mpanzi
Goto Top

Identische Admins - unterschiedliche Rechte

Hallo, ich hab da was kurioses. War gerade beim Kunden. Der hat zwei Admin-Konten im AD - Admin1 und Admin2 (Namen geändert). Admin1 ist deren Haupt-Admin. Admin2, bekommen z.B. Besucher/Urlaubsvertretung. Aber eigentlich sollten Admin1 und 2 identisch sein.

Admin2 wurde - lt. Kunde - als Klon des Admin1 erstellt. Trotzdem hat er unterschiedliche Rechte. Ich hab mal verglichen - alle Einstellungen im AD sind identisch. Trotzdem kann Admin2 z.B. nicht die User-Batch-Dateien über UNC-Link ändern. Im öffentlichen Desktop wurde ein UNC-Link zu den Netlogon-Dateien angelegt. Admin1 kann den nutzen, Admin2 nicht. Freigabe-Rechte des Netlogon-Ordners hab ich auch gecheckt - Administratoren haben Vollzugriff. Admin1 ist nicht separat eingetragen.

Beide sind Domänen-Admins, Administratoren, Organisations-Admins ... alles identisch.

Ich hab für den Pfad jetzt einfach den "echten" Pfad hinterlegt - jetzt gehts. Aber komisch ist es trotzdem, oder.

Waren dann noch zwei/drei andere Dinge, die mir aufgefallen sind. Hab mich dann als Admin1 anmelden lassen und damit gearbeitet, wollte da jetzt keine Zeit für verplempern. Nächste Woche bin ich wieder dort.

Würde mich echt interessieren, was das sein könnte. Falls also jemand ne Idee hat - immer her damit.

Content-ID: 3875340949

Url: https://administrator.de/forum/identische-admins-unterschiedliche-rechte-3875340949.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

itisnapanto
itisnapanto 08.09.2022 um 11:50:51 Uhr
Goto Top
Moin,

na nur weil man die Accounts klont sind die Berechtigungen ja nicht dieselben.
Wenn die Berechtigung an den Namen Admin1 geknüpft sind z.B. auf einen Ordner, kannst du mit Admin2 logischerweise nicht drauf zugreifen. Bei Freigaben genauso . Deswegen gibts ja Gruppen face-smile

Gruss
mpanzi
mpanzi 08.09.2022 aktualisiert um 12:21:13 Uhr
Goto Top
Die Gruppen habe ich verglichen. Alles identisch. Was mir noch eingefallen ist, ich bekomme im AD nicht alle Optionen angezeigt. Admin1 hat bei Usern z.B. den Reiter Sicherheit, den gibts bei Admin2 nicht. Überhaupt fehlen da einige Reiter.

Und die Pfade im AD sehen auch anders aus. Daher habe ich das als Admin2 auch letztendlich abgebrochen. Admin1 hat viel mehr Strukturen.
NordicMike
NordicMike 08.09.2022 um 12:24:40 Uhr
Goto Top
Du musst die Berechtigungskette lückenlos verfolgen. Wir können ohne die komplette Berechtigungsstruktur zu kennen nur die Glaskugel bemühen.
mpanzi
mpanzi 08.09.2022 um 12:30:02 Uhr
Goto Top
Ich habs mir mal schicken lassen.

Links ist das Menü für Admin1, rechts für Admin2:

ad-vergleich

Oder der AD-Baum (den AD-Namen hab ich natürlich abgeschnitten)

ad-vergleich2

Wie gesagt: Sind beides Domänen-Admins, beide auf dem gleichen DC angemeldet.

Als Admin2 kann ich gar nicht alle Einstellungen vornehmen. Wo fehlen die Rechte?
mpanzi
mpanzi 08.09.2022 um 12:41:59 Uhr
Goto Top
Zitat von @NordicMike:

Du musst die Berechtigungskette lückenlos verfolgen. Wir können ohne die komplette Berechtigungsstruktur zu kennen nur die Glaskugel bemühen.

Was meinst Du damit? Wir haben von Admin1 aus jeden einzelnen Punkt der beiden Konten im AD verglichen. Die sind identisch. Gleiche Rechte, gleiche Gruppenzugehörigkeiten ...
em-pie
em-pie 08.09.2022 um 12:46:05 Uhr
Goto Top
Moin,

vielleicht hat dein Vorgänger auch einst seine Hausaufgaben gemacht und den Admin 1 innerhalb des ADs berechtigt. Für deinen Admin2 fehlen nun diese Rechte:

https://www.tecchannel.de/a/sicherheitskonfiguration-im-ad,465870,3


Gruß
em-pie
NordicMike
NordicMike 08.09.2022 um 13:02:36 Uhr
Goto Top
Was meinst Du damit?
Ich meine damit, ich kann nichts erkennen, keine Berechtigungseinstellungen, keine Organizationsstruktur, keine Details, nichts...
tomtom77
tomtom77 08.09.2022 um 14:13:57 Uhr
Goto Top
Im Active Directory hast du die Möglichkeit unter Ansicht -> Erweiterte Features die zusätzlichen Reiter einzublenden. Das hat nichts mit Rechten zu tun.

Ist der tatsächliche Name des "Admin 1" vielleicht Administrator?

Ich hatte schon oft Probleme das die Admins Rechte für den "Administrator" vergeben aber eigentlich die Gruppe "Administratoren" benutzen sollten.

MfG
Tom
erikro
erikro 08.09.2022 um 15:04:04 Uhr
Goto Top
Moin,


Zitat von @mpanzi:
Links ist das Menü für Admin1, rechts für Admin2:


Ganz einfach: Admin1 hat irgendwann einmal auf "Ansicht -> Erweiterte Features" geklickt und Admin2 nicht.

hth

Erik
108012
108012 09.09.2022 um 09:57:12 Uhr
Goto Top
Hallo

ist eventuell aber so gewollt, der eine Admin Account ist eventuell für den entfernten Zugriff und der
andere für den Zugriff direkt vor Ort.

Dobby