6
Berechtgungen für lokale Gruppen unter Windows 7 als Domänenmitglied
Hallo zusammen,
wir sind gerade dabei, die ersten Windows7 Pro Rechner in unser Netz aufzunehmen und haben folgendes Problem:
Bisher unter Windows XP haben wir das Userprofil, eigene Dateien, etc. auf das lokale Laufwerk D ausgelagert.
Die Zugriffsrechte haben wir immer folgendermaßen geregelt:
D: System Vollzugriff, lokale Admins Vollzugriff, lokale Hauptbenutzer lesen
D:\Dateien System Vollzugriff, lokale Admins Vollzugriff, lokale Hauptbenutzer ändern (hierhin verweist "eigene Dateien")
D:\Profiles identisch zu oben aber Hauptbenutzer Vollzugriff (Hier liegt das Userprofil)
Dazu haben wir den speziellen User aus der AD-Domäne in die lokalen Hauptbenutzer aufgenommen, damit er alleine Zugriff auf die Daten hat.
In den lokalen Admins befindet sich eine Gruppe aus dem AD mit den Systemverwaltern.
Exakt diese Situation habe ich unter Windows7 Pro nachgestellt, mit dem Ergebnis, dass mir ein "Zugriff verweigert" um die Ohren gehauen wird.
Die effektiven Rechte habe ich überprüft. Da passt alles.
Sobald ich eine AD Gruppe in die Rechte von D: aufnehme geht es.
Im Moment sieht es so aus, als würde Win7 die AD Mitglieder lokaler Gruppen ignorieren, denn wenn ich mich mit dem lokalen Admin anmelde, dann kann ich zugreifen.
Beispiel wäre hier, dass eine AD Gruppe (nennen wir sie "installer") Mitglied in den lokalen Admins ist, trotzdem hat die Gruppe keinen Zugriff auf D:
Der lokale Administrator (gleiche Mitgliedschaft) hat Zugriff
Nehme ich jetzt die AD Gruppe Installer direkt in die NTFS Rechte rein, kann ich zugreifen.
Ist evtl. noch jemand in diese Falle getappt?
wir sind gerade dabei, die ersten Windows7 Pro Rechner in unser Netz aufzunehmen und haben folgendes Problem:
Bisher unter Windows XP haben wir das Userprofil, eigene Dateien, etc. auf das lokale Laufwerk D ausgelagert.
Die Zugriffsrechte haben wir immer folgendermaßen geregelt:
D: System Vollzugriff, lokale Admins Vollzugriff, lokale Hauptbenutzer lesen
D:\Dateien System Vollzugriff, lokale Admins Vollzugriff, lokale Hauptbenutzer ändern (hierhin verweist "eigene Dateien")
D:\Profiles identisch zu oben aber Hauptbenutzer Vollzugriff (Hier liegt das Userprofil)
Dazu haben wir den speziellen User aus der AD-Domäne in die lokalen Hauptbenutzer aufgenommen, damit er alleine Zugriff auf die Daten hat.
In den lokalen Admins befindet sich eine Gruppe aus dem AD mit den Systemverwaltern.
Exakt diese Situation habe ich unter Windows7 Pro nachgestellt, mit dem Ergebnis, dass mir ein "Zugriff verweigert" um die Ohren gehauen wird.
Die effektiven Rechte habe ich überprüft. Da passt alles.
Sobald ich eine AD Gruppe in die Rechte von D: aufnehme geht es.
Im Moment sieht es so aus, als würde Win7 die AD Mitglieder lokaler Gruppen ignorieren, denn wenn ich mich mit dem lokalen Admin anmelde, dann kann ich zugreifen.
Beispiel wäre hier, dass eine AD Gruppe (nennen wir sie "installer") Mitglied in den lokalen Admins ist, trotzdem hat die Gruppe keinen Zugriff auf D:
Der lokale Administrator (gleiche Mitgliedschaft) hat Zugriff
Nehme ich jetzt die AD Gruppe Installer direkt in die NTFS Rechte rein, kann ich zugreifen.
Ist evtl. noch jemand in diese Falle getappt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 136069
Url: https://administrator.de/contentid/136069
Printed on: April 19, 2024 at 00:04 o'clock
6 Comments
Latest comment
Hi.
Die effektiven Berechtigungen passen, dann sollte es gehen.
Was sein kann: die eff.-Berechtigungsabfrage nutzt den aktualisierten Token (denn sie fragt den DC), Dein Testzugriff erfolgt mit dem alten Token. Lösung: einmal neu anmelden.
Die effektiven Berechtigungen passen, dann sollte es gehen.
Was sein kann: die eff.-Berechtigungsabfrage nutzt den aktualisierten Token (denn sie fragt den DC), Dein Testzugriff erfolgt mit dem alten Token. Lösung: einmal neu anmelden.
Ich untersuch das Mal zu Hause.
Token kann man ausschließen, da ich mit dem Problem seit Gestern rummache.
ZU "untersuchen zuhause" Kannst Du das Problem nachvollziehen?
ZU "untersuchen zuhause" Kannst Du das Problem nachvollziehen?
Wenn Du mich fragst "kannst Du es Dir vorstellen" - ja. Nachvollziehen/nachstellen mach ich in meiner Testdomäne zu Hause.
Noch ein Zusatz.
Jetzt habe ich einen speziellen AD Benutzer mit identischen Rechten wie die lokale Gruppe direkt aufgenommen... Und schon geht es.
Macht die Imageverwaltung mehr als umständlich...
Jetzt habe ich einen speziellen AD Benutzer mit identischen Rechten wie die lokale Gruppe direkt aufgenommen... Und schon geht es.
Macht die Imageverwaltung mehr als umständlich...
So, hab's gemacht.
Es verhält sich so: Domänenuser in lokale Gruppen funktioniert natürlich wie erwartet - NUR nicht mit den Hauptbenutzern.
Diese Gruppe ist - laut Hilfe - entmachtet und nur noch aus Kompatibilitätsgründen da.
Dass sie (in Punkto Privilegien) behandelt wird, wie die Gruppe "Benutzer", war mir bewusst - dass es diese Nebeneffekte gibt, nicht.
Warum es bei Dir mit der Gruppe der lokalen Admins nicht geht, wird daran liegen, dass die Benutzerkontensteuerung die Nutzer nur als Admins behandelt, wenn sie hochgestuft wurden (elevation) - hab ich auch getestet ->erwartetes Verhalten.
Es verhält sich so: Domänenuser in lokale Gruppen funktioniert natürlich wie erwartet - NUR nicht mit den Hauptbenutzern.
Diese Gruppe ist - laut Hilfe - entmachtet und nur noch aus Kompatibilitätsgründen da.
Dass sie (in Punkto Privilegien) behandelt wird, wie die Gruppe "Benutzer", war mir bewusst - dass es diese Nebeneffekte gibt, nicht.
Warum es bei Dir mit der Gruppe der lokalen Admins nicht geht, wird daran liegen, dass die Benutzerkontensteuerung die Nutzer nur als Admins behandelt, wenn sie hochgestuft wurden (elevation) - hab ich auch getestet ->erwartetes Verhalten.
