Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Frust mit Domain-User-Rechten

Mitglied: niLuxx

niLuxx (Level 1) - Jetzt verbinden

12.02.2019 um 21:19 Uhr, 849 Aufrufe, 7 Kommentare, 1 Danke

Liebe Community,

ich habe sehr wahrscheinlich ein Anfängerproblem. Wir haben bei uns in der Firma (sehr sehr klein) einen Samba-Domaincontroller (auf Ubuntu-Server) mit Kerberos laufen. Es wurden diverse Domain-User angelegt, etc. Unsere Client Laptops laufen mit Windows 10, konnten in die Domain eingebunden werden und die spezifischen Domain-User können sich erfolgreich an den Laptops anmelden.
Wir haben nun eine Software, die auf einigen der Clients installiert werden soll. Diese Software:
=> wird lokal auf den Clients installiert
=> verbindet sich zu einer MSSQL Datenbank im lokalen Netzwerk (=Windows Server 2008)
=> benötigt einen Share, der sich auf demselben Windows 2008 Server befindet

Leider bekommen wir die Software aufgrund diverser User-Rechte Probleme nicht zum laufen. Obwohl ich denke alles richtig gemacht zu haben scheint mir ein Detail "durch die Lappen" gegangen zu sein.

Die Software bekommen wir NUR mit folgendem Setting zum Starten:
=> Domain-Administrator meldet sich am Client an
=> Es wird das zentrale Share über den Explorer aufgerufen "\\<SQL-Server>\<share>" und als Zugangsdaten der *lokale Administrator des SQL-Servers angegeben*

Ein anderes Setting funktioniert nicht. Folgende Maßnahmen wurde ergriffen, die aber nicht zum gewünschten Ziel führten:

1. wir haben die Domain-User in die Domain-Admin Gruppe aufgenommen (dies ist absolut sinnfrei, ich weiß; aber zumindest hätten Sie so erst einmal Zugang zur Software).
=> Aus irgendeinem Grund werden die veränderten Group-Settings aber nicht mit den Clients synchronisiert. Ich nehme die Einstellungen über die RSAT-Tools vor, das ist mit Samba4 leider nur bedingt kompatibel, aber User-Management sollte eigentlich gehen. Nach Änderung der Gruppen sind diese Einstellung auf dem Domain-Controller selbst sichtbar (samba-tool group listmembers ...). Aber selbst bei einem Neustart der Win10-Clients werden die aktualisierten Gruppen auf dem Client nicht angezeigt (whoami /groups). Ich habe schon diverse Kommandos (gpupdate /force; klist purge) probiert, leider ohne Erfolg.
Gerne würde ich auch von dem "Domain-Admins-Zuweisen" Quatsch weg, habe nur aber kaum Erfahrung mit GPOs. Gibt es eine Möglichkeit die Rechte für eine einzelne Software zuzuweisen, auch wenn diese nicht in einem zentralen Deployment-Prozess integriert ist?

2. auf dem SQL-Server habe ich für den Share entsprechend die User-Rechte angepasst. Sowohl über den "Erweitere Freigabe => Berechtigungen" Einstellungen, als auch unter den Sicherheitseinstellungen selbst. Die Domain-User haben "Vollzugriff" auf Ordner/Unterordner und Dateien. Trotzdem muss ich mich jedes Mal beim Aufruf des Shares über den Win-Client authentifizieren (\\<SQL-Server>\Share). Kann es sein, dass Windows Server 2008 Kerberos Tickets nicht unterstützt? Wie lässt sich dieses Problem lösen? Vielleicht mit Hilfe eines "net use"- kommandos + User-Credentials während des Startup?
Außerdem besteht das Problem, dass selbst wenn wir uns mit dem Domain-Usern authentifizieren (am Share) die Software trotzdem nicht startet. Bei dem lokalen Admin allerdings schon. Warum?

Was mache ich falsch bzw. was habe ich vergessen.

Viele Grüße,
niLuxx
Mitglied: BassFishFox
12.02.2019, aktualisiert um 21:24 Uhr
Hi,

Dann lass uns teilhaben an dem Namen der "unbekannten" Software.

BFF
Bitte warten ..
Mitglied: Dani
12.02.2019 um 21:36 Uhr
Moin,
Wir haben nun eine Software, die auf einigen der Clients installiert werden soll. Diese Software:
Wie heißt die Software und wer ist der Hersteller? Ist immer einfacher...

Wir haben bei uns in der Firma (sehr sehr klein) einen Samba-Domaincontroller (auf Ubuntu-Server) mit Kerberos laufen.
Welche Ubuntu-Server und Samba Version komm zum Einsatz?

1. wir haben die Domain-User in die Domain-Admin Gruppe aufgenommen (dies ist absolut sinnfrei, ich weiß; aber zumindest hätten Sie so erst einmal Zugang zur Software).
Hallo? Es ist nicht sinnfrei, sonder ein absolutes Sicherheitsrisiko. Was machst du wenn ein Virus/Malware durch die erweiterten Rechte deine Server infiziert... sowas geht einfach nicht. Test oder her.

=> Aus irgendeinem Grund werden die veränderten Group-Settings aber nicht mit den Clients synchronisiert.
Die Einstellungen werden meines Wissens nach gar nicht synchronisiert. Du meinst sicherlich die Clients lesen die Informationen nicht identisch aus wie ....

Aber selbst bei einem Neustart der Win10-Clients werden die aktualisierten Gruppen auf dem Client nicht angezeigt (whoami /groups).
Ein Neustart ist eigentlich nicht notwendig. Die Gruppenmitgliedschaften werden bei der Anmeldung des Benutzer in den Token geschrieben.

ch habe schon diverse Kommandos (gpupdate /force; klist purge) probiert, leider ohne Erfolg.
Ersterer Befehl ist für Gruppenrichtlinien gedacht, was mit Gruppen gar nichts am Hut hat.

2. auf dem SQL-Server habe ich für den Share entsprechend die User-Rechte angepasst.
Zukünftig dafür jeweils Gruppen anlegen und die Benutzer in die jeweilige Gruppe aufnehmen. Anschließend die Gruppe im dem Ordnereigenschaften unter Sicherheit eintragen und entsprechende Berechtigungen erteilen.

Trotzdem muss ich mich jedes Mal beim Aufruf des Shares über den Win-Client authentifizieren (\\<SQL-Server>\Share).
Meldest du dich mit den Zugangsdaten des normalen Benutzers an oder geht es nur mit dem Domänen Administrator?
Ist es Möglich, dass die Rechte der Freigabe bereits sehr eingeschränkt sind (Ordnereigeschaften des freigegeben Ordner und dort den Reiter Freigabe auswählen). Hier trägt man normal Jeder mit Vollzugriff ein. Da man die Berechtigungen granular über die Sicherheit steuern kann.


Gruß,
Dani
Bitte warten ..
Mitglied: niLuxx
13.02.2019 um 06:16 Uhr
Hi Dani,

danke für deine Antworten:

Welche Ubuntu-Server und Samba Version komm zum Einsatz?
Es ist ubuntu 18.04.1 LTS, zusammen mit SMB 4.7.6

Hallo? Es ist nicht sinnfrei, sonder ein absolutes Sicherheitsrisiko. Was machst du wenn ein Virus/Malware durch die erweiterten Rechte deine > > Server infiziert... sowas geht einfach nicht. Test oder her.
Wie gesagt, die Problematik ist mir durchaus bewusst und es soll ja auch definitiv kein Dauerzustand sein.

Ein Neustart ist eigentlich nicht notwendig. Die Gruppenmitgliedschaften werden bei der Anmeldung des Benutzer in den Token geschrieben.
Problem ist, dass die besagten Clients sich mittels VPN verbinden. Diese Verbindung habe ich automatisiert erst nach vollständiger Anmeldung am Client zum Laufen gebracht. D.h. da sollten die Gruppenmitgliedschaften schon lange im Token sein.

Ersterer Befehl ist für Gruppenrichtlinien gedacht, was mit Gruppen gar nichts am Hut hat.
Was für einen Befehl könnten ich zur Erneuerung der Token verwenden? "klist purge" und "klist" ?

Zukünftig dafür jeweils Gruppen anlegen und die Benutzer in die jeweilige Gruppe aufnehmen. Anschließend die Gruppe im dem
Ordnereigenschaften unter Sicherheit eintragen und entsprechende Berechtigungen erteilen.
Das werde ich zukünftig auch so umsetzen, danke.

Ist es Möglich, dass die Rechte der Freigabe bereits sehr eingeschränkt sind (Ordnereigeschaften des freigegeben Ordner und dort den Reiter
Freigabe auswählen). Hier trägt man normal Jeder mit Vollzugriff ein. Da man die Berechtigungen granular über die Sicherheit steuern kann.
"Jeder" ist in der Freigabe ausgewählt. Zu Testzwecken habe ich sogar Vollzugriff für jeden bei "Sicherheit" eingetragen. Es macht trotzdem einen Unterschied ob ich mich als Domain-Admin oder Lokaler-Server-Admin anmelde.

Gruß,
niLuxx
Bitte warten ..
Mitglied: Dani
LÖSUNG 13.02.2019 um 07:43 Uhr
Moin,
Problem ist, dass die besagten Clients sich mittels VPN verbinden. Diese Verbindung habe ich automatisiert erst nach vollständiger Anmeldung am Client zum Laufen gebracht. D.h. da sollten die Gruppenmitgliedschaften schon lange im Token sein.
Das wird dein Problem sein... hast du die Möglichkeit ein Site-to-Site VPN-Tunnel aufzubauen? Damit sichergestellt ist, dass der DC vor bzw. bei der Anmeldung erreichbar ist.

Was für einen Befehl könnten ich zur Erneuerung der Token verwenden? "klist purge" und "klist" ?
Keinen, das ist nicht möglich. Der Token wird ausschließlich bei/während der Anmeldung generiert. Darum ist es wichtig, dass ein DC erreichbar ist.


Gruß,
Dani
Bitte warten ..
Mitglied: niLuxx
13.02.2019 um 07:47 Uhr
Hi Dani,

ok. Eine Erklärung für ein Problem ist immerhin eine Erklärung. Das bedeutet also letztlich, dass die Gruppen so lange nicht geupdated werden, solange der Laptop im Home-Office ist und nicht in der Zentrale? (bzw. bei der Anmeldung nicht in der Domäne)
Site-2-Site ist leider nicht möglich, aber der Laptop kommt in ein paar Wochen in die Zentrale, dann kann sich das synchen.

Kannst du dir bitte den Thread noch ansehen?
https://administrator.de/forum/-417033.html
Leider eine Begleiterscheinung des gestrigen Probierens
Bitte warten ..
Mitglied: SomebodyToLove
LÖSUNG 13.02.2019 um 12:36 Uhr
Hiho,

du könntest dich auch auf dem betroffenen Notebook beispielsweise als Lokaler Administrator einloggen, den VPN aufbauen, danach auf "User wechseln" und dich dann mit dem Domain User einloggen.
Da sollte, je nach Konfiguration, eine Verbindung zu deinem DC bestehen und er sollte die entsprechenden Tokens beziehen können.

Vielleicht einen Versuch wert

Viele Grüße
Somebody
Bitte warten ..
Mitglied: niLuxx
13.02.2019 um 12:49 Uhr
Es war nicht nur einen Versuch wert, das funktioniert
Danke dir!!!
Bitte warten ..
Ähnliche Inhalte
Studentenjobs & Praktikum

ITSE - Frust und Verzweiflung im Praktikum

gelöst Frage von MarcusiusStudentenjobs & Praktikum23 Kommentare

Hallo! Ich mache zur Zeit eine Umschulung zum IT-Systemelektroniker in einem BFW und stecke zur Zeit im Praktikum. Zur ...

Windows Server

Recht Administrator

gelöst Frage von rudeboyWindows Server8 Kommentare

Hi! Kann mir jemand sagen wie ich das deuten soll? NTFS-Berechtigung Vollzugriff für den Admin aber trotzdem rot ausgekreuzt? ...

Windows Server

NPS Server Domain User Authentifizierung

Frage von samet22Windows Server1 Kommentar

Hallo Leute, Eine kleine Frage an euch da ich dies zum ersten mal mache:) In meiner Firma will ich ...

Microsoft

Domain-Client: lokaler User soll ebenfalls domain gpo nutzen

Frage von thomasreischerMicrosoft1 Kommentar

Hallo zusammen, ich habe hier einige Win10 Pro Clients, die zwar in die Domäne eingebunden sind, bei denen aber ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 1 TagWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 1 TagDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 2 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 3 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Hyper-V
Wie berechne ich mir die Anzahl der vCPU für HYPER-V aus?
Frage von samet22Hyper-V20 Kommentare

Hallo, bitte nicht schimpfen, ich habe mich nur selber gerade etwas verwirrt :D Wie berechne ich mir aus wieviele ...

LAN, WAN, Wireless
WLAN Absicherung
gelöst Frage von Alex29LAN, WAN, Wireless19 Kommentare

Hallo zusammen, WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ...

Switche und Hubs
PoE in erster und zweiter Instanz
Frage von moinmoin2016Switche und Hubs18 Kommentare

Moin. Ich habe versucht zum folgenden Sachverhalt ein Beitrag zu suchen, konnte aber nichts passendes finden. Folgender Sachverhalt: Ein ...

Debian
Zweite IP - Routing?
gelöst Frage von thepandapi94Debian15 Kommentare

Hey Zusammen, ich habe gestern über Hetzner eine zweite IP bezogen. Laut Hetzner soll diese auch auf die primäre ...