friesima
Goto Top

Domäne: UAC, ACL . hässliches Problem ?

Also seit einiger Zeit habe fällt mir beim setzen von NTFS-Berechtigungen (W2k8R2 und W7) folgendes auf:

wenn ich irgendwo auf einer Serverfreigabe (z. b. freiabe auf domain controller) als Mitglied der Domänen-Admin Gruppe versuche Berechtigungen zu verändern, kann das nur auf dem obersten Ordner übernommen werden, die Berechtigung der untergeordneten Ordner wird nicht mehr angefasst.

Ich führe zum Beispiel den Freecommander mit erhöhten Rechten (als Domänen-Admin) aus und dort es gibt einen Zugriff-Verweigert Fehler.
Auch wenn ich aus einem cmd Fenster mit erhöhten Rechten (als domäne\administrator oder domäne\domänendadminaccount) arbeite und zum Beispiel folgendes ausführe:

icacls \\server\testfreigabe\ /grant irgendeinuserface-sadOI)(CI)(RX)

dann sollte "irgendeinuser" ja lesen/ausführen rechte für die testfreigabe und alle Unterordner bekommen. Tut er aber nicht. icacls setzt diese Rechte nur für den obersten Ordner und antwortet " 1 dateien erfolgreich verarbeitet, bei 0 Dateien sind Verarbeitungsfehler aufgetreten.

Es funktioniert nur wenn ich mich auf einem computer oder server als "großer admin" (domäne\administrator) anmelde dann geht alles wie gewohnt. Ich schätze daher, dass irgendeine UAC-Einstellung in unser Domäne falsch konfiguriert ist. Kann das sein?

Viele Grüße
friesima

Content-Key: 269439

Url: https://administrator.de/contentid/269439

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 17.04.2015 um 10:31:55 Uhr
Goto Top
Hi.

Das Konto Administrator wird immer von der UAC ausgenommen, sprich, für dieses Konto wird die UAC ausgeschaltet, selbst wenn sie generell an ist.
Das gilt sowohl für Clients, als auch für Domänencontroller. Du benutzt mit dem "großen Admin" ja das eingebaute Konto, es verhält sich also anders als andere Domänenadmins.

Wenn Du jedoch Deine Kommandozeile als DomänenadminXY elevated gestartet hast (Rechtsklick->ausführen als Administrator) UND die ACLs dir erlauben, auf diesem Ordner samt Unterordnern und Dateien die Rechte zu ändern, dann MUSS es gehen.
Schau's dir also noch einmal genauer an, meist übersehen Admins das bzw. verstehen es nicht.
Mitglied: Friesima
Friesima 17.04.2015 um 10:53:59 Uhr
Goto Top
Hallo derwowusste,
schön dass du meinst, es müsste gehen, da sind wir schon mal einer Meinung face-smile


Zitat von @DerWoWusste:
Das Konto Administrator wird immer von der UAC ausgenommen, sprich, für dieses Konto wird die UAC ausgeschaltet, selbst wenn
sie generell an ist.
genau, deswegen die Vermutung, dass sie daran beteiligt ist.

Wenn Du jedoch Deine Kommandozeile als DomänenadminXY elevated gestartet hast (Rechtsklick->ausführen als
Administrator) UND die ACLs dir erlauben, auf diesem Ordner samt Unterordnern und Dateien die Rechte zu ändern, dann MUSS es
gehen.
Das dachte ich auch. Tut es aber definitiv nicht. Ich habe es jetzt mehrfach getestet. Die Testordner haben Vollzugriff für domäne\Administratoren (sowie system und noch einen weiteren user) einschließlich aller Unterordner. icacls funktioniert (wie oben beschrieben) in diesem Fall aus einer elevated cmd nicht. Auch nicht, wenn ich die cmd als domäne\administrator angehoben habe.
Mitglied: DerWoWusste
Lösung DerWoWusste 17.04.2015 aktualisiert um 12:07:05 Uhr
Goto Top
Das dachte ich auch. Tut es aber definitiv nicht.
Dann hast Du irgendetwas übersehen in den ACLs. Es geht bei mir ja auch und es ist auch so gedacht. Es gibt keine einstellbaren UAC-Optionen dazu.
Nimm bitte mal einen neuen Testordner und tob Dich da aus.
Mitglied: 114757
Lösung 114757 17.04.2015 aktualisiert um 11:56:08 Uhr
Goto Top
Hat da jemand die Vererbung der ACLs unterbrochen face-wink, dann musst du eventuell mit takeown die Ordner erst in Besitz nehmen.
Und benutze bei icacls den Schalter /t für alle Unterordner und Dateien ....

Gruß jodel32
Mitglied: Friesima
Friesima 17.04.2015 um 11:57:42 Uhr
Goto Top
Zitat von @114757:

Und benutze bei icacls den Schalter /t für alle Unterordner und Dateien ....

Gruß jodel32

Ja, das war schon mal ein guter Tipp. Dann geht's auch aus dem cmd.


Dann bleibt als Baustelle noch das problem über Freecommander oder den Windows Explorer.
Mitglied: 114757
114757 17.04.2015 um 12:34:43 Uhr
Goto Top
Dann bleibt als Baustelle noch das problem über Freecommander oder den Windows Explorer.
Wieso ? Übernehme den Besitz aller gewünschten Ordner stell die Vererbung ein und alles wird gut ...