Berechtigungen Freigabe und NTFS richtig setzen

mazenauer
Goto Top
Guten Tag zusammen

Ich komme mir gerade total dumm vor und hoffe, ich werde nicht gleich zerrissen. Ansonsten müsste ich den Beitrag nochmal mit einem weiblichen Nicknamen erstellen. ;)

Aber im Ernst.

Ich habe hier ein ganz simples Konstrukt:

Einen physischen Server mit zwei virtuellen Server 2019 Maschinen. Auf einer läuft AD, DNS und DHCP, auf dem anderen Fileserver und ne kleine DB.

Ich brauche genau EINEN Share für die Daten. Also bin ich so vorgegangen:

1. Alle Benutzer im AD erfasst und zu einer Gruppe MITARBEITER hinzugefügt
2. Auf dem Fileserver den gewünschten Ordner Freigegeben, dort als Berechtigung nur die Gruppe MITARBEITER hinzugefügt, mit Vollzugriff
3. Nun habe ich gelernt, dass im Sicherheits-Reiter die Gruppe BENUTZER nichts zu suchen hat. Ergo wollte ich diese löschen, was aber nur mit Deaktivierung der Vererbung geht.
4. Also Vererbung auf dem Ordner deaktiviert. Nun die neue Gruppe MITARBEITER hinzugefügt und BENUTZER gelöscht.

Nun passiert aber folgendes: Wenn ich den Administrator nicht in diese Gruppe MITARBEITER nehme, hat er keinen Zugriff auf die jeweiligen Ordner respektive Dateien. Das ist natürlich relativ schlecht. Ich schätze das liegt daran, weil die Vererbung nicht mehr aktiv ist. Aktiviere ich diese aber, nimmt er mir vom Root wieder BENUTZER rein - was ich ja nicht will.

Was klappt ist den Administrator einfach in die MITARBEITER Gruppe hinzuzufügen. Aber ist das Sinn der Sache?

Ich komme mir echt dämlich vor, es ist doch nur ein einfacher Share! Ich hoffe jemand kann mir hier Klarheit bringen, damit ich nicht mehr über so etwas triviales stolpern muss.


Gruss und etwas Gnade
Chris

Content-Key: 1821454978

Url: https://administrator.de/contentid/1821454978

Ausgedruckt am: 13.08.2022 um 11:08 Uhr

Mitglied: SlainteMhath
SlainteMhath 03.02.2022 um 11:57:18 Uhr
Goto Top
Moin,

tl;dr:
  • im Share: Jeder Lesen/schreiben
  • im Filesystem: Mitarbeiter Lesen/Schreiben + Administratoren (Die Gruppe, nicht der User): Vollzugriff. "Alle Berechtigungen für untergeordnete.... " aktiveren

lg,
Slainte
Mitglied: Mazenauer
Mazenauer 03.02.2022 aktualisiert um 12:13:40 Uhr
Goto Top
Zitat von @SlainteMhath:

Moin,

tl;dr:
  • im Share: Jeder Lesen/schreiben
  • im Filesystem: Mitarbeiter Lesen/Schreiben + Administratoren (Die Gruppe, nicht der User): Vollzugriff. "Alle Berechtigungen für untergeordnete.... " aktiveren

lg,
Slainte

Hi und danke schonmal

Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht? DOMAIN\administrator aber schon. Ich habe mich auf dem Fileserver korrekt über DOMAIN\administrator angemeldet.

Auf dem AD Server geht das aber, bloss der FS scheint diese Gruppe nicht zu finden?

Edit: Wobei Domainadministrator würde ja reichen. Check ich nacher. Trotzdem erschliesst sich mir nicht ganz, warum DOMAIN\AdministratorEN fehlt.
Mitglied: Thomas2
Thomas2 03.02.2022 um 12:23:34 Uhr
Goto Top
Hi,

könnte daran liegen, dass es diese Gruppe nicht gibt. Suche nach "dom" und die wirst ihn finden (Domänen-Admins). ;)

Gruß,
Thomas
Mitglied: Hubert.N
Hubert.N 03.02.2022 um 12:28:41 Uhr
Goto Top
Moin face-smile

Zitat von @Mazenauer:
Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht?

Was normal ist. Standard ist ganz einfach die Gruppe "Administratoren" auf dem Fileserver selbst. Duerch Aufnahme des Servers in die Domäne, wird die Gruppe "Domänen-Administratoren" zum Mitglied in der lokalen Gruppe "Administratoren", wodurch der Zugriff dann möglich ist.

Auf dem AD Server geht das aber, bloss der FS scheint diese Gruppe nicht zu finden?

Ja... Da existiert die Gruppe ja lokal. Eigentlich nichts anderes, als auf jeder beliebigen Arbeitsstation...

Gruß
Mitglied: Mazenauer
Mazenauer 03.02.2022 aktualisiert um 12:36:50 Uhr
Goto Top
Zitat von @Hubert.N:

Moin face-smile

Zitat von @Mazenauer:
Mein Problem: Ich kann DOMAIN\administratoren nicht hinzufügen. Die Gruppe findet er nicht?

Was normal ist. Standard ist ganz einfach die Gruppe "Administratoren" auf dem Fileserver selbst. Duerch Aufnahme des Servers in die Domäne, wird die Gruppe "Domänen-Administratoren" zum Mitglied in der lokalen Gruppe "Administratoren", wodurch der Zugriff dann möglich ist.

Auf dem AD Server geht das aber, bloss der FS scheint diese Gruppe nicht zu finden?

Ja... Da existiert die Gruppe ja lokal. Eigentlich nichts anderes, als auf jeder beliebigen Arbeitsstation...

Gruß

Hi Hubert

Okay langsam wird es klarer. Bzw. in der Theorie.

Ich habe nun bei dem Share MITARBEITER sowie FILESERVER\Administratoren. Melde ich mich aber mit DOMAIN\Administrator an, kommt der Dialog zum Berechtigungen übernehmen.

Auch in der lokalen Gruppe Administratoren des FILESERVER ist aber der Administrator der Domäne drin. Also so ganz logisch ist das nicht.

Funktionieren tut es, wenn ich beim Ordner zusätzlich einfach der User "Administrator" hinterlege.

EDIT: Okay jetzt wird es creepy. DOMAIN\administrator ist der BESITZER DIESES ORDNERS. Ich kann mir ALLES anzeigen lassen. Wieso kommt denn dann die UAC und fragt nach Berechtigungen? aaarggh
Mitglied: Mazenauer
Mazenauer 03.02.2022 aktualisiert um 13:04:15 Uhr
Goto Top
Also ich habe jetzt bei Sicherheit folgendes drin:

ERSTELLER-BESITZER
SYSTEM
MITARBEITER
DOMÄNE\Administrator
FILESERVER\Administratoren

So klappt es nun. Habe auf dem Share mit einem User der MITARBEITER Gruppe Ordner und Dokumente erstellt und mit Administrator bearbeitet.

Aber warum FILESERVER\Administratoren nicht reicht, obwohl dort der DOMÄNE\Administrator drin ist - rätselhaft. Evtl. kann das noch wer lösen.

Zudem hat so der LOKALE Administrator keinen Zugriff mehr, obwohl der ja in der Gruppe FILESERVER\Administratoren wäre....

Füge ich FILESERVER\Administrator hinzu klappt auch das.

Logge ich auf dem DC ein mit DOMÄNE\Administrator, dann geht auf dem Share auch alles.
Mitglied: Mazenauer
Mazenauer 03.02.2022 aktualisiert um 13:13:04 Uhr
Goto Top
Das scheint ein UAC Problem zu sein. Logge ich auf dem FS mit dem Domänen Admin ein und öffne ein CMD als Admin, darf ich die Textdatei mittels ping >> text.txt anpassen. Pures CMD nicht...

Edit: Tatsächlich. Habe Total Commander installiert. Normal gestartet: File darf nicht geöffnet werden. Als Admin: File kann geöffnet und verändert werden.

Ist das echt Sinn der Sache?
Mitglied: SlainteMhath
SlainteMhath 03.02.2022 um 13:22:05 Uhr
Goto Top
Ist das echt Sinn der Sache?
Ja,"Workng as intended"

Die Gruppe "Adminstratoren" ist besonders geschützt, so dass IMMER die Abfrage mit Reechteübernahme kommt, ES SEI DENN der angemeldete User hat explizite Rechte auf den Ordner/die Datei.

Abhilfe: "Eigene" Admingruppe ("DateiserverManager" o.Ä) anlegen und der dann Rechte auf NTFS Ebene vergeben.
Mitglied: Mazenauer
Mazenauer 03.02.2022 um 13:27:00 Uhr
Goto Top
Zitat von @SlainteMhath:

Ist das echt Sinn der Sache?
Ja,"Workng as intended"

Die Gruppe "Adminstratoren" ist besonders geschützt, so dass IMMER die Abfrage mit Reechteübernahme kommt, ES SEI DENN der angemeldete User hat explizite Rechte auf den Ordner/die Datei.

Abhilfe: "Eigene" Admingruppe ("DateiserverManager" o.Ä) anlegen und der dann Rechte auf NTFS Ebene vergeben.

hmm okay. Also deshalb klappt es, wenn ich die Admins wirklich als Admin und nicht als Gruppe hinzufüge.

Gut, aber dann kann ich ja theoretisch auch wirklich den Admin in die MITARBEITER Gruppe stecken. Das erkennt er ja sauber.