136423
Feb 12, 2019
2514
7
0
Frust mit Domain-User-Rechten
Liebe Community,
ich habe sehr wahrscheinlich ein Anfängerproblem. Wir haben bei uns in der Firma (sehr sehr klein) einen Samba-Domaincontroller (auf Ubuntu-Server) mit Kerberos laufen. Es wurden diverse Domain-User angelegt, etc. Unsere Client Laptops laufen mit Windows 10, konnten in die Domain eingebunden werden und die spezifischen Domain-User können sich erfolgreich an den Laptops anmelden.
Wir haben nun eine Software, die auf einigen der Clients installiert werden soll. Diese Software:
=> wird lokal auf den Clients installiert
=> verbindet sich zu einer MSSQL Datenbank im lokalen Netzwerk (=Windows Server 2008)
=> benötigt einen Share, der sich auf demselben Windows 2008 Server befindet
Leider bekommen wir die Software aufgrund diverser User-Rechte Probleme nicht zum laufen. Obwohl ich denke alles richtig gemacht zu haben scheint mir ein Detail "durch die Lappen" gegangen zu sein.
Die Software bekommen wir NUR mit folgendem Setting zum Starten:
=> Domain-Administrator meldet sich am Client an
=> Es wird das zentrale Share über den Explorer aufgerufen "\\<SQL-Server>\<share>" und als Zugangsdaten der *lokale Administrator des SQL-Servers angegeben*
Ein anderes Setting funktioniert nicht. Folgende Maßnahmen wurde ergriffen, die aber nicht zum gewünschten Ziel führten:
1. wir haben die Domain-User in die Domain-Admin Gruppe aufgenommen (dies ist absolut sinnfrei, ich weiß; aber zumindest hätten Sie so erst einmal Zugang zur Software).
=> Aus irgendeinem Grund werden die veränderten Group-Settings aber nicht mit den Clients synchronisiert. Ich nehme die Einstellungen über die RSAT-Tools vor, das ist mit Samba4 leider nur bedingt kompatibel, aber User-Management sollte eigentlich gehen. Nach Änderung der Gruppen sind diese Einstellung auf dem Domain-Controller selbst sichtbar (samba-tool group listmembers ...). Aber selbst bei einem Neustart der Win10-Clients werden die aktualisierten Gruppen auf dem Client nicht angezeigt (whoami /groups). Ich habe schon diverse Kommandos (gpupdate /force; klist purge) probiert, leider ohne Erfolg.
Gerne würde ich auch von dem "Domain-Admins-Zuweisen" Quatsch weg, habe nur aber kaum Erfahrung mit GPOs. Gibt es eine Möglichkeit die Rechte für eine einzelne Software zuzuweisen, auch wenn diese nicht in einem zentralen Deployment-Prozess integriert ist?
2. auf dem SQL-Server habe ich für den Share entsprechend die User-Rechte angepasst. Sowohl über den "Erweitere Freigabe => Berechtigungen" Einstellungen, als auch unter den Sicherheitseinstellungen selbst. Die Domain-User haben "Vollzugriff" auf Ordner/Unterordner und Dateien. Trotzdem muss ich mich jedes Mal beim Aufruf des Shares über den Win-Client authentifizieren (\\<SQL-Server>\Share). Kann es sein, dass Windows Server 2008 Kerberos Tickets nicht unterstützt? Wie lässt sich dieses Problem lösen? Vielleicht mit Hilfe eines "net use"- kommandos + User-Credentials während des Startup?
Außerdem besteht das Problem, dass selbst wenn wir uns mit dem Domain-Usern authentifizieren (am Share) die Software trotzdem nicht startet. Bei dem lokalen Admin allerdings schon. Warum?
Was mache ich falsch bzw. was habe ich vergessen.
Viele Grüße,
niLuxx
ich habe sehr wahrscheinlich ein Anfängerproblem. Wir haben bei uns in der Firma (sehr sehr klein) einen Samba-Domaincontroller (auf Ubuntu-Server) mit Kerberos laufen. Es wurden diverse Domain-User angelegt, etc. Unsere Client Laptops laufen mit Windows 10, konnten in die Domain eingebunden werden und die spezifischen Domain-User können sich erfolgreich an den Laptops anmelden.
Wir haben nun eine Software, die auf einigen der Clients installiert werden soll. Diese Software:
=> wird lokal auf den Clients installiert
=> verbindet sich zu einer MSSQL Datenbank im lokalen Netzwerk (=Windows Server 2008)
=> benötigt einen Share, der sich auf demselben Windows 2008 Server befindet
Leider bekommen wir die Software aufgrund diverser User-Rechte Probleme nicht zum laufen. Obwohl ich denke alles richtig gemacht zu haben scheint mir ein Detail "durch die Lappen" gegangen zu sein.
Die Software bekommen wir NUR mit folgendem Setting zum Starten:
=> Domain-Administrator meldet sich am Client an
=> Es wird das zentrale Share über den Explorer aufgerufen "\\<SQL-Server>\<share>" und als Zugangsdaten der *lokale Administrator des SQL-Servers angegeben*
Ein anderes Setting funktioniert nicht. Folgende Maßnahmen wurde ergriffen, die aber nicht zum gewünschten Ziel führten:
1. wir haben die Domain-User in die Domain-Admin Gruppe aufgenommen (dies ist absolut sinnfrei, ich weiß; aber zumindest hätten Sie so erst einmal Zugang zur Software).
=> Aus irgendeinem Grund werden die veränderten Group-Settings aber nicht mit den Clients synchronisiert. Ich nehme die Einstellungen über die RSAT-Tools vor, das ist mit Samba4 leider nur bedingt kompatibel, aber User-Management sollte eigentlich gehen. Nach Änderung der Gruppen sind diese Einstellung auf dem Domain-Controller selbst sichtbar (samba-tool group listmembers ...). Aber selbst bei einem Neustart der Win10-Clients werden die aktualisierten Gruppen auf dem Client nicht angezeigt (whoami /groups). Ich habe schon diverse Kommandos (gpupdate /force; klist purge) probiert, leider ohne Erfolg.
Gerne würde ich auch von dem "Domain-Admins-Zuweisen" Quatsch weg, habe nur aber kaum Erfahrung mit GPOs. Gibt es eine Möglichkeit die Rechte für eine einzelne Software zuzuweisen, auch wenn diese nicht in einem zentralen Deployment-Prozess integriert ist?
2. auf dem SQL-Server habe ich für den Share entsprechend die User-Rechte angepasst. Sowohl über den "Erweitere Freigabe => Berechtigungen" Einstellungen, als auch unter den Sicherheitseinstellungen selbst. Die Domain-User haben "Vollzugriff" auf Ordner/Unterordner und Dateien. Trotzdem muss ich mich jedes Mal beim Aufruf des Shares über den Win-Client authentifizieren (\\<SQL-Server>\Share). Kann es sein, dass Windows Server 2008 Kerberos Tickets nicht unterstützt? Wie lässt sich dieses Problem lösen? Vielleicht mit Hilfe eines "net use"- kommandos + User-Credentials während des Startup?
Außerdem besteht das Problem, dass selbst wenn wir uns mit dem Domain-Usern authentifizieren (am Share) die Software trotzdem nicht startet. Bei dem lokalen Admin allerdings schon. Warum?
Was mache ich falsch bzw. was habe ich vergessen.
Viele Grüße,
niLuxx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 416643
Url: https://administrator.de/contentid/416643
Printed on: April 23, 2024 at 22:04 o'clock
7 Comments
Latest comment
Hi,
Dann lass uns teilhaben an dem Namen der "unbekannten" Software.
BFF
Dann lass uns teilhaben an dem Namen der "unbekannten" Software.
BFF
Moin,
Ist es Möglich, dass die Rechte der Freigabe bereits sehr eingeschränkt sind (Ordnereigeschaften des freigegeben Ordner und dort den Reiter Freigabe auswählen). Hier trägt man normal Jeder mit Vollzugriff ein. Da man die Berechtigungen granular über die Sicherheit steuern kann.
Gruß,
Dani
Wir haben nun eine Software, die auf einigen der Clients installiert werden soll. Diese Software:
Wie heißt die Software und wer ist der Hersteller? Ist immer einfacher...Wir haben bei uns in der Firma (sehr sehr klein) einen Samba-Domaincontroller (auf Ubuntu-Server) mit Kerberos laufen.
Welche Ubuntu-Server und Samba Version komm zum Einsatz?1. wir haben die Domain-User in die Domain-Admin Gruppe aufgenommen (dies ist absolut sinnfrei, ich weiß; aber zumindest hätten Sie so erst einmal Zugang zur Software).
Hallo? Es ist nicht sinnfrei, sonder ein absolutes Sicherheitsrisiko. Was machst du wenn ein Virus/Malware durch die erweiterten Rechte deine Server infiziert... sowas geht einfach nicht. Test oder her.=> Aus irgendeinem Grund werden die veränderten Group-Settings aber nicht mit den Clients synchronisiert.
Die Einstellungen werden meines Wissens nach gar nicht synchronisiert. Du meinst sicherlich die Clients lesen die Informationen nicht identisch aus wie ....Aber selbst bei einem Neustart der Win10-Clients werden die aktualisierten Gruppen auf dem Client nicht angezeigt (whoami /groups).
Ein Neustart ist eigentlich nicht notwendig. Die Gruppenmitgliedschaften werden bei der Anmeldung des Benutzer in den Token geschrieben.ch habe schon diverse Kommandos (gpupdate /force; klist purge) probiert, leider ohne Erfolg.
Ersterer Befehl ist für Gruppenrichtlinien gedacht, was mit Gruppen gar nichts am Hut hat.2. auf dem SQL-Server habe ich für den Share entsprechend die User-Rechte angepasst.
Zukünftig dafür jeweils Gruppen anlegen und die Benutzer in die jeweilige Gruppe aufnehmen. Anschließend die Gruppe im dem Ordnereigenschaften unter Sicherheit eintragen und entsprechende Berechtigungen erteilen.Trotzdem muss ich mich jedes Mal beim Aufruf des Shares über den Win-Client authentifizieren (\\<SQL-Server>\Share).
Meldest du dich mit den Zugangsdaten des normalen Benutzers an oder geht es nur mit dem Domänen Administrator?Ist es Möglich, dass die Rechte der Freigabe bereits sehr eingeschränkt sind (Ordnereigeschaften des freigegeben Ordner und dort den Reiter Freigabe auswählen). Hier trägt man normal Jeder mit Vollzugriff ein. Da man die Berechtigungen granular über die Sicherheit steuern kann.
Gruß,
Dani
Hi Dani,
danke für deine Antworten:
Gruß,
niLuxx
danke für deine Antworten:
Welche Ubuntu-Server und Samba Version komm zum Einsatz?
Es ist ubuntu 18.04.1 LTS, zusammen mit SMB 4.7.6Hallo? Es ist nicht sinnfrei, sonder ein absolutes Sicherheitsrisiko. Was machst du wenn ein Virus/Malware durch die erweiterten Rechte deine > > Server infiziert... sowas geht einfach nicht. Test oder her.
Wie gesagt, die Problematik ist mir durchaus bewusst und es soll ja auch definitiv kein Dauerzustand sein.Ein Neustart ist eigentlich nicht notwendig. Die Gruppenmitgliedschaften werden bei der Anmeldung des Benutzer in den Token geschrieben.
Problem ist, dass die besagten Clients sich mittels VPN verbinden. Diese Verbindung habe ich automatisiert erst nach vollständiger Anmeldung am Client zum Laufen gebracht. D.h. da sollten die Gruppenmitgliedschaften schon lange im Token sein.Ersterer Befehl ist für Gruppenrichtlinien gedacht, was mit Gruppen gar nichts am Hut hat.
Was für einen Befehl könnten ich zur Erneuerung der Token verwenden? "klist purge" und "klist" ?Zukünftig dafür jeweils Gruppen anlegen und die Benutzer in die jeweilige Gruppe aufnehmen. Anschließend die Gruppe im dem
Ordnereigenschaften unter Sicherheit eintragen und entsprechende Berechtigungen erteilen.
Das werde ich zukünftig auch so umsetzen, danke.Ordnereigenschaften unter Sicherheit eintragen und entsprechende Berechtigungen erteilen.
Ist es Möglich, dass die Rechte der Freigabe bereits sehr eingeschränkt sind (Ordnereigeschaften des freigegeben Ordner und dort den Reiter
Freigabe auswählen). Hier trägt man normal Jeder mit Vollzugriff ein. Da man die Berechtigungen granular über die Sicherheit steuern kann.
"Jeder" ist in der Freigabe ausgewählt. Zu Testzwecken habe ich sogar Vollzugriff für jeden bei "Sicherheit" eingetragen. Es macht trotzdem einen Unterschied ob ich mich als Domain-Admin oder Lokaler-Server-Admin anmelde.Freigabe auswählen). Hier trägt man normal Jeder mit Vollzugriff ein. Da man die Berechtigungen granular über die Sicherheit steuern kann.
Gruß,
niLuxx
Moin,
Gruß,
Dani
Problem ist, dass die besagten Clients sich mittels VPN verbinden. Diese Verbindung habe ich automatisiert erst nach vollständiger Anmeldung am Client zum Laufen gebracht. D.h. da sollten die Gruppenmitgliedschaften schon lange im Token sein.
Das wird dein Problem sein... hast du die Möglichkeit ein Site-to-Site VPN-Tunnel aufzubauen? Damit sichergestellt ist, dass der DC vor bzw. bei der Anmeldung erreichbar ist.Was für einen Befehl könnten ich zur Erneuerung der Token verwenden? "klist purge" und "klist" ?
Keinen, das ist nicht möglich. Der Token wird ausschließlich bei/während der Anmeldung generiert. Darum ist es wichtig, dass ein DC erreichbar ist.Gruß,
Dani
Hi Dani,
ok. Eine Erklärung für ein Problem ist immerhin eine Erklärung. Das bedeutet also letztlich, dass die Gruppen so lange nicht geupdated werden, solange der Laptop im Home-Office ist und nicht in der Zentrale? (bzw. bei der Anmeldung nicht in der Domäne)
Site-2-Site ist leider nicht möglich, aber der Laptop kommt in ein paar Wochen in die Zentrale, dann kann sich das synchen.
Kannst du dir bitte den Thread noch ansehen?
User-Mapping Problem Samba4 und Winbind
Leider eine Begleiterscheinung des gestrigen Probierens
ok. Eine Erklärung für ein Problem ist immerhin eine Erklärung. Das bedeutet also letztlich, dass die Gruppen so lange nicht geupdated werden, solange der Laptop im Home-Office ist und nicht in der Zentrale? (bzw. bei der Anmeldung nicht in der Domäne)
Site-2-Site ist leider nicht möglich, aber der Laptop kommt in ein paar Wochen in die Zentrale, dann kann sich das synchen.
Kannst du dir bitte den Thread noch ansehen?
User-Mapping Problem Samba4 und Winbind
Leider eine Begleiterscheinung des gestrigen Probierens
Hiho,
du könntest dich auch auf dem betroffenen Notebook beispielsweise als Lokaler Administrator einloggen, den VPN aufbauen, danach auf "User wechseln" und dich dann mit dem Domain User einloggen.
Da sollte, je nach Konfiguration, eine Verbindung zu deinem DC bestehen und er sollte die entsprechenden Tokens beziehen können.
Vielleicht einen Versuch wert
Viele Grüße
Somebody
du könntest dich auch auf dem betroffenen Notebook beispielsweise als Lokaler Administrator einloggen, den VPN aufbauen, danach auf "User wechseln" und dich dann mit dem Domain User einloggen.
Da sollte, je nach Konfiguration, eine Verbindung zu deinem DC bestehen und er sollte die entsprechenden Tokens beziehen können.
Vielleicht einen Versuch wert
Viele Grüße
Somebody
Es war nicht nur einen Versuch wert, das funktioniert
Danke dir!!!
Danke dir!!!
1
