10
Identische Admins - unterschiedliche Rechte
Hallo, ich hab da was kurioses. War gerade beim Kunden. Der hat zwei Admin-Konten im AD - Admin1 und Admin2 (Namen geändert). Admin1 ist deren Haupt-Admin. Admin2, bekommen z.B. Besucher/Urlaubsvertretung. Aber eigentlich sollten Admin1 und 2 identisch sein.
Admin2 wurde - lt. Kunde - als Klon des Admin1 erstellt. Trotzdem hat er unterschiedliche Rechte. Ich hab mal verglichen - alle Einstellungen im AD sind identisch. Trotzdem kann Admin2 z.B. nicht die User-Batch-Dateien über UNC-Link ändern. Im öffentlichen Desktop wurde ein UNC-Link zu den Netlogon-Dateien angelegt. Admin1 kann den nutzen, Admin2 nicht. Freigabe-Rechte des Netlogon-Ordners hab ich auch gecheckt - Administratoren haben Vollzugriff. Admin1 ist nicht separat eingetragen.
Beide sind Domänen-Admins, Administratoren, Organisations-Admins ... alles identisch.
Ich hab für den Pfad jetzt einfach den "echten" Pfad hinterlegt - jetzt gehts. Aber komisch ist es trotzdem, oder.
Waren dann noch zwei/drei andere Dinge, die mir aufgefallen sind. Hab mich dann als Admin1 anmelden lassen und damit gearbeitet, wollte da jetzt keine Zeit für verplempern. Nächste Woche bin ich wieder dort.
Würde mich echt interessieren, was das sein könnte. Falls also jemand ne Idee hat - immer her damit.
Admin2 wurde - lt. Kunde - als Klon des Admin1 erstellt. Trotzdem hat er unterschiedliche Rechte. Ich hab mal verglichen - alle Einstellungen im AD sind identisch. Trotzdem kann Admin2 z.B. nicht die User-Batch-Dateien über UNC-Link ändern. Im öffentlichen Desktop wurde ein UNC-Link zu den Netlogon-Dateien angelegt. Admin1 kann den nutzen, Admin2 nicht. Freigabe-Rechte des Netlogon-Ordners hab ich auch gecheckt - Administratoren haben Vollzugriff. Admin1 ist nicht separat eingetragen.
Beide sind Domänen-Admins, Administratoren, Organisations-Admins ... alles identisch.
Ich hab für den Pfad jetzt einfach den "echten" Pfad hinterlegt - jetzt gehts. Aber komisch ist es trotzdem, oder.
Waren dann noch zwei/drei andere Dinge, die mir aufgefallen sind. Hab mich dann als Admin1 anmelden lassen und damit gearbeitet, wollte da jetzt keine Zeit für verplempern. Nächste Woche bin ich wieder dort.
Würde mich echt interessieren, was das sein könnte. Falls also jemand ne Idee hat - immer her damit.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3875340949
Url: https://administrator.de/contentid/3875340949
Printed on: May 8, 2024 at 06:05 o'clock
10 Comments
Latest comment
Moin,
na nur weil man die Accounts klont sind die Berechtigungen ja nicht dieselben.
Wenn die Berechtigung an den Namen Admin1 geknüpft sind z.B. auf einen Ordner, kannst du mit Admin2 logischerweise nicht drauf zugreifen. Bei Freigaben genauso . Deswegen gibts ja Gruppen
Gruss
na nur weil man die Accounts klont sind die Berechtigungen ja nicht dieselben.
Wenn die Berechtigung an den Namen Admin1 geknüpft sind z.B. auf einen Ordner, kannst du mit Admin2 logischerweise nicht drauf zugreifen. Bei Freigaben genauso . Deswegen gibts ja Gruppen
Gruss
1
Die Gruppen habe ich verglichen. Alles identisch. Was mir noch eingefallen ist, ich bekomme im AD nicht alle Optionen angezeigt. Admin1 hat bei Usern z.B. den Reiter Sicherheit, den gibts bei Admin2 nicht. Überhaupt fehlen da einige Reiter.
Und die Pfade im AD sehen auch anders aus. Daher habe ich das als Admin2 auch letztendlich abgebrochen. Admin1 hat viel mehr Strukturen.
Und die Pfade im AD sehen auch anders aus. Daher habe ich das als Admin2 auch letztendlich abgebrochen. Admin1 hat viel mehr Strukturen.
Du musst die Berechtigungskette lückenlos verfolgen. Wir können ohne die komplette Berechtigungsstruktur zu kennen nur die Glaskugel bemühen.
Ich habs mir mal schicken lassen.
Links ist das Menü für Admin1, rechts für Admin2:
Oder der AD-Baum (den AD-Namen hab ich natürlich abgeschnitten)
Wie gesagt: Sind beides Domänen-Admins, beide auf dem gleichen DC angemeldet.
Als Admin2 kann ich gar nicht alle Einstellungen vornehmen. Wo fehlen die Rechte?
Links ist das Menü für Admin1, rechts für Admin2:
Oder der AD-Baum (den AD-Namen hab ich natürlich abgeschnitten)
Wie gesagt: Sind beides Domänen-Admins, beide auf dem gleichen DC angemeldet.
Als Admin2 kann ich gar nicht alle Einstellungen vornehmen. Wo fehlen die Rechte?
Zitat von @NordicMike:
Du musst die Berechtigungskette lückenlos verfolgen. Wir können ohne die komplette Berechtigungsstruktur zu kennen nur die Glaskugel bemühen.
Du musst die Berechtigungskette lückenlos verfolgen. Wir können ohne die komplette Berechtigungsstruktur zu kennen nur die Glaskugel bemühen.
Was meinst Du damit? Wir haben von Admin1 aus jeden einzelnen Punkt der beiden Konten im AD verglichen. Die sind identisch. Gleiche Rechte, gleiche Gruppenzugehörigkeiten ...
Moin,
vielleicht hat dein Vorgänger auch einst seine Hausaufgaben gemacht und den Admin 1 innerhalb des ADs berechtigt. Für deinen Admin2 fehlen nun diese Rechte:
https://www.tecchannel.de/a/sicherheitskonfiguration-im-ad,465870,3
Gruß
em-pie
vielleicht hat dein Vorgänger auch einst seine Hausaufgaben gemacht und den Admin 1 innerhalb des ADs berechtigt. Für deinen Admin2 fehlen nun diese Rechte:
https://www.tecchannel.de/a/sicherheitskonfiguration-im-ad,465870,3
Gruß
em-pie
Was meinst Du damit?
Ich meine damit, ich kann nichts erkennen, keine Berechtigungseinstellungen, keine Organizationsstruktur, keine Details, nichts...
Im Active Directory hast du die Möglichkeit unter Ansicht -> Erweiterte Features die zusätzlichen Reiter einzublenden. Das hat nichts mit Rechten zu tun.
Ist der tatsächliche Name des "Admin 1" vielleicht Administrator?
Ich hatte schon oft Probleme das die Admins Rechte für den "Administrator" vergeben aber eigentlich die Gruppe "Administratoren" benutzen sollten.
MfG
Tom
Ist der tatsächliche Name des "Admin 1" vielleicht Administrator?
Ich hatte schon oft Probleme das die Admins Rechte für den "Administrator" vergeben aber eigentlich die Gruppe "Administratoren" benutzen sollten.
MfG
Tom
1
Moin,
Ganz einfach: Admin1 hat irgendwann einmal auf "Ansicht -> Erweiterte Features" geklickt und Admin2 nicht.
hth
Erik
Ganz einfach: Admin1 hat irgendwann einmal auf "Ansicht -> Erweiterte Features" geklickt und Admin2 nicht.
hth
Erik
2
Hallo
ist eventuell aber so gewollt, der eine Admin Account ist eventuell für den entfernten Zugriff und der
andere für den Zugriff direkt vor Ort.
Dobby
ist eventuell aber so gewollt, der eine Admin Account ist eventuell für den entfernten Zugriff und der
andere für den Zugriff direkt vor Ort.
Dobby
