136423
Goto Top

Frust mit Domain-User-Rechten

Liebe Community,

ich habe sehr wahrscheinlich ein Anfängerproblem. Wir haben bei uns in der Firma (sehr sehr klein) einen Samba-Domaincontroller (auf Ubuntu-Server) mit Kerberos laufen. Es wurden diverse Domain-User angelegt, etc. Unsere Client Laptops laufen mit Windows 10, konnten in die Domain eingebunden werden und die spezifischen Domain-User können sich erfolgreich an den Laptops anmelden.
Wir haben nun eine Software, die auf einigen der Clients installiert werden soll. Diese Software:
=> wird lokal auf den Clients installiert
=> verbindet sich zu einer MSSQL Datenbank im lokalen Netzwerk (=Windows Server 2008)
=> benötigt einen Share, der sich auf demselben Windows 2008 Server befindet

Leider bekommen wir die Software aufgrund diverser User-Rechte Probleme nicht zum laufen. Obwohl ich denke alles richtig gemacht zu haben scheint mir ein Detail "durch die Lappen" gegangen zu sein.

Die Software bekommen wir NUR mit folgendem Setting zum Starten:
=> Domain-Administrator meldet sich am Client an
=> Es wird das zentrale Share über den Explorer aufgerufen "\\<SQL-Server>\<share>" und als Zugangsdaten der *lokale Administrator des SQL-Servers angegeben*

Ein anderes Setting funktioniert nicht. Folgende Maßnahmen wurde ergriffen, die aber nicht zum gewünschten Ziel führten:

1. wir haben die Domain-User in die Domain-Admin Gruppe aufgenommen (dies ist absolut sinnfrei, ich weiß; aber zumindest hätten Sie so erst einmal Zugang zur Software).
=> Aus irgendeinem Grund werden die veränderten Group-Settings aber nicht mit den Clients synchronisiert. Ich nehme die Einstellungen über die RSAT-Tools vor, das ist mit Samba4 leider nur bedingt kompatibel, aber User-Management sollte eigentlich gehen. Nach Änderung der Gruppen sind diese Einstellung auf dem Domain-Controller selbst sichtbar (samba-tool group listmembers ...). Aber selbst bei einem Neustart der Win10-Clients werden die aktualisierten Gruppen auf dem Client nicht angezeigt (whoami /groups). Ich habe schon diverse Kommandos (gpupdate /force; klist purge) probiert, leider ohne Erfolg.
Gerne würde ich auch von dem "Domain-Admins-Zuweisen" Quatsch weg, habe nur aber kaum Erfahrung mit GPOs. Gibt es eine Möglichkeit die Rechte für eine einzelne Software zuzuweisen, auch wenn diese nicht in einem zentralen Deployment-Prozess integriert ist?

2. auf dem SQL-Server habe ich für den Share entsprechend die User-Rechte angepasst. Sowohl über den "Erweitere Freigabe => Berechtigungen" Einstellungen, als auch unter den Sicherheitseinstellungen selbst. Die Domain-User haben "Vollzugriff" auf Ordner/Unterordner und Dateien. Trotzdem muss ich mich jedes Mal beim Aufruf des Shares über den Win-Client authentifizieren (\\<SQL-Server>\Share). Kann es sein, dass Windows Server 2008 Kerberos Tickets nicht unterstützt? Wie lässt sich dieses Problem lösen? Vielleicht mit Hilfe eines "net use"- kommandos + User-Credentials während des Startup?
Außerdem besteht das Problem, dass selbst wenn wir uns mit dem Domain-Usern authentifizieren (am Share) die Software trotzdem nicht startet. Bei dem lokalen Admin allerdings schon. Warum?

Was mache ich falsch bzw. was habe ich vergessen.

Viele Grüße,
niLuxx

Content-Key: 416643

Url: https://administrator.de/contentid/416643

Printed on: March 1, 2024 at 01:03 o'clock

Member: BassFishFox
BassFishFox Feb 12, 2019 updated at 20:24:19 (UTC)
Goto Top
Hi,

Dann lass uns teilhaben an dem Namen der "unbekannten" Software. face-wink

BFF
Member: Dani
Dani Feb 12, 2019 at 20:36:03 (UTC)
Goto Top
Moin,
Wir haben nun eine Software, die auf einigen der Clients installiert werden soll. Diese Software:
Wie heißt die Software und wer ist der Hersteller? Ist immer einfacher...

Wir haben bei uns in der Firma (sehr sehr klein) einen Samba-Domaincontroller (auf Ubuntu-Server) mit Kerberos laufen.
Welche Ubuntu-Server und Samba Version komm zum Einsatz?

1. wir haben die Domain-User in die Domain-Admin Gruppe aufgenommen (dies ist absolut sinnfrei, ich weiß; aber zumindest hätten Sie so erst einmal Zugang zur Software).
Hallo? Es ist nicht sinnfrei, sonder ein absolutes Sicherheitsrisiko. Was machst du wenn ein Virus/Malware durch die erweiterten Rechte deine Server infiziert... sowas geht einfach nicht. Test oder her.

=> Aus irgendeinem Grund werden die veränderten Group-Settings aber nicht mit den Clients synchronisiert.
Die Einstellungen werden meines Wissens nach gar nicht synchronisiert. Du meinst sicherlich die Clients lesen die Informationen nicht identisch aus wie ....

Aber selbst bei einem Neustart der Win10-Clients werden die aktualisierten Gruppen auf dem Client nicht angezeigt (whoami /groups).
Ein Neustart ist eigentlich nicht notwendig. Die Gruppenmitgliedschaften werden bei der Anmeldung des Benutzer in den Token geschrieben.

ch habe schon diverse Kommandos (gpupdate /force; klist purge) probiert, leider ohne Erfolg.
Ersterer Befehl ist für Gruppenrichtlinien gedacht, was mit Gruppen gar nichts am Hut hat.

2. auf dem SQL-Server habe ich für den Share entsprechend die User-Rechte angepasst.
Zukünftig dafür jeweils Gruppen anlegen und die Benutzer in die jeweilige Gruppe aufnehmen. Anschließend die Gruppe im dem Ordnereigenschaften unter Sicherheit eintragen und entsprechende Berechtigungen erteilen.

Trotzdem muss ich mich jedes Mal beim Aufruf des Shares über den Win-Client authentifizieren (\\<SQL-Server>\Share).
Meldest du dich mit den Zugangsdaten des normalen Benutzers an oder geht es nur mit dem Domänen Administrator?
Ist es Möglich, dass die Rechte der Freigabe bereits sehr eingeschränkt sind (Ordnereigeschaften des freigegeben Ordner und dort den Reiter Freigabe auswählen). Hier trägt man normal Jeder mit Vollzugriff ein. Da man die Berechtigungen granular über die Sicherheit steuern kann.


Gruß,
Dani
Mitglied: 136423
136423 Feb 13, 2019 at 05:16:00 (UTC)
Goto Top
Hi Dani,

danke für deine Antworten:

Welche Ubuntu-Server und Samba Version komm zum Einsatz?
Es ist ubuntu 18.04.1 LTS, zusammen mit SMB 4.7.6

Hallo? Es ist nicht sinnfrei, sonder ein absolutes Sicherheitsrisiko. Was machst du wenn ein Virus/Malware durch die erweiterten Rechte deine > > Server infiziert... sowas geht einfach nicht. Test oder her.
Wie gesagt, die Problematik ist mir durchaus bewusst und es soll ja auch definitiv kein Dauerzustand sein.

Ein Neustart ist eigentlich nicht notwendig. Die Gruppenmitgliedschaften werden bei der Anmeldung des Benutzer in den Token geschrieben.
Problem ist, dass die besagten Clients sich mittels VPN verbinden. Diese Verbindung habe ich automatisiert erst nach vollständiger Anmeldung am Client zum Laufen gebracht. D.h. da sollten die Gruppenmitgliedschaften schon lange im Token sein.

Ersterer Befehl ist für Gruppenrichtlinien gedacht, was mit Gruppen gar nichts am Hut hat.
Was für einen Befehl könnten ich zur Erneuerung der Token verwenden? "klist purge" und "klist" ?

Zukünftig dafür jeweils Gruppen anlegen und die Benutzer in die jeweilige Gruppe aufnehmen. Anschließend die Gruppe im dem
Ordnereigenschaften unter Sicherheit eintragen und entsprechende Berechtigungen erteilen.
Das werde ich zukünftig auch so umsetzen, danke.

Ist es Möglich, dass die Rechte der Freigabe bereits sehr eingeschränkt sind (Ordnereigeschaften des freigegeben Ordner und dort den Reiter
Freigabe auswählen). Hier trägt man normal Jeder mit Vollzugriff ein. Da man die Berechtigungen granular über die Sicherheit steuern kann.
"Jeder" ist in der Freigabe ausgewählt. Zu Testzwecken habe ich sogar Vollzugriff für jeden bei "Sicherheit" eingetragen. Es macht trotzdem einen Unterschied ob ich mich als Domain-Admin oder Lokaler-Server-Admin anmelde.

Gruß,
niLuxx
Member: Dani
Solution Dani Feb 13, 2019 at 06:43:40 (UTC)
Goto Top
Moin,
Problem ist, dass die besagten Clients sich mittels VPN verbinden. Diese Verbindung habe ich automatisiert erst nach vollständiger Anmeldung am Client zum Laufen gebracht. D.h. da sollten die Gruppenmitgliedschaften schon lange im Token sein.
Das wird dein Problem sein... hast du die Möglichkeit ein Site-to-Site VPN-Tunnel aufzubauen? Damit sichergestellt ist, dass der DC vor bzw. bei der Anmeldung erreichbar ist.

Was für einen Befehl könnten ich zur Erneuerung der Token verwenden? "klist purge" und "klist" ?
Keinen, das ist nicht möglich. Der Token wird ausschließlich bei/während der Anmeldung generiert. Darum ist es wichtig, dass ein DC erreichbar ist.


Gruß,
Dani
Mitglied: 136423
136423 Feb 13, 2019 at 06:47:36 (UTC)
Goto Top
Hi Dani,

ok. Eine Erklärung für ein Problem ist immerhin eine Erklärung. Das bedeutet also letztlich, dass die Gruppen so lange nicht geupdated werden, solange der Laptop im Home-Office ist und nicht in der Zentrale? (bzw. bei der Anmeldung nicht in der Domäne)
Site-2-Site ist leider nicht möglich, aber der Laptop kommt in ein paar Wochen in die Zentrale, dann kann sich das synchen.

Kannst du dir bitte den Thread noch ansehen?
User-Mapping Problem Samba4 und Winbind
Leider eine Begleiterscheinung des gestrigen Probierens face-sad
Member: SomebodyToLove
Solution SomebodyToLove Feb 13, 2019 at 11:36:18 (UTC)
Goto Top
Hiho,

du könntest dich auch auf dem betroffenen Notebook beispielsweise als Lokaler Administrator einloggen, den VPN aufbauen, danach auf "User wechseln" und dich dann mit dem Domain User einloggen.
Da sollte, je nach Konfiguration, eine Verbindung zu deinem DC bestehen und er sollte die entsprechenden Tokens beziehen können.

Vielleicht einen Versuch wert face-smile

Viele Grüße
Somebody
Mitglied: 136423
136423 Feb 13, 2019 at 11:49:45 (UTC)
Goto Top
Es war nicht nur einen Versuch wert, das funktioniert face-smile
Danke dir!!!