5
Kein adminrechte mehr auf WS2008R2
Hallo,
vor ein paar Tagen wollte ich auf dem WS2008R2 eine Software updaten (spiceworks). Dabei hieß es, nur ein Benutzer mit adminrechten kann das. Mit dem gleichen user (servadmin) arbeite ich seit Jahren auf dem server und hatte diese Meldung noch nie. Hier die Ausgabe eines Ordners /tools/ auf einem Laufwerk:
Der Benutzer ist auch Mitglied der BuiltIn-Administratoren. Von einem client aus kann ich mich ohne Probleme über remote auf dem Server einloggen.
Vielen Dank für eure Hilfe, wonach ich suchen kann.
vor ein paar Tagen wollte ich auf dem WS2008R2 eine Software updaten (spiceworks). Dabei hieß es, nur ein Benutzer mit adminrechten kann das. Mit dem gleichen user (servadmin) arbeite ich seit Jahren auf dem server und hatte diese Meldung noch nie. Hier die Ausgabe eines Ordners /tools/ auf einem Laufwerk:
icacls tools/
tools/ NT-AUTORITÄT\Authentifizierte Benutzer:(I)(OI)(CI)(RX)
HS\servadmin:(I)(OI)(CI)(F)
HS\Domänen-Admins:(I)(OI)(CI)(F)Vielen Dank für eure Hilfe, wonach ich suchen kann.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 352804
Url: https://administrator.de/contentid/352804
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo.
Was ist das für ein Admin-Account? Lokal, nur auf dem Server? Oder ein Mitglied der Gruppe der Domänen-Administratoren?
Ist der Server "zufällig" auch ein DC? Da gibt's keine lokalen Admins.
Kannst Du Dich bloß interaktiv (Konsole) nicht mehr einloggen, oder liegt das Problem darin, daß das Spiceworks-Update gemault hat, daß Dir Adminrechte fehlen?
Unabhängig von der jüngsten Softwareinstallation (bzw. dem Versuch): Wurde zwischenzeitlich irgendetwas (anderes) geändert (ich weiß, die Standardantwort auf diese Frage ist nahezu immer: Nein, wir haben nichts gemacht. Zumeist ist es aber dann doch so, daß etwas gemacht wurde, dem aber im Zusammenhang keine Bedeutung geschenkt wird oder der Zusammenhang nicht erkannt wird)?
Wenn das immer funktioniert hat, muß nun irgendwas anders sein als vorher.
Viele Grüße
von
departure69
Was ist das für ein Admin-Account? Lokal, nur auf dem Server? Oder ein Mitglied der Gruppe der Domänen-Administratoren?
Ist der Server "zufällig" auch ein DC? Da gibt's keine lokalen Admins.
Kannst Du Dich bloß interaktiv (Konsole) nicht mehr einloggen, oder liegt das Problem darin, daß das Spiceworks-Update gemault hat, daß Dir Adminrechte fehlen?
Unabhängig von der jüngsten Softwareinstallation (bzw. dem Versuch): Wurde zwischenzeitlich irgendetwas (anderes) geändert (ich weiß, die Standardantwort auf diese Frage ist nahezu immer: Nein, wir haben nichts gemacht. Zumeist ist es aber dann doch so, daß etwas gemacht wurde, dem aber im Zusammenhang keine Bedeutung geschenkt wird oder der Zusammenhang nicht erkannt wird)?
Wenn das immer funktioniert hat, muß nun irgendwas anders sein als vorher.
Viele Grüße
von
departure69
Danke für deine Ansätze, ich versuche mal die Fragen zu beantworten.
- der Server ist kein DC; aktiver DC ist noch ein alter, virtueller WS2003 (ich weiß, ich weiß....)
- ich kann mich auf dem Server komplett ohne Probleme anmelden, nur die Software mault mir würden die Adminrechte fehlen.
- der account servadmin ist Mitglied der Gruppe Domänen-Admins
Ich bin mir auch sicher, dass es eine Veränderung gab, die Frage ist nur, welche. Spiceworks machte bei der Inventurisierung Probleme, so dass ich in F-Secure eine neue Firewall-Richtlinie angelegt habe (UDP für Spiceworks erlaubt). GPO: ICMP-Ausnahmen zulassen ("Eingehende Echoanforderung zulassen"). Mehr fällt mir im Moment nicht ein.
Eben noch aufgefallen: ich kann in das home-Laufwerk des servadmins keine Dateien mehr kopieren ("rechte_1") und ich kann Software über "Programme und Funktionen" nicht mehr deinstallieren (NSIS Error).
- der Server ist kein DC; aktiver DC ist noch ein alter, virtueller WS2003 (ich weiß, ich weiß....)
- ich kann mich auf dem Server komplett ohne Probleme anmelden, nur die Software mault mir würden die Adminrechte fehlen.
- der account servadmin ist Mitglied der Gruppe Domänen-Admins
Ich bin mir auch sicher, dass es eine Veränderung gab, die Frage ist nur, welche. Spiceworks machte bei der Inventurisierung Probleme, so dass ich in F-Secure eine neue Firewall-Richtlinie angelegt habe (UDP für Spiceworks erlaubt). GPO: ICMP-Ausnahmen zulassen ("Eingehende Echoanforderung zulassen"). Mehr fällt mir im Moment nicht ein.
Eben noch aufgefallen: ich kann in das home-Laufwerk des servadmins keine Dateien mehr kopieren ("rechte_1") und ich kann Software über "Programme und Funktionen" nicht mehr deinstallieren (NSIS Error).
Versuch's mal testweise mit einem anderen Domänen-Admin-Account, der in den gleichen Gruppen ist. Falls es keinen gibt, leg' ihn halt an. Wenn mit dem alles geht (schreibender Verzeichniszugriff, Softwareupdateinstallation Spiceworks), wäre schon mal festgestellt, ob's an dem Server oder dem fraglichen Account liegt (in dem Fall dann also an dem Account).
Deine Aktionen in F-Secure und in einer GPO haben ja eigentlich Dinge weiter geöffnet anstatt mehr geschlossen, daran scheint's erstmal auch nicht zu liegen.
Viele Grüße
von
departure69
Deine Aktionen in F-Secure und in einer GPO haben ja eigentlich Dinge weiter geöffnet anstatt mehr geschlossen, daran scheint's erstmal auch nicht zu liegen.
Viele Grüße
von
departure69
Habe ich eben gemacht, identisches Verhalten.
O.K., funktionieren die vorhandenen Dom.-Admin-Accounts noch auf anderen Servern (nicht RDP, sondern interaktiv/Konsole)?
Falls ja, ist an dem Server, um den es geht, etwas versaubeutelt.
Wenn Du zeitlich möglichst genau eingrenzen kannst, ab wann das festgestellte Verhalten eintrat, dann hilft am Einfachsten: Backup von da, wo alles noch funktionierte, einspielen!
Viele Grüße
von
departue69
Falls ja, ist an dem Server, um den es geht, etwas versaubeutelt.
Wenn Du zeitlich möglichst genau eingrenzen kannst, ab wann das festgestellte Verhalten eintrat, dann hilft am Einfachsten: Backup von da, wo alles noch funktionierte, einspielen!
Viele Grüße
von
departue69
