tobivan
Goto Top

Kein adminrechte mehr auf WS2008R2

Hallo,
vor ein paar Tagen wollte ich auf dem WS2008R2 eine Software updaten (spiceworks). Dabei hieß es, nur ein Benutzer mit adminrechten kann das. Mit dem gleichen user (servadmin) arbeite ich seit Jahren auf dem server und hatte diese Meldung noch nie. Hier die Ausgabe eines Ordners /tools/ auf einem Laufwerk:
icacls tools/
tools/ NT-AUTORITÄT\Authentifizierte Benutzer:(I)(OI)(CI)(RX)
       HS\servadmin:(I)(OI)(CI)(F)
       HS\Domänen-Admins:(I)(OI)(CI)(F)
Der Benutzer ist auch Mitglied der BuiltIn-Administratoren. Von einem client aus kann ich mich ohne Probleme über remote auf dem Server einloggen.
Vielen Dank für eure Hilfe, wonach ich suchen kann.

Content-ID: 352804

Url: https://administrator.de/forum/kein-adminrechte-mehr-auf-ws2008r2-352804.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

departure69
departure69 25.10.2017 aktualisiert um 10:32:18 Uhr
Goto Top
Hallo.

Was ist das für ein Admin-Account? Lokal, nur auf dem Server? Oder ein Mitglied der Gruppe der Domänen-Administratoren?

Ist der Server "zufällig" auch ein DC? Da gibt's keine lokalen Admins.

Kannst Du Dich bloß interaktiv (Konsole) nicht mehr einloggen, oder liegt das Problem darin, daß das Spiceworks-Update gemault hat, daß Dir Adminrechte fehlen?

Unabhängig von der jüngsten Softwareinstallation (bzw. dem Versuch): Wurde zwischenzeitlich irgendetwas (anderes) geändert (ich weiß, die Standardantwort auf diese Frage ist nahezu immer: Nein, wir haben nichts gemacht. Zumeist ist es aber dann doch so, daß etwas gemacht wurde, dem aber im Zusammenhang keine Bedeutung geschenkt wird oder der Zusammenhang nicht erkannt wird)?

Wenn das immer funktioniert hat, muß nun irgendwas anders sein als vorher.


Viele Grüße

von

departure69
tobivan
tobivan 25.10.2017 um 12:00:08 Uhr
Goto Top
Danke für deine Ansätze, ich versuche mal die Fragen zu beantworten.
- der Server ist kein DC; aktiver DC ist noch ein alter, virtueller WS2003 (ich weiß, ich weiß....)
- ich kann mich auf dem Server komplett ohne Probleme anmelden, nur die Software mault mir würden die Adminrechte fehlen.
- der account servadmin ist Mitglied der Gruppe Domänen-Admins

Ich bin mir auch sicher, dass es eine Veränderung gab, die Frage ist nur, welche. Spiceworks machte bei der Inventurisierung Probleme, so dass ich in F-Secure eine neue Firewall-Richtlinie angelegt habe (UDP für Spiceworks erlaubt). GPO: ICMP-Ausnahmen zulassen ("Eingehende Echoanforderung zulassen"). Mehr fällt mir im Moment nicht ein.

Eben noch aufgefallen: ich kann in das home-Laufwerk des servadmins keine Dateien mehr kopieren ("rechte_1") und ich kann Software über "Programme und Funktionen" nicht mehr deinstallieren (NSIS Error).
rechte_2
rechte_1
departure69
departure69 25.10.2017 um 12:08:24 Uhr
Goto Top
Versuch's mal testweise mit einem anderen Domänen-Admin-Account, der in den gleichen Gruppen ist. Falls es keinen gibt, leg' ihn halt an. Wenn mit dem alles geht (schreibender Verzeichniszugriff, Softwareupdateinstallation Spiceworks), wäre schon mal festgestellt, ob's an dem Server oder dem fraglichen Account liegt (in dem Fall dann also an dem Account).

Deine Aktionen in F-Secure und in einer GPO haben ja eigentlich Dinge weiter geöffnet anstatt mehr geschlossen, daran scheint's erstmal auch nicht zu liegen.


Viele Grüße

von

departure69
tobivan
tobivan 25.10.2017 um 12:16:27 Uhr
Goto Top
Habe ich eben gemacht, identisches Verhalten.
departure69
departure69 25.10.2017 um 13:33:58 Uhr
Goto Top
O.K., funktionieren die vorhandenen Dom.-Admin-Accounts noch auf anderen Servern (nicht RDP, sondern interaktiv/Konsole)?

Falls ja, ist an dem Server, um den es geht, etwas versaubeutelt.

Wenn Du zeitlich möglichst genau eingrenzen kannst, ab wann das festgestellte Verhalten eintrat, dann hilft am Einfachsten: Backup von da, wo alles noch funktionierte, einspielen!


Viele Grüße

von

departue69