christianschwarz
Goto Top

Berechtigungen auf Servern

Hallo,

ich habe einen administrativen Benutzer, der ist Mitglied der Gruppe Domänen-Admins. Diese sind ja wiederum Mitglied der lokalen Administratorengruppe.

Jetzt sollte es ja so sein, dass wenn ich mich als dieser Benutzer an einem Server anmelde ich auch gleich die Berechtigungen für Verzeichnisse habe, auf die die lokalen Adminstratoren Vollzugriff haben.

Jetzt kann ich die Ordner zwar anklicken, dann kommt die Frage nach den Berechtigungen. Wenn ich diese Frage positiv bestätige, dann habe ich zwar Zugriff, aber wenn ich mir dann hinterher die Berechtigungen des Ordner ansehe, dann sehe ich dass die Berechtigungen geändert wurden und der administrative Benutzer jetzt zusätzlich eingetragen ist.

Jetzt habe ich gelesen, dass das so gewollt ist, aber eigentlich sieht unsere Berechtigungsstruktur nicht vor, dass ein einzelner Benutzer dann Zugriff hat.

Wenn ein anderer administrativer Benutzer hier dann zugreift steht dieser auch bei "Sicherheit" drin.

Wenn ich den Explorer als "Administrator" öffne, dann kann ich auf den Ordner zugreifen, aber es gibt auch Programme, die vom administrativen Benutzer aufgerufen werden, bei denen das nicht funktioniert.

Wie handhabt Ihr denn das ? Vor allem auf Fileservern ist es lästig, wenn hier 4 oder 5 administrative Benutzer bei Sicherheit stehen.

Viele Grüße

Christian

Content-ID: 611855

Url: https://administrator.de/contentid/611855

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

DerWoWusste
DerWoWusste 10.10.2020 aktualisiert um 14:14:12 Uhr
Goto Top
Hi.

Evergreenfrage, die Admins seit Einführung der UAC beschäftigt.
In Kürze: siehst Du die UAC auf dem Server als notwendig an? Nein? Dann würde ein Ausschalten schon eine Lösung bringen.

Besser wäre es aber, eine Gruppe Fileserveradmins zu erstellen und diese zu berechtigen und in diese die Nutzer, die du dafür nutzen möchtest (nimm nicht die Domänenadmins, außer du administrierst damit die Domäne) einzeln einzutragen.

Ein dritter Weg ist ein alternativer File Manager, wie nexus file, oder Totalcommander, den man per Rechtsklick elevated ("als Administrator ausführen") starten kann.

Als letzter Weg bliebe noch, mit einem Registrywert zu arbeiten, der den Explorer auch bei Bedarf elevated starten lässt.
In regedit, gehe zu
HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}
make a right click on Permissions and set your user as owner (click on advanced button to be
able to take ownership) of the key and give your current user writing permissions.

Next, rename the value RunAs to _Runas

Danach kann man explorer.exe Rechtsklicken und „als Administrator ausführen wählen“ und er
handelt dann auch so wie erwartet.
Daemmerung
Daemmerung 10.10.2020 um 20:39:15 Uhr
Goto Top
Moin,

öffne einfach mit dem jeweiligen Benutzer die administrative Freigabe:
\\localhost\c$

Damit musst du weder an der UAC herum arbeiten und musst auch die automatische Eintragung der User in den NTFS-Rechten nicht dulden.

Viele Grüße