Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DFS-Namespace: Nach Einrichtung NTFS-Berechtigung kein Zugriff auf Ordner lokal

Mitglied: NilsvLehn

NilsvLehn (Level 1) - Jetzt verbinden

11.10.2018 um 20:32 Uhr, 447 Aufrufe, 8 Kommentare, 1 Danke

Hallo,

ich und mein Kollege führen DFS in unserem Unternehmen ein.

Wir haben den Namespace angelegt, und die Freigabe definiert. Domänen-Admins Voll, Gruppe X ändern.

So ... NTFS Berechtigungen in den Ordnern auf jeden Fall so eingestellt, dass Domänen-Admins Vollzugriff haben. Da es sensible Daten teilweise sind, werden Domänen-Benutzer entfernt, um unbefugten den Zugriff zu verbieten.

So , jetzt könnte man denken, dass ich als Domänen Admin Zugriff auf den Ordner habe. Habe ich aber nicht. Nicht über Lokal. Wenn ich es über einen Client über den DFS-Share mache, dann schon.

Ich frage mich nur warum das nicht jetzt geht. Es geht immer erst, wenn ich die Domänen-Benutzer wieder einfüge, aber das will ich eigentlich vermeiden.

Hat einer von euch schon mit DFS zu tun gehabt, und eins aufgesetzt, und solche Erfahrungen gemacht. Ist das von Microsoft so gewollt?
Mitglied: Stefan41
12.10.2018, aktualisiert um 00:29 Uhr
Ich bin auch grade mit diesem Thema am rumbasteln. Habe letztes Wochenende in einer neu erstellten 2016er Testumgebung ähnliches bemerkt. Füge ich einen Ordner zum Namespace hinzu hatte ich auf diesem DFS Server keine Rechte über c:\dfs...\Ordner drauf zuzugreifen, trotz Dom Admin Recht. Füge ich eine UNC Freigabe (!) zum DFS hinzu, die im Dateisystem nicht unterhalb des c:\dfs...(komme nicht auf den genauen Namen) Ordners liegt funktioniert der Zugriff über das Dateisystem wie gewünscht.

Habe mich nicht genauer mit der Ursache oder der Lösung auseinandergesetzt, da das hinzufügen von Ordnern einfach durch die Freigaben zu ersetzen ist und in meiner Produktivumgebung der DFS Namespace Server nicht der Server werden wird wo am Ende die Dateien liegen werden. Namespace Server soll vorraussichtlich ein 2016er AD Controller werden und dann kommen 2 Fileserver mit rein, die sich replizieren.
Bitte warten ..
Mitglied: emeriks
12.10.2018, aktualisiert um 08:20 Uhr
Hi,
Du solltest das als erstes auseinanderklamusern.

  1. Von welchem Zugriff reden wir? Jenem auf die DFS-Wurzel oder jenem auf die DFS-Ordner?
  2. "Administratoren", "Domänen-Admins" und noch ein paar andere Gruppen fallen beim Zugriff von lokal unter den besonderen Schutz von UAC. Prüfe mal den Zugriff in einer CMD, welche Du "als Administrator" gestartet hast.
  3. "Domänen-Admins" sollte man für die Fileserverdaten-Administration überhaupt nicht verwenden. Erstelle Dir dafür explizit zwei Gruppen. Eine gedacht als Rolle und die andere gedacht für Rechtevergabe. Die Rolle (Globale Gruppe) in die Rechte-Gruppe (Domänenlokale Gruppe) verschachteln. Deinen Admin-Benutzer zum Mitglied dieser Rolle machen. Der Rechte-Gruppe Vollzugriff auf die Daten erteilen. Neu anmelden mit Deinem Admin-Benutzer und schon hast Du keine Probleme durch UAC mehr beim Zugriff auf diese Daten, wenn Du von lokal zugreifst. Siehe auch AGDLP.

E.

Edit:
Und die Freigabe-Berechtigungen nicht vergessen!
Bitte warten ..
Mitglied: erikro
12.10.2018, aktualisiert um 08:37 Uhr
Moin,

ich ahne mal, Du meinst den "lokalen" Zugriff auf den DFS-Root-Ordner, bei dem diese Fehlermeldung kommt:

dfsroot - Klicke auf das Bild, um es zu vergrößern

Works as designed. Der lokale Zugriff ist hier gar nicht möglich, da es sich hier NICHT um einen Ordner handelt, sondern um den Zeiger des DFS auf die DFS-Ordnerziele. Lokal ist da gar nichts vorhanden, was geöffnet werden könnte. Deshalb kommt auch die etwas verwirrende Fehlermeldung, dass die Netzwerkressource nicht zur Verfügung steht.

hth

Erik

<edit>Mist, vergessen das Bild zu beschneiden.</edit>
Bitte warten ..
Mitglied: Stefan41
12.10.2018 um 08:52 Uhr
Zitat von erikro:

Moin,

ich ahne mal, Du meinst den "lokalen" Zugriff auf den DFS-Root-Ordner, bei dem diese Fehlermeldung kommt:

dfsroot - Klicke auf das Bild, um es zu vergrößern


Ja, ich glaube diese Meldung ist es bei mir gewesen.
Bitte warten ..
Mitglied: erikro
12.10.2018 um 08:55 Uhr
Zitat von Stefan41:
Ja, ich glaube diese Meldung ist es bei mir gewesen.

Wie gesagt: das gehört so.
Bitte warten ..
Mitglied: emeriks
12.10.2018, aktualisiert um 08:59 Uhr
Ja, ich glaube diese Meldung ist es bei mir gewesen.
Ach, wenn es DAS ist, dann wie @erikro schon schreibt. Das sind Links, welchem man lokal nicht folgen kann. Wie z.B. der Link "Dokumente und Einstellungen" unter C:\ auf deutschen Installationen von Win10.
Bitte warten ..
Mitglied: ErikBerliner
15.10.2018 um 10:36 Uhr
Hallo Eriks und Nils,

hier ist der Kollege von Nils und noch ein weiterer Erik. ;)

Das Problem stellt sich folgendermaßen dar:
Auf eine Freigabe (CIFS) kann genau entsprechend den gesetzten Berechtigungen zugegriffen werden. Somit gibt es nach "außen" kein Problem, da alles so funktioniert, wie es gewollt ist. Hierbei ist egal, ob über den DFS-Einstiegspunkt oder über ein klassisches SMB-Share zugegriffen wird.

Soll auf die identischen Daten lokal zugegriffen werden, sieht es leider anders aus. Hat ein Domänen-Admin VZ, kommt beim (und nur bei diesem) lokalen Zugriff die Meldung: 1 - Klicke auf das Bild, um es zu vergrößern
Ich habe inzw. getestet: Erstellt man eine Gruppe mit VZ auf NTFS-Ebene, kann man in diese Mitglieder der Gruppe der Domänenadmins stecken und diese haben VZ. Es funktioniert offensichtlich nur nicht direkt mit der Gruppe der Domänenadmins. Grund ist hierbei offensichtlich eine Art Diziplinierung seitens MS. Ähnliches schrieb mir auf meine Anfrage schon einer der Eriks hier in einem anderen Thread! Diese Lösung genügt mir und ich möchte mich bei allen bedanken!

Grüße Erik
Bitte warten ..
Mitglied: emeriks
15.10.2018, aktualisiert um 11:27 Uhr
Das hatte ich doch bereits geschrieben!
Das ist logisch und hängt mit UAC zusammen. Das hat nichts mit DFS zu tun.
Bitte warten ..
Ähnliche Inhalte
Microsoft

Updates Lokal Speichern für PC Einrichtung

Frage von manuelwMicrosoft7 Kommentare

Hallo, wir haben bei uns in der Firma ständig PCs welche wir für unsere Kunden "vorbereiten" d.h. wir installieren ...

Windows Server

DFS Ordnerziele kein Zugriff

Frage von michi311984Windows Server1 Kommentar

Moin, ich habe einen Srv 2012 R2 mit DFS Namespaces. In dem sind zusätzlich 3 Ordnerziele mit dem Verweis ...

Windows Netzwerk

Zugriff auf DFS Freigabe

gelöst Frage von sardldbWindows Netzwerk19 Kommentare

Hallo Zusammen Ich habe folgendes Problem: Ich bin mit einem Benutzer an Rechner 1 angemeldet. Dort habe ich ein ...

Windows 10

Zugriff verweigert trotz Berechtigung

gelöst Frage von SarekHLWindows 109 Kommentare

Hallo zusammen, folgende Situation: - Client (Windows 10) ist Domänenmitglied eines Server 2012 R2 - Verbindung über FritzVPN, Anmeldung ...

Neue Wissensbeiträge
Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 20 StundenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 4 TageniOS3 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 4 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 6 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Heiß diskutierte Inhalte
Windows Server
Einziger Domänencontroller ersetzen - Windows Server 2012R2 - Hostname
Frage von DeRo93Windows Server29 Kommentare

Guten Tag, Leider haben wir einen Domänencontroller dessen Komponentenspeicher defekt ist. Alle Maßnahmen sind da leider fehlgeschlagen. Nun wurde ...

Server-Hardware
WS 2016 Essentials Hardware
Frage von ChefknechtServer-Hardware20 Kommentare

Moin welche Hardware würdet ihr empfehlen? Dell Poweredge HP Proliant Fujitsu Ich bin total konfus was nun nötig ist, ...

Windows Server
Welche Option fürs Windows Server Installations besser
Frage von backitWindows Server20 Kommentare

Hi Zusammen, ich werde unserer AD (SBS 2011) und Exchange 2010 Servern auf neuen physikalischen Server umziehen. ich habe ...

Windows Update
Fehler bei Updates über WSUS
Frage von Hendrik2586Windows Update19 Kommentare

Guten Tag liebe Kolleginen und Kollegen, lang lang ist meine letzte Anfrage her. Hier etwas das mich nun schon ...