domäne) habe ich ein paar Anwendungen installiert sowie Daten-Dateien von anderen Rechnern kopiert. Das habe ich unter dem Account "Administrator" gemacht. Es gab keinerlei Probleme und alles lief wie gewünscht.
Dann habe ich einen zweiten Account "XYZ" angelegt, den ich in der lokalen Account-Verwaltung konfiguriert habe wie den "Administrator", d.h. er ist insbesondere (und ausschließlich) der Gruppe "Administratoren" zugeordnet. Ich kann keine Unterschiede in den Accounts "Administrator" und "XYZ" erkennen.
Wenn ich mich nun als "XYZ" anmelde, kann ich keine der vorhandenen Dateien ändern und ich kann in den vorhandenen Ordnern keine Dateien anlegen. Ich kann jedoch neue Ordner anlegen (und in denen auch neue Dateien erstellen). Außerdem kann ich die vorhandenen Dateien löschen! (Ja, löschen, aber nicht ändern!) Desweiteren kann ich die vorhandenen Dateien kopieren und dann diese Kopien verändern.
Wenn ich mir (z.B. bei einer simplen Textdatei) unter Eigenschaften/Sicherheit die Einstellungen ansehe, finde ich (neben der Gruppe "SYSTEM" und "Benutzer" auch die Gruppe "Administratoren" mit allen Zugriffsrechten (u.a. Vollzugriff). (Wie gesagt, gehört "XYZ" zur Gruppe "Administratoren"; ich würde also Vollzugriff und Änderungsrecht erwarten, hat XYZ aber anscheinend nicht.)
Als aktueller "Besitzer" der Datei ist ebenfalls die Gruppe "Administratoren" angegeben (wirklich die GRUPPE, nicht der Benutzer "Administrator").
Das Ganze ist nicht umkehrbar, d.h.: Wenn ich als "XYZ" einen Ordner und eine Datei darin anlege, kann ich unter dem Konto "Administrator" dennoch diese Datei ändern und ich kann im angelegten Ordner neue Dateien erstellen.
Ein weiterer Unterschied ist mir aufgefallen: Wenn ich eine neue Datei als "Administrator" anlege, finde ich unter den Sicherheitseinstellungen für diese Datei die GRUPPE "Administratoren", aber nicht den Benutzer "Administrator". Lege ich eine Datei als "XYZ" an, so haben die Sicherheitseinstellungen sowohl die GRUPPE "Administratoren" als auch den Benutzer "XYZ".
D.h. "Administrator" und "XYZ" verhalten sich nicht "symmetrisch" zueinander, obwohl die Konteneinstellungen (scheinbar) völlig identisch sind.
Meine Fragen nun:
1) Hat das Konto "Administrator" intern versteckt noch mehr Rechte als ein Benutzer, welcher der Gruppe "Administratoren" angehört? Ist der "Administrator" also sozusagen eine Art Superadministrator?
2) Hab' ich möglicherweise irgendwas falsch gemacht beim Setup des OS, beim Anlegen der Konten, bei der Installation der Programme, ... ?
3) Und am wichtigsten: Wie bekomme ich das Elend der fehlenden Zugriffsberechtigungen für XYZ wieder in den Griff?
Vielen Dank für jede Hilfe und für Tips im Voraus!
Please also mark the comments that contributed to the solution of the article
Content-Key: 127306
Url: https://administrator.de/contentid/127306
Printed on: May 4, 2024 at 15:05 o'clock
4 Comments
Latest comment
Hallo.
Liebe Leute...setzt Euch mit der UAC (=Benutzerkontensteuerung) auseinander. Diese gibt es seit Vista/2008 Server nunmehr seit knapp 3 Jahren und dennoch ist sie nach wie vor kaum verstanden und Ursache der meisten Probleme unter Vista und 2008 (nicht MS' Schuld).
"Admin ohne elevation=User" lautet die Quintessenz. Nur der eingebaute User "Administrator" bildet die Ausnahme. Diese ist immer hochgestuft (=elevated).
Liebe Leute...setzt Euch mit der UAC (=Benutzerkontensteuerung) auseinander. Diese gibt es seit Vista/2008 Server nunmehr seit knapp 3 Jahren und dennoch ist sie nach wie vor kaum verstanden und Ursache der meisten Probleme unter Vista und 2008 (nicht MS' Schuld).
"Admin ohne elevation=User" lautet die Quintessenz. Nur der eingebaute User "Administrator" bildet die Ausnahme. Diese ist immer hochgestuft (=elevated).