4
DFS-Replikation - Problem ohne Adminrechte
Hallo zusammen,
ich bin gerade dabei ein DFS-Namespace für ein Share + Replikation aufzubauen.
Namespace funktioniert soweit grundsätzlich. Es hapert an der Replikation.
Nun ist die Kundenanforderung, dass die Administratoren selber kein Zugriff auf die Inhalte erhalten sollen und die Freigabe nur bereitstellen sollen.
Soweit so gut, ich denke keine ungewöhliche Anforderung. Daher habe ich auf zwei Fileservern eine entsprechende Freigabe (Jeder-Vollzugriff) und NTFS-Berechtigungen (Vollzugriff für SYSTEM und Ändern-Berechtigung für die entsprechende Nutzerguppe (eben ohne die Admins) vergeben.
Das ganze funktioniert als einzelne Freigabe wunderbar, nur die Replikation lässt sich nicht einrichten.
Die Fehlermeldung lautet: "die sicherheitseinstellungen können für den replizierten ordner nicht festgelegt werden. es wurde versucht, einen nicht autorisierten vorgang auszuführen"
Nach allem was ich gelesen habe arbeitet DFS mit dem lokalen SYSTEM-Konto, welches ja Vollzugriff hat.
Sobald ich auf dem zu replizierenden Ordner die Domänen-Admins berechtige funktioniert es.
Hat einer eine Idee, was ich hier übersehe oder einen anderen Best-Practise zum Thema, ich stehe da gerade irgendwie auf dem Schlauch?
Vielen Dank und viele Grüße
Mario
Kleine Ergänzung: Es handelt sich um Windows Server 2012R2 auf allen Servern.
ich bin gerade dabei ein DFS-Namespace für ein Share + Replikation aufzubauen.
Namespace funktioniert soweit grundsätzlich. Es hapert an der Replikation.
Nun ist die Kundenanforderung, dass die Administratoren selber kein Zugriff auf die Inhalte erhalten sollen und die Freigabe nur bereitstellen sollen.
Soweit so gut, ich denke keine ungewöhliche Anforderung. Daher habe ich auf zwei Fileservern eine entsprechende Freigabe (Jeder-Vollzugriff) und NTFS-Berechtigungen (Vollzugriff für SYSTEM und Ändern-Berechtigung für die entsprechende Nutzerguppe (eben ohne die Admins) vergeben.
Das ganze funktioniert als einzelne Freigabe wunderbar, nur die Replikation lässt sich nicht einrichten.
Die Fehlermeldung lautet: "die sicherheitseinstellungen können für den replizierten ordner nicht festgelegt werden. es wurde versucht, einen nicht autorisierten vorgang auszuführen"
Nach allem was ich gelesen habe arbeitet DFS mit dem lokalen SYSTEM-Konto, welches ja Vollzugriff hat.
Sobald ich auf dem zu replizierenden Ordner die Domänen-Admins berechtige funktioniert es.
Hat einer eine Idee, was ich hier übersehe oder einen anderen Best-Practise zum Thema, ich stehe da gerade irgendwie auf dem Schlauch?
Vielen Dank und viele Grüße
Mario
Kleine Ergänzung: Es handelt sich um Windows Server 2012R2 auf allen Servern.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325277
Url: https://administrator.de/contentid/325277
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
4 Kommentare
Neuester Kommentar
Hi.
Das gesteckte Ziel, Administration ohne vollen Zugriff, ist nicht erreichbar.
Das gesteckte Ziel, Administration ohne vollen Zugriff, ist nicht erreichbar.
Hi,
ich habe es zwar selbst noch nicht bewusst probiert, ob es nicht funktioniert, wenn ich selbst keine Zugriffsrechte habe. Wenn ich aber mal von Deiner Erfahrung ausgehe, dann könnte ich mir jetzt folgende Ansätze vorstellen:
E.
ich habe es zwar selbst noch nicht bewusst probiert, ob es nicht funktioniert, wenn ich selbst keine Zugriffsrechte habe. Wenn ich aber mal von Deiner Erfahrung ausgehe, dann könnte ich mir jetzt folgende Ansätze vorstellen:
- erteile dem Admin, mit welchem Du die Replikation einrichten willst für die beiden Stamm-Ordner jeweils das Recht "Ordnerinhalt auflisten", ohne Vererbung
- starte die MMC mit "psexec -s -i dfsmgmt.msc"
E.
Hallo Emeriks,
zu 1. - den Gedanken hatte ich auch schon, half aber für sich alleine nicht.
zu 2. - Gute Idee, aber zu sehr am Standard vorbei. Das lässt sich schwer dokumentieren, ohne sagen zu können, ob es grundsätzlich funktioniert.
Ich strebe daher folgende Lösung an: DFS-N und DFSR werden getrennt voneinander eingerichtet und nicht zusammen.
Auf dem Fileserver wird eine zusätzliche Ordnerebene oberhalb der Freigabe eingeführt und diese inkl. allem darunter liegenden wird repliziert.
Die Vererbung kann dann für die eigentlichen Freigaben nach unten gebrochen werden und nur noch SYSTEM und der entsprechenden Nutzergruppe Zugriff gewährt werden. Natürlich kann sich ein Admin theoretisch erneut Zugriff verschaffen, aber das wird dann mit anderen Mitteln gemonitort und
organisatorisch untersagt.
zu 1. - den Gedanken hatte ich auch schon, half aber für sich alleine nicht.
zu 2. - Gute Idee, aber zu sehr am Standard vorbei. Das lässt sich schwer dokumentieren, ohne sagen zu können, ob es grundsätzlich funktioniert.
Ich strebe daher folgende Lösung an: DFS-N und DFSR werden getrennt voneinander eingerichtet und nicht zusammen.
Auf dem Fileserver wird eine zusätzliche Ordnerebene oberhalb der Freigabe eingeführt und diese inkl. allem darunter liegenden wird repliziert.
Die Vererbung kann dann für die eigentlichen Freigaben nach unten gebrochen werden und nur noch SYSTEM und der entsprechenden Nutzergruppe Zugriff gewährt werden. Natürlich kann sich ein Admin theoretisch erneut Zugriff verschaffen, aber das wird dann mit anderen Mitteln gemonitort und
organisatorisch untersagt.
zu 2. - Gute Idee, aber zu sehr am Standard vorbei. Das lässt sich schwer dokumentieren, ohne sagen zu können, ob es grundsätzlich funktioniert.
Mir fehlt die Phantasie, hier ein Problem zu sehen.
