lenny4me
Goto Top

Freigabe vs Lokaler Zugriff - Server 2012

Hallo,

ich habe folgendes Phänomen.
Server 2012 Client Windows 8. Ein User "User1" ist in der Gruppe der Domain Admins.
Auf dem Server gibt es einen Share "Share1" in diesem befinden sich Unterordner "Unterordner1,2,usw."
Share1 ist für DomAdmins als Vollzugriff freigegeben. Die ACLs von Unterordner1 sind folgende

Administrator@domain.com full
Server\administrator full
System full
Gpr1 read

Wenn ich nun den Share von einem Win8 Client öffne kann ich auf Unterordner1 zugreifen und dort Dateien anlegen.
Soweit ja klar da User1 Domainadmin ist und die DomAdmins in der Gruppe der lokalen Administratoren auf dem Server sind. -> Daraus resultiert Vollzugriff auf den Ordner.
Wenn ich mit User1 aber via RDP eine Verbindung zu Server1 herstelle und das Laufwerk browse hat User1 plötzlich
keine Rechte Unterordner1 überhaupt zu öffnen.

Vorschläge?

Grüße lenny

Content-ID: 217448

Url: https://administrator.de/forum/freigabe-vs-lokaler-zugriff-server-2012-217448.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

LordXearo
LordXearo 20.09.2013 um 09:29:09 Uhr
Goto Top
Hi,

ein bug wird es jedenfalls nicht sein.

Meldest du dich über RDP möglicherweise Lokal an dem Server an, und nicht über das Domänenkonto?

Gruß

Xearo
lenny4me
lenny4me 20.09.2013 um 09:44:58 Uhr
Goto Top
Hallo,

nein Domainkonto. Lokale Anmeldung habe ich via GPO verboten (auser dem Admin)

ein bug wird es jedenfalls nicht sein.
mit Sicherheit nicht...


Grüße
LordXearo
LordXearo 20.09.2013 um 09:58:10 Uhr
Goto Top
Jedenfalls, wenn du Dich über RDP am Server anmeldest, sind die Freigabeberechtigungen uninteressant. Dann brauchst du nur noch die NTFS Berechtigungen betrachten.
lenny4me
lenny4me 20.09.2013 um 10:09:13 Uhr
Goto Top
Hallo,

sind die Freigabeberechtigungen uninteressant

das ist mir bewusst...
Lochkartenstanzer
Lochkartenstanzer 20.09.2013 aktualisiert um 10:32:28 Uhr
Goto Top
Moin,

sind da irgendwelche vererbten Berechtigungen aus den übergeordneten Ordnern, die da vielleicht querschießen?

lks
LordXearo
LordXearo 20.09.2013 um 10:44:56 Uhr
Goto Top
Wenn Dir auch bewusst ist, dass verbieten eine höhere Priorität als erlauben hat, dann steht deinem Vorhaben wohl nichts im Wege.

Noch ein Tip, den du mit Sicherheit auch bereits kennst, du kannst die Berechtigungen direkt unter dem Reiter "Effektiver Zugriff" testen ohne dich anmelden zu müssen.
lenny4me
lenny4me 20.09.2013 um 11:13:57 Uhr
Goto Top
Hallo,

es lag an der UAC des Servers. der Explorer wird als Userprozess gestartet. Da in dieser Prozess nun aber nicht das Admintoken enthällt ist ein Zugriff nicht möglich.

http://www.faq-o-matic.net/2010/11/08/uac-den-explorer-mit-admin-rechte ...

Grüße und Danke für die Mühen