16
Ich bitte dringend um Hilfe. Win 2008 R2 Server AD DC - ALLE Benutzer haben Administratoren Rechte auf Freigaben
Hallo,
ich habe hier ein riesen Problem und weis leider nicht woher es kommt.
Ich habe eine Domäne mit
2x 2003 R2 Servern
und
2x 2008 R2 Servern.
Auf einem 2008 R2 Server tritt folgendes Problem auf.
Alle Freigaben die dieser Server hat, sind für ALLE User sichtbar, mit allen rechten.
Also habe ich einen TEST_USER und eine TEST_Freigabe angelegt.
Die Freigabe und Sicherheitseinstellungen lauten nur auf "Administratoren"
Der TEST_USER ist nur Mitglied von "Domänen-Benutzer".
Und trotzdem hat der TEST_USER alle Berechtigungen in der TEST_Freigabe.
Ich hatte die Vermutung das es an einem NTFS Problem liegt. Also habe ich die Freigabe noch mal auf einer anderen Festpatte getestet. Keine Veränderungen.
Server habe ich auch schon neu gestartet. Keine Veränderungen.
Mit dem Tool Memberof habe ich ausgelsen, welcher Gruppe der TEST_USER angehört.
Es wird nur "Domänen-Benutzer" angezeigt. Sow wie es sein soll.
Liegt das Problem am AD? Kann man AD reorganisieren?
Kann es ein Trojaner Problem sein?
Ich hoffe jemand von euch kann mir helfen. Ich habe keine weiteren Lösungsansätze.
ich habe hier ein riesen Problem und weis leider nicht woher es kommt.
Ich habe eine Domäne mit
2x 2003 R2 Servern
und
2x 2008 R2 Servern.
Auf einem 2008 R2 Server tritt folgendes Problem auf.
Alle Freigaben die dieser Server hat, sind für ALLE User sichtbar, mit allen rechten.
Also habe ich einen TEST_USER und eine TEST_Freigabe angelegt.
Die Freigabe und Sicherheitseinstellungen lauten nur auf "Administratoren"
Der TEST_USER ist nur Mitglied von "Domänen-Benutzer".
Und trotzdem hat der TEST_USER alle Berechtigungen in der TEST_Freigabe.
Ich hatte die Vermutung das es an einem NTFS Problem liegt. Also habe ich die Freigabe noch mal auf einer anderen Festpatte getestet. Keine Veränderungen.
Server habe ich auch schon neu gestartet. Keine Veränderungen.
Mit dem Tool Memberof habe ich ausgelsen, welcher Gruppe der TEST_USER angehört.
Es wird nur "Domänen-Benutzer" angezeigt. Sow wie es sein soll.
Liegt das Problem am AD? Kann man AD reorganisieren?
Kann es ein Trojaner Problem sein?
Ich hoffe jemand von euch kann mir helfen. Ich habe keine weiteren Lösungsansätze.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 207279
Url: https://administrator.de/contentid/207279
Printed on: April 18, 2024 at 23:04 o'clock
16 Comments
Latest comment
Hi,
vll. hast du die "Jeder"-Berechtigungen hochgesetzt?
(kenn mich nicht wirklich aus von daher bitte um Nachsicht)
Grüße
Exze
vll. hast du die "Jeder"-Berechtigungen hochgesetzt?
(kenn mich nicht wirklich aus von daher bitte um Nachsicht)
Grüße
Exze
2
Moin,
2 Ansatzpunkte hätte ich:
1. ist evtl. die Gruppe Doomainen-Benutzer Mitglied in den Lokalen Adminstratoren des Servers?
2. Wie sehen denn die Rechte für die Freigabe(n) bzw. die NTFS Rechte des entsprechenden Ordners aus?
Am besten per Screenshot.
lg,
Slainte
2 Ansatzpunkte hätte ich:
1. ist evtl. die Gruppe Doomainen-Benutzer Mitglied in den Lokalen Adminstratoren des Servers?
2. Wie sehen denn die Rechte für die Freigabe(n) bzw. die NTFS Rechte des entsprechenden Ordners aus?
Am besten per Screenshot.
lg,
Slainte
Hi.
Was liest Dein memberof aus, lokale Mitgliedschaften auch oder nur Domänengruppenmitgliedschaften? Vielleicht ist Dir folgender Schnitzer unterlaufen: Prüfe, ob in der lokalen Admingruppe des Servers die Domänenbenutzer drin sind, oder die Gruppe jeder, oder...
Was liest Dein memberof aus, lokale Mitgliedschaften auch oder nur Domänengruppenmitgliedschaften? Vielleicht ist Dir folgender Schnitzer unterlaufen: Prüfe, ob in der lokalen Admingruppe des Servers die Domänenbenutzer drin sind, oder die Gruppe jeder, oder...
1
memebrof liest nur die Domänen Mitgliedschaften aus.
Der Server ist ein DC. Meiner Meinung nach gibt es da keine Lokalen Administratoren.
MMC -> Lokale Benutzer und Gruppen zeigt das es mit einem DC nicht geht. Einstellungen sollen unter Active Directory vorgenommen werden.
TEST_Freigabe:
Die NTFS Berechtigung und Freigabe lauten wirklich nur auf "Administratoren". Es gibt keinen weiteren Eintrag.
Der Server ist ein DC. Meiner Meinung nach gibt es da keine Lokalen Administratoren.
MMC -> Lokale Benutzer und Gruppen zeigt das es mit einem DC nicht geht. Einstellungen sollen unter Active Directory vorgenommen werden.
TEST_Freigabe:
Die NTFS Berechtigung und Freigabe lauten wirklich nur auf "Administratoren". Es gibt keinen weiteren Eintrag.
Zitat von @Speedy18A4:
Der Server ist ein DC. Meiner Meinung nach gibt es da keine Lokalen Administratoren.
Das stimmt. Allerdings hast du uns vorher nicht verraten das der Server DC ist. (Was haben da überhaupt Freigaben zu suchen?! Der Server ist ein DC. Meiner Meinung nach gibt es da keine Lokalen Administratoren.
)TEST_Freigabe:
Die NTFS Berechtigung und Freigabe lauten wirklich nur auf "Administratoren". Es gibt keinen weiteren Eintrag.
Und wer ist alles Mitglied der Gruppe "Adminstratoren"?Die NTFS Berechtigung und Freigabe lauten wirklich nur auf "Administratoren". Es gibt keinen weiteren Eintrag.
Meiner Meinung nach gibt es da keine Lokalen Administratoren.
Doch, die gibt es. Die Builtin-Gruppe heißt Administratoren.
Sorry, das hatte ich nur im Betreff stehen.
Alle 4 Server sind DCs und die haben auch alle Freigeben. Was ist daran schlecht?
Mitglieder der Administratoren-Gruppe: (Builtin-> Administratoren)
Administrator
Authentifizierte Benutzer
Domänen-Admins
Organisations-Admins
Alle 4 Server sind DCs und die haben auch alle Freigeben. Was ist daran schlecht?
Mitglieder der Administratoren-Gruppe: (Builtin-> Administratoren)
Administrator
Authentifizierte Benutzer
Domänen-Admins
Organisations-Admins
Oh weh... wer hat denn da gepfuscht? Auth. Benutzer hat da nichts zu suchen. Die Sicherheit der Domäne kannst Du vergessen, die kannst Du genau genommen neu aufsetzen, da Du nicht weißt, wie weit das von den auth. Benutzern (das ist JEDER, der sich mit Kennwort anmelden kann) schon missbraucht wurde.
1Zitat von @DerWoWusste:
[...] wer hat denn da gepfuscht? [...] Die Sicherheit der Domäne kannst Du vergessen, [...] die kannst Du genau genommen neu aufsetzen
[...] wer hat denn da gepfuscht? [...] Die Sicherheit der Domäne kannst Du vergessen, [...] die kannst Du genau genommen neu aufsetzen
Besser hätte ich es nicht ausdrücken können.
Nix für ungut, aber evtl. solltest Du dich etwas mit der Materie beschäftigen bevor du "sowas" in einer produktiven Umgebung veranstaltest.
Schönen Freitag noch,
Slainte
1
Auth. Benutzer habe ich entfernt.
Nach neu Anmelden der User funktioniert es wie gewünscht.
Vielen Dank!!!
Aber warum haben Freigaben auf DCs nichts zu suchen?
Nach neu Anmelden der User funktioniert es wie gewünscht.
Vielen Dank!!!
Aber warum haben Freigaben auf DCs nichts zu suchen?
Aber warum haben Freigaben auf DCs nichts zu suchen?
Aus Grünbden der Betriebsicherheit u.A.Ein DC sollte DC sein, und sonst nichts.
Das sehe ich anders. Eine Freigabe selbst ist ja nicht die Gefahr, sondern der Serverdienst, der u.U. angreifbar ist - dieser ist jedoch auf DCs sowieso immer an (für Freigaben wie Freigabe netlogon, sysvol...).
Hi,
auch wenn´s jetzt wieder funktioniert, sollte man den neu aufsetzen, weißt ja icht, ob sich schon jmd. nen Spaß erlaubt hat und irgendwas verstellt hat
Grüße
Exze
auch wenn´s jetzt wieder funktioniert, sollte man den neu aufsetzen, weißt ja icht, ob sich schon jmd. nen Spaß erlaubt hat und irgendwas verstellt hat
Grüße
Exze
Ist das nicht aber auch ein Problem der Verfügbarkeit?
Wenn die Maschine zu viele Ressourcen aufwenden muss für den Dienst als Dateiserver (z.B. weil alle Profile und Dateien drauf liegen) bleiben womöglich nicht genug Ressourcen um der Aufgabe als DC nachzugehen.
Wenn die Maschine zu viele Ressourcen aufwenden muss für den Dienst als Dateiserver (z.B. weil alle Profile und Dateien drauf liegen) bleiben womöglich nicht genug Ressourcen um der Aufgabe als DC nachzugehen.
Also wir haben das in unserem Unternehmen auch so das der DC gleichzeitig auch Dateiserver ist. Liegt wohl alles auch immer ein bischen am Budget was man zur Verfügung hat. Grundsätzlich kommt es natürlich drauf an das man eine gute Ordnerstruktur und vorallem ein gutes Berechtiungskonzept vorweisen kann was natürlich auch Dokumentiert sein muss!
Hallo,
das sollte das geringste Problem sein, wenn es keine 100 oder 1.000 Benutzer sind.
Grüße
das sollte das geringste Problem sein, wenn es keine 100 oder 1.000 Benutzer sind.
Grüße
