7
Freitagsfrage: Nachhilfe in Berechtigungen Server 2022
Ach es ist schon wieder Freitag, die Gelegenheit um etwas Nachhilfe anzufragen.
Hintergrund:
Bedingt durch das Problem der Indizierung hatte ich mir testweise mal die VHDx mit den Daten aus dem Backup wiederhergestellt.
Als ich diese an mein System anhängen wollte ging dies zwar, aber beim Zugriff gab es nur die Meldung "Zugriff verweigert".
Die Platte ist nicht verschlüsselt. Ich konnte mir also die entsprechenden Rechte einräumen und den Besitz übernehmen.
Soweit nur etwas suspekt.
Nun zum Phänomen:
Melde ich mich mit einem Domänen-Admin am Serversystem an, komme ich nicht an Laufwerk D:
Zugriff verweigert und ich habe angeblich nicht das Recht die Berechtigungen einzusehen.
Betrifft also auch den produktiven Server, ist nur nicht aufgefallen, da die gespeicherten Anmeldeinfos des globalen Admins hinterlegt waren.
Entsprechend, nehme ich den lokalen oder den globalen Administrator, funktioniert das problemlos.
Für mich etwas unverständlich, denn es scheint wohl daran zu hapern, dass "Benutzer" oder "Authentifizierte Benutzer" in der Sicherheitsberechtigung fehlen, denn genau das ist der Unterschied zwischen C, D und E.
Daher meine Freitagsfrage:
Warum genügt es nicht, wenn die Domänen-Admins in den Sicherheitsberechtigungen mit Vollzugriff stehen?
Diese sind genau wie der lokale Administrator als Gruppe in den Administratoren des Servers hinterlegt...
Grüße
ToWa
Hintergrund:
Bedingt durch das Problem der Indizierung hatte ich mir testweise mal die VHDx mit den Daten aus dem Backup wiederhergestellt.
Als ich diese an mein System anhängen wollte ging dies zwar, aber beim Zugriff gab es nur die Meldung "Zugriff verweigert".
Die Platte ist nicht verschlüsselt. Ich konnte mir also die entsprechenden Rechte einräumen und den Besitz übernehmen.
Soweit nur etwas suspekt.
Nun zum Phänomen:
Melde ich mich mit einem Domänen-Admin am Serversystem an, komme ich nicht an Laufwerk D:
Betrifft also auch den produktiven Server, ist nur nicht aufgefallen, da die gespeicherten Anmeldeinfos des globalen Admins hinterlegt waren.
Entsprechend, nehme ich den lokalen oder den globalen Administrator, funktioniert das problemlos.
Für mich etwas unverständlich, denn es scheint wohl daran zu hapern, dass "Benutzer" oder "Authentifizierte Benutzer" in der Sicherheitsberechtigung fehlen, denn genau das ist der Unterschied zwischen C, D und E.
Daher meine Freitagsfrage:
Warum genügt es nicht, wenn die Domänen-Admins in den Sicherheitsberechtigungen mit Vollzugriff stehen?
Diese sind genau wie der lokale Administrator als Gruppe in den Administratoren des Servers hinterlegt...
Grüße
ToWa
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672448
Url: https://administrator.de/forum/freitagsfrage-nachhilfe-in-berechtigungen-server-2022-672448.html
Ausgedruckt am: 13.04.2025 um 00:04 Uhr
7 Kommentare
Neuester Kommentar
Moin,
wenn man best-practices folgt sollte sich der Domain-Admin weder auf dem (File-)Server anmelden dürfen noch auf die Freigaben zugreifen, vielleicht hat ja ein Kollege/Vorgänger versucht davon was umzusetzen über GPO oder lokale Richtlinien?
wenn man best-practices folgt sollte sich der Domain-Admin weder auf dem (File-)Server anmelden dürfen noch auf die Freigaben zugreifen, vielleicht hat ja ein Kollege/Vorgänger versucht davon was umzusetzen über GPO oder lokale Richtlinien?
Normales, seit fast 20 Jahren besprochenes Verhalten.
Der Domadmin eleviert sich nicht automatisch. Die UAC sorgt dafür.
->Fileserveradminsgruppe erstellen und berechtigen.
Der Domadmin eleviert sich nicht automatisch. Die UAC sorgt dafür.
->Fileserveradminsgruppe erstellen und berechtigen.
1
Zitat von @pebcak7123:
wenn man best-practices folgt sollte sich der Domain-Admin weder auf dem (File-)Server anmelden dürfen noch auf die Freigaben zugreifen
wenn man best-practices folgt sollte sich der Domain-Admin weder auf dem (File-)Server anmelden dürfen noch auf die Freigaben zugreifen
Das ist in der Umsetzung, daher fallen solche Dinge auf.
Dazu ist eben mein "Adminbenutzer" als Domänen-Admin eingetragen und der darf auf dem Fileserver nicht, der Haupt Domänenadmin (also der Administrator) darf aber schon.
Zitat von @DerWoWusste:
Der Domadmin eleviert sich nicht automatisch. Die UAC sorgt dafür.
->Fileserveradminsgruppe erstellen und berechtigen.
Der Domadmin eleviert sich nicht automatisch. Die UAC sorgt dafür.
->Fileserveradminsgruppe erstellen und berechtigen.
Seit 20 Jahren kein Problem, liegt aber wohl eher an der Umgebungsgröße.
Bedeutet aber, dass eine "Dateiserver-Admin"-Benutzergruppe aus der Domäne auf dem Dateiserver in der lokalen Gruppe "Administratoren" gar nichts bringt, sondern effektiv auf die Dateien berechtigt werden muss?
Grüße
ToWa
Bedeutet aber, dass eine "Dateiserver-Admin"-Benutzergruppe aus der Domäne auf dem Dateiserver in der lokalen Gruppe "Administratoren" gar nichts bringt, sondern effektiv auf die Dateien berechtigt werden muss?
So ist es. Oder die UAC auf dem Server deaktivieren. Oder mit einem Explorer-ähnlichen Tool als Admin arbeiten , das man elevated starten kann.1
Es gibt eine Rechtlinieneinstellung die man extra dafür benutzen kann. Nennt sich "Admin Approval Mode". Wenn man sie deaktiviert dürfen alle Admins die in der Admin Gruppe sind direkt auf die Dateien zugreifen ohne extra Berechtigung zu haben.
Benutzen wir bei uns für Fileserver.
Benutzen wir bei uns für Fileserver.
1
Ja, wie gesagt: UAC aus. Diese Einstellung ist der zentrale Effekt von UAC aus.
Ich hatte das gleiche Problem auch, UAC filtert hier die administrativen Token weg und der Explorer ist nicht UAC-aware. Effekt ist, dass man gar keine Berechtigung hat.
Ich habe es gelöst, indem ich einfach eine weitere Gruppe angelegt habe, in meinem Fall heißt die Fileserveradmins, die einfach Leserechte erhalten hat (ersetzt Authentifizierte Benutzer bzw. die lokale Benutzergruppe). In diese Gruppe kommen dann die Admins rein und können damit Sachen sehen. Für Änderungen meldet sich dann das UAC.
Ich habe es gelöst, indem ich einfach eine weitere Gruppe angelegt habe, in meinem Fall heißt die Fileserveradmins, die einfach Leserechte erhalten hat (ersetzt Authentifizierte Benutzer bzw. die lokale Benutzergruppe). In diese Gruppe kommen dann die Admins rein und können damit Sachen sehen. Für Änderungen meldet sich dann das UAC.
