DFS-Namespace: Nach Einrichtung NTFS-Berechtigung kein Zugriff auf Ordner lokal
Hallo,
ich und mein Kollege führen DFS in unserem Unternehmen ein.
Wir haben den Namespace angelegt, und die Freigabe definiert. Domänen-Admins Voll, Gruppe X ändern.
So ... NTFS Berechtigungen in den Ordnern auf jeden Fall so eingestellt, dass Domänen-Admins Vollzugriff haben. Da es sensible Daten teilweise sind, werden Domänen-Benutzer entfernt, um unbefugten den Zugriff zu verbieten.
So , jetzt könnte man denken, dass ich als Domänen Admin Zugriff auf den Ordner habe. Habe ich aber nicht. Nicht über Lokal. Wenn ich es über einen Client über den DFS-Share mache, dann schon.
Ich frage mich nur warum das nicht jetzt geht. Es geht immer erst, wenn ich die Domänen-Benutzer wieder einfüge, aber das will ich eigentlich vermeiden.
Hat einer von euch schon mit DFS zu tun gehabt, und eins aufgesetzt, und solche Erfahrungen gemacht. Ist das von Microsoft so gewollt?
ich und mein Kollege führen DFS in unserem Unternehmen ein.
Wir haben den Namespace angelegt, und die Freigabe definiert. Domänen-Admins Voll, Gruppe X ändern.
So ... NTFS Berechtigungen in den Ordnern auf jeden Fall so eingestellt, dass Domänen-Admins Vollzugriff haben. Da es sensible Daten teilweise sind, werden Domänen-Benutzer entfernt, um unbefugten den Zugriff zu verbieten.
So , jetzt könnte man denken, dass ich als Domänen Admin Zugriff auf den Ordner habe. Habe ich aber nicht. Nicht über Lokal. Wenn ich es über einen Client über den DFS-Share mache, dann schon.
Ich frage mich nur warum das nicht jetzt geht. Es geht immer erst, wenn ich die Domänen-Benutzer wieder einfüge, aber das will ich eigentlich vermeiden.
Hat einer von euch schon mit DFS zu tun gehabt, und eins aufgesetzt, und solche Erfahrungen gemacht. Ist das von Microsoft so gewollt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389185
Url: https://administrator.de/contentid/389185
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Ich bin auch grade mit diesem Thema am rumbasteln. Habe letztes Wochenende in einer neu erstellten 2016er Testumgebung ähnliches bemerkt. Füge ich einen Ordner zum Namespace hinzu hatte ich auf diesem DFS Server keine Rechte über c:\dfs...\Ordner drauf zuzugreifen, trotz Dom Admin Recht. Füge ich eine UNC Freigabe (!) zum DFS hinzu, die im Dateisystem nicht unterhalb des c:\dfs...(komme nicht auf den genauen Namen) Ordners liegt funktioniert der Zugriff über das Dateisystem wie gewünscht.
Habe mich nicht genauer mit der Ursache oder der Lösung auseinandergesetzt, da das hinzufügen von Ordnern einfach durch die Freigaben zu ersetzen ist und in meiner Produktivumgebung der DFS Namespace Server nicht der Server werden wird wo am Ende die Dateien liegen werden. Namespace Server soll vorraussichtlich ein 2016er AD Controller werden und dann kommen 2 Fileserver mit rein, die sich replizieren.
Habe mich nicht genauer mit der Ursache oder der Lösung auseinandergesetzt, da das hinzufügen von Ordnern einfach durch die Freigaben zu ersetzen ist und in meiner Produktivumgebung der DFS Namespace Server nicht der Server werden wird wo am Ende die Dateien liegen werden. Namespace Server soll vorraussichtlich ein 2016er AD Controller werden und dann kommen 2 Fileserver mit rein, die sich replizieren.
Hi,
Du solltest das als erstes auseinanderklamusern.
E.
Edit:
Und die Freigabe-Berechtigungen nicht vergessen!
Du solltest das als erstes auseinanderklamusern.
- Von welchem Zugriff reden wir? Jenem auf die DFS-Wurzel oder jenem auf die DFS-Ordner?
- "Administratoren", "Domänen-Admins" und noch ein paar andere Gruppen fallen beim Zugriff von lokal unter den besonderen Schutz von UAC. Prüfe mal den Zugriff in einer CMD, welche Du "als Administrator" gestartet hast.
- "Domänen-Admins" sollte man für die Fileserverdaten-Administration überhaupt nicht verwenden. Erstelle Dir dafür explizit zwei Gruppen. Eine gedacht als Rolle und die andere gedacht für Rechtevergabe. Die Rolle (Globale Gruppe) in die Rechte-Gruppe (Domänenlokale Gruppe) verschachteln. Deinen Admin-Benutzer zum Mitglied dieser Rolle machen. Der Rechte-Gruppe Vollzugriff auf die Daten erteilen. Neu anmelden mit Deinem Admin-Benutzer und schon hast Du keine Probleme durch UAC mehr beim Zugriff auf diese Daten, wenn Du von lokal zugreifst. Siehe auch AGDLP.
E.
Edit:
Und die Freigabe-Berechtigungen nicht vergessen!
Moin,
ich ahne mal, Du meinst den "lokalen" Zugriff auf den DFS-Root-Ordner, bei dem diese Fehlermeldung kommt:
Works as designed. Der lokale Zugriff ist hier gar nicht möglich, da es sich hier NICHT um einen Ordner handelt, sondern um den Zeiger des DFS auf die DFS-Ordnerziele. Lokal ist da gar nichts vorhanden, was geöffnet werden könnte. Deshalb kommt auch die etwas verwirrende Fehlermeldung, dass die Netzwerkressource nicht zur Verfügung steht.
hth
Erik
<edit>Mist, vergessen das Bild zu beschneiden.</edit>
ich ahne mal, Du meinst den "lokalen" Zugriff auf den DFS-Root-Ordner, bei dem diese Fehlermeldung kommt:
Works as designed. Der lokale Zugriff ist hier gar nicht möglich, da es sich hier NICHT um einen Ordner handelt, sondern um den Zeiger des DFS auf die DFS-Ordnerziele. Lokal ist da gar nichts vorhanden, was geöffnet werden könnte. Deshalb kommt auch die etwas verwirrende Fehlermeldung, dass die Netzwerkressource nicht zur Verfügung steht.
hth
Erik
<edit>Mist, vergessen das Bild zu beschneiden.</edit>
Zitat von @erikro:
Moin,
ich ahne mal, Du meinst den "lokalen" Zugriff auf den DFS-Root-Ordner, bei dem diese Fehlermeldung kommt:
Moin,
ich ahne mal, Du meinst den "lokalen" Zugriff auf den DFS-Root-Ordner, bei dem diese Fehlermeldung kommt:
Ja, ich glaube diese Meldung ist es bei mir gewesen.
Wie gesagt: das gehört so.
Ja, ich glaube diese Meldung ist es bei mir gewesen.
Ach, wenn es DAS ist, dann wie @erikro schon schreibt. Das sind Links, welchem man lokal nicht folgen kann. Wie z.B. der Link "Dokumente und Einstellungen" unter C:\ auf deutschen Installationen von Win10.
Hallo Eriks und Nils,
hier ist der Kollege von Nils und noch ein weiterer Erik. ;)
Das Problem stellt sich folgendermaßen dar:
Auf eine Freigabe (CIFS) kann genau entsprechend den gesetzten Berechtigungen zugegriffen werden. Somit gibt es nach "außen" kein Problem, da alles so funktioniert, wie es gewollt ist. Hierbei ist egal, ob über den DFS-Einstiegspunkt oder über ein klassisches SMB-Share zugegriffen wird.
Soll auf die identischen Daten lokal zugegriffen werden, sieht es leider anders aus. Hat ein Domänen-Admin VZ, kommt beim (und nur bei diesem) lokalen Zugriff die Meldung: Ich habe inzw. getestet: Erstellt man eine Gruppe mit VZ auf NTFS-Ebene, kann man in diese Mitglieder der Gruppe der Domänenadmins stecken und diese haben VZ. Es funktioniert offensichtlich nur nicht direkt mit der Gruppe der Domänenadmins. Grund ist hierbei offensichtlich eine Art Diziplinierung seitens MS. Ähnliches schrieb mir auf meine Anfrage schon einer der Eriks hier in einem anderen Thread! Diese Lösung genügt mir und ich möchte mich bei allen bedanken!
Grüße Erik
hier ist der Kollege von Nils und noch ein weiterer Erik. ;)
Das Problem stellt sich folgendermaßen dar:
Auf eine Freigabe (CIFS) kann genau entsprechend den gesetzten Berechtigungen zugegriffen werden. Somit gibt es nach "außen" kein Problem, da alles so funktioniert, wie es gewollt ist. Hierbei ist egal, ob über den DFS-Einstiegspunkt oder über ein klassisches SMB-Share zugegriffen wird.
Soll auf die identischen Daten lokal zugegriffen werden, sieht es leider anders aus. Hat ein Domänen-Admin VZ, kommt beim (und nur bei diesem) lokalen Zugriff die Meldung: Ich habe inzw. getestet: Erstellt man eine Gruppe mit VZ auf NTFS-Ebene, kann man in diese Mitglieder der Gruppe der Domänenadmins stecken und diese haben VZ. Es funktioniert offensichtlich nur nicht direkt mit der Gruppe der Domänenadmins. Grund ist hierbei offensichtlich eine Art Diziplinierung seitens MS. Ähnliches schrieb mir auf meine Anfrage schon einer der Eriks hier in einem anderen Thread! Diese Lösung genügt mir und ich möchte mich bei allen bedanken!
Grüße Erik