Domäne: UAC, ACL . hässliches Problem ?
Also seit einiger Zeit habe fällt mir beim setzen von NTFS-Berechtigungen (W2k8R2 und W7) folgendes auf:
wenn ich irgendwo auf einer Serverfreigabe (z. b. freiabe auf domain controller) als Mitglied der Domänen-Admin Gruppe versuche Berechtigungen zu verändern, kann das nur auf dem obersten Ordner übernommen werden, die Berechtigung der untergeordneten Ordner wird nicht mehr angefasst.
Ich führe zum Beispiel den Freecommander mit erhöhten Rechten (als Domänen-Admin) aus und dort es gibt einen Zugriff-Verweigert Fehler.
Auch wenn ich aus einem cmd Fenster mit erhöhten Rechten (als domäne\administrator oder domäne\domänendadminaccount) arbeite und zum Beispiel folgendes ausführe:
icacls \\server\testfreigabe\ /grant irgendeinuser
OI)(CI)(RX)
dann sollte "irgendeinuser" ja lesen/ausführen rechte für die testfreigabe und alle Unterordner bekommen. Tut er aber nicht. icacls setzt diese Rechte nur für den obersten Ordner und antwortet " 1 dateien erfolgreich verarbeitet, bei 0 Dateien sind Verarbeitungsfehler aufgetreten.
Es funktioniert nur wenn ich mich auf einem computer oder server als "großer admin" (domäne\administrator) anmelde dann geht alles wie gewohnt. Ich schätze daher, dass irgendeine UAC-Einstellung in unser Domäne falsch konfiguriert ist. Kann das sein?
Viele Grüße
friesima
wenn ich irgendwo auf einer Serverfreigabe (z. b. freiabe auf domain controller) als Mitglied der Domänen-Admin Gruppe versuche Berechtigungen zu verändern, kann das nur auf dem obersten Ordner übernommen werden, die Berechtigung der untergeordneten Ordner wird nicht mehr angefasst.
Ich führe zum Beispiel den Freecommander mit erhöhten Rechten (als Domänen-Admin) aus und dort es gibt einen Zugriff-Verweigert Fehler.
Auch wenn ich aus einem cmd Fenster mit erhöhten Rechten (als domäne\administrator oder domäne\domänendadminaccount) arbeite und zum Beispiel folgendes ausführe:
icacls \\server\testfreigabe\ /grant irgendeinuser
OI)(CI)(RX)dann sollte "irgendeinuser" ja lesen/ausführen rechte für die testfreigabe und alle Unterordner bekommen. Tut er aber nicht. icacls setzt diese Rechte nur für den obersten Ordner und antwortet " 1 dateien erfolgreich verarbeitet, bei 0 Dateien sind Verarbeitungsfehler aufgetreten.
Es funktioniert nur wenn ich mich auf einem computer oder server als "großer admin" (domäne\administrator) anmelde dann geht alles wie gewohnt. Ich schätze daher, dass irgendeine UAC-Einstellung in unser Domäne falsch konfiguriert ist. Kann das sein?
Viele Grüße
friesima
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 269439
Url: https://administrator.de/forum/domaene-uac-acl-haessliches-problem-269439.html
Ausgedruckt am: 10.05.2025 um 19:05 Uhr
6 Kommentare
Neuester Kommentar
Hi.
Das Konto Administrator wird immer von der UAC ausgenommen, sprich, für dieses Konto wird die UAC ausgeschaltet, selbst wenn sie generell an ist.
Das gilt sowohl für Clients, als auch für Domänencontroller. Du benutzt mit dem "großen Admin" ja das eingebaute Konto, es verhält sich also anders als andere Domänenadmins.
Wenn Du jedoch Deine Kommandozeile als DomänenadminXY elevated gestartet hast (Rechtsklick->ausführen als Administrator) UND die ACLs dir erlauben, auf diesem Ordner samt Unterordnern und Dateien die Rechte zu ändern, dann MUSS es gehen.
Schau's dir also noch einmal genauer an, meist übersehen Admins das bzw. verstehen es nicht.
Das Konto Administrator wird immer von der UAC ausgenommen, sprich, für dieses Konto wird die UAC ausgeschaltet, selbst wenn sie generell an ist.
Das gilt sowohl für Clients, als auch für Domänencontroller. Du benutzt mit dem "großen Admin" ja das eingebaute Konto, es verhält sich also anders als andere Domänenadmins.
Wenn Du jedoch Deine Kommandozeile als DomänenadminXY elevated gestartet hast (Rechtsklick->ausführen als Administrator) UND die ACLs dir erlauben, auf diesem Ordner samt Unterordnern und Dateien die Rechte zu ändern, dann MUSS es gehen.
Schau's dir also noch einmal genauer an, meist übersehen Admins das bzw. verstehen es nicht.
Hallo derwowusste,
schön dass du meinst, es müsste gehen, da sind wir schon mal einer Meinung
schön dass du meinst, es müsste gehen, da sind wir schon mal einer Meinung
Zitat von @DerWoWusste:
Das Konto Administrator wird immer von der UAC ausgenommen, sprich, für dieses Konto wird die UAC ausgeschaltet, selbst wenn
sie generell an ist.
genau, deswegen die Vermutung, dass sie daran beteiligt ist.Das Konto Administrator wird immer von der UAC ausgenommen, sprich, für dieses Konto wird die UAC ausgeschaltet, selbst wenn
sie generell an ist.
Wenn Du jedoch Deine Kommandozeile als DomänenadminXY elevated gestartet hast (Rechtsklick->ausführen als
Administrator) UND die ACLs dir erlauben, auf diesem Ordner samt Unterordnern und Dateien die Rechte zu ändern, dann MUSS es
gehen.
Das dachte ich auch. Tut es aber definitiv nicht. Ich habe es jetzt mehrfach getestet. Die Testordner haben Vollzugriff für domäne\Administratoren (sowie system und noch einen weiteren user) einschließlich aller Unterordner. icacls funktioniert (wie oben beschrieben) in diesem Fall aus einer elevated cmd nicht. Auch nicht, wenn ich die cmd als domäne\administrator angehoben habe.Administrator) UND die ACLs dir erlauben, auf diesem Ordner samt Unterordnern und Dateien die Rechte zu ändern, dann MUSS es
gehen.
Das dachte ich auch. Tut es aber definitiv nicht.
Dann hast Du irgendetwas übersehen in den ACLs. Es geht bei mir ja auch und es ist auch so gedacht. Es gibt keine einstellbaren UAC-Optionen dazu.Nimm bitte mal einen neuen Testordner und tob Dich da aus.
Hat da jemand die Vererbung der ACLs unterbrochen 
, dann musst du eventuell mit takeown die Ordner erst in Besitz nehmen.
Und benutze bei icacls den Schalter /t für alle Unterordner und Dateien ....
Gruß jodel32
, dann musst du eventuell mit takeown die Ordner erst in Besitz nehmen.Und benutze bei icacls den Schalter /t für alle Unterordner und Dateien ....
Gruß jodel32
1Zitat von @114757:
Und benutze bei icacls den Schalter /t für alle Unterordner und Dateien ....
Gruß jodel32
Und benutze bei icacls den Schalter /t für alle Unterordner und Dateien ....
Gruß jodel32
Ja, das war schon mal ein guter Tipp. Dann geht's auch aus dem cmd.
Dann bleibt als Baustelle noch das problem über Freecommander oder den Windows Explorer.
Dann bleibt als Baustelle noch das problem über Freecommander oder den Windows Explorer.
Wieso ? Übernehme den Besitz aller gewünschten Ordner stell die Vererbung ein und alles wird gut ...
