tom2020
Goto Top

Domänenmitglieder können nicht in Freigabe-Ordner des SBS 2011 Servers schreiben, NICHT Domänenmitglieder aber schon !

Es wurde eine Freigabe auf dem Server SBS 2011 erstellt mit dem Benutzer Jeder (auch unter Sicherheit wurde der eingestellt) mit jeweils VOLLBERECHTIGUNG.

Ein Client der NICHT in der Domäne ist (das ist bei einem User aktuell noch der Fall), kann die Freigabe sehen und auch Dateien dort ablegen, also sind
Schreibrechte vollständig vorhanden.

ALLE PC’s die in der Domäne sind können Ordner erstellen und Freigaben sehen und auch lesen, aber KEINE Dateien darauf kopieren, obwohl die Freigabe und Sicherheit mit dem Benutzer Jeder und jeweils Vollberechtigung ausgestattet wurde. Also Schreibrechte sollten kein Probleme darstellen zumal auch die
NICHT Domänenmitglieder munter drauf los schreiben können (wie oben schon erwähnt)

Es kann also niemand der der Domäne angehört irgendeine Datei ablegen
auf dem Server SBS 2011 egal welcher Client und welches Betriebssystem auf dem Rechner installiert ist.
(Windows ist es natürlich schon, aber es können Win7 Rechner als auch Win XP Pro Clients sein)

Wie schon erwähnt kann jemand der NICHT der Domäne angehört Dateien auf dem Server SBS 2011 ablegen (ist ja auch logisch wenn dem Benutzer Jeder Vollberechtigungen gewährt wurden bei Freigabe und Sicherheit)

Warum kann ausgerechnet ein Domänenbenutzer das nicht tun ?? Falls das jemand weiß bitte um Nachricht, ich bin echt am verzweifeln.
Im Voraus vielen, vielen Dank.

Gruppenrichtlinien Problem vielleicht ? Aber wenn der Benutzer Jeder mit Vollberechtigung gesetzt ist, sollten die doch auch keine Rolle spielen.

Content-ID: 211472

Url: https://administrator.de/contentid/211472

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

GuentherH
GuentherH 14.07.2013 um 22:31:59 Uhr
Goto Top
Gib den Domäenuser auch Vollzugriff, dann sollte es klappen. Die Domänenuser sind nicht Mitglied der Gruppe "Jeder"

LG Günther
certifiedit.net
certifiedit.net 14.07.2013 um 22:35:31 Uhr
Goto Top
Abgesehen davon: Warum "jeder", wenn sowieso Domainmembers?
Christian25
Christian25 14.07.2013 um 22:50:57 Uhr
Goto Top
Hallo

sind vielleicht einem übergeordneten Verzeichniss die Rechte der Domänenuser verweigert worden?
das wird je nach Einstellung vererbt...

Grüße
tom2020
tom2020 15.07.2013 um 09:01:16 Uhr
Goto Top
Die Domänenbenutzer haben aber schon VOLLZUGRIFF, von der Seite sollte alles klar sein, es funktioniert auch fast alles vom Server zum Client, gibt es auch
keine Probleme. Vom Client zu Server geht alles bis auf Schreibrechte (das ist auch der Grund warum ich hier meine Frage stelle) Es hat kein
Domänenmitglied auf dem Server Schreibrechte. Obwohl den Domänenbenutzern VOLLZUGRIFF gewährt wurde.
goscho
goscho 15.07.2013 aktualisiert um 09:20:39 Uhr
Goto Top
Moin tom2020,

lass "jeder" in einer Domäne einfach weg und richte die Sicherheitseinstellungen so ein, dass die entsprechenden Gruppen die benötigten Rechte bekommen.
Achte - wie bereits erwähnt - auch auf Vererbungen von übergeordneten Ordnern und auf Verweigern, welches ein bevorzugtes Recht ist.

Zitat von @tom2020:
Die Domänenbenutzer haben aber schon VOLLZUGRIFF, von der Seite sollte alles klar sein, es funktioniert auch fast alles vom
Server zum Client,
Was heißt das?
gibt es auch
keine Probleme. Vom Client zu Server geht alles bis auf Schreibrechte (das ist auch der Grund warum ich hier meine Frage stelle)
Es hat kein Domänenmitglied auf dem Server Schreibrechte. Obwohl den Domänenbenutzern VOLLZUGRIFF gewährt wurde.
Geht es immer noch nur um diesen Freigabeordner oder etwas anderes?
fredilandolt
fredilandolt 15.07.2013 um 09:47:59 Uhr
Goto Top
Sind den Domänenebenutzern per default nicht Spezialrechte zugeteilt, Schreiben verweigert.

Entferne mal diese Gruppe, da du jeder als Full hinzugefügt hast.

Bemerkung: Die Rechte Full ist in der Freigabe OK. Auf Fileebene (NTFS) sollte dies nie gemacht werden. Damit giebst du jedem die Möglichkeit, die Rechte in dieser Strucktur zu ändern und alle auszuschliessen.
Administratoren immer Full. Benutzer max. ändern.

Gruss, Fredi
DerWoWusste
DerWoWusste 15.07.2013 um 11:13:09 Uhr
Goto Top
Moin Günther.

Die Domänenuser sind nicht Mitglied der Gruppe "Jeder"
Aber selbstverständlich sind sie das.
DerWoWusste
DerWoWusste 15.07.2013 aktualisiert um 12:58:30 Uhr
Goto Top
Moin.

Wie schon erwähnt kann jemand der NICHT der Domäne angehört Dateien auf dem Server SBS 2011 ablegen (ist ja auch logisch wenn dem Benutzer Jeder Vollberechtigungen gewährt wurden bei Freigabe und Sicherheit)
So einfach ist es nicht. Wer nicht zur Domäne gehört, kommt nicht an Domänenressourcen ran, auch nicht, wenn Du jeder berechtigt hast. Jeder ist seit 2003 Server nicht "jeder in der Welt". Du müsstest zusätzlich zu jeder auch die anonyme Benutzergruppe mit in die ACL schreiben.

Kurzum: wenn ein Nicht-Domänenclient sich verbindet, kommt eine Kennwortabfrage, auch wenn "jeder" in der ACL steht. Was Du erlebst, kann nicht korrekt wiedergegeben sein, es sei denn, irgendetwas arbeitet korrupt. Und ja, das sind Erfahrungswerte und nicht nur Theorie. Bitte teste über den Reiter "effektive Berechtigungen", ob ein beliebiger Domänennutzer lokalen Schreibzugriff haben sollte.
Ausserwoeger
Ausserwoeger 15.07.2013 um 11:37:06 Uhr
Goto Top
Hi

Es gibt ja 2 berechtigungen die man setzen kann Freigabeberechtigungen und NTFS Sicherheitsberechtigungen.

Die meisten hier reden von NTFS berechtigungen wie sieht es den mit den Freigabeberechtigungen aus ???

LG Andy
Chonta
Chonta 15.07.2013 um 12:48:59 Uhr
Goto Top
Hallo,

jeder = Authentifizierte Benutzer

Von was für einem Rechner zuegriffen wird ist dabei egal, Der Benutzer muss durch seine Gruppenmitgliedschaften die Rechte haben.
Freigaberechte = Jeder = ok
Aber wie sehen die NTFS Rechte aus?
Ist der Benutzer der sich von einem nicht Domänenrechner anmeldet Admin? Bzw könen die Domänenadmins in der Freigabe Dateien hochladen?

Gruß

Chonta
tom2020
tom2020 16.07.2013 um 21:59:40 Uhr
Goto Top
Vielen Dank an alle Spezialisten die mitgeholfen haben. Die abgegebenen Antworten waren aber schon zu ca. 99% umgesetzt.
Die Lösung war am Ende ein Virenscanner auf dem Client (nicht auf dem Server !!) Der Virenscanner der Domänenmitglieder war Passwortgeschützt so dass ich mir das Passwort erst besorgen musste.

Nach dem deaktivieren des Scanners (war wohl Firewall und Virenschutz) hat plötzlich auch die Schreibberechtigung wieder
vollständig funktioniert. Da wird dann das gesamte Fachwissen, das zweifellos gerade hier vorhanden ist, von einem externen
Programm ausgehebelt face-smile

In Zukunft werde ich als erstes mit Firewall und Virenscanner beginnen, bevor ich was anderes mache oder suche.
Noch mal Danke für die zahlreichen und schnellen Antworten !
DerWoWusste
DerWoWusste 17.07.2013 um 09:22:03 Uhr
Goto Top
Interessant. Und welche Meldung hattest Du beim Schreibversuch erhalten? "Zugriff verweigert"?
tom2020
tom2020 17.07.2013 um 22:00:03 Uhr
Goto Top
Ja, genau diese Fehlermeldung hat das Ding die ganze Zeit ausgeworfen.
Auf dem Client passwortgeschützter Virenscanner deaktiviert, nach 1-2 min.
warten den Schreibzugriff probiert und VOLLTREFFER.

Was ich zusätzlich zu Beginn eines Problems in Zukunft mache (außer Grundsätzlich mit der Suche nach externen Firewalls oder Virenscanner zu beginnen) LOG-Files auswerten von den wichtigsten internen und externen Programmen, auch in diesem Fall standen die Blockierungen ca. 50, fein säuberlich aufgelistet nach Datum und Uhrzeit im LOG.

O.k. ich denke das Thema ist beendet und auf ein neues brauchen wir
wahrscheinlich nicht lange zu warten face-smile