Keine Berechtigung zum Erstellen neuer Ordner auf einer Server 2008 Freigabe

Mitglied: Enriqe

Enriqe (Level 1) - Jetzt verbinden

09.03.2016 um 16:05 Uhr, 3655 Aufrufe, 9 Kommentare

Hallo Admins,
mal wieder ist es soweit und ich sehe bei einem Problem den Wald nicht mehr vor lauter Bäumen.
Ich hoffe, von euch hat Jemand gleich den richtigen Tipp parat.
Also: Wir haben ein Windows 2008 Server (Mitgliedsserver in der Domäne) auf welchem unsere Daten in einem freigegebenen Verzeichnis liegen.
Nun soll direkt auf Ebene der Freigabe ein neuer Ordner angelegt werden.
Ich bin direkt an diesem Server als Administrator angemeldet und bekomme aber beim Versuch einen Ordner unterhalb der Freigabe anzulegen die Meldung, dass ich dafür Berechtigungen benötige.
"Sie benötigen Berechtigungen zur Durführung des Vorgangs" (Im Kontextmenü unter neu - Ordner ist vor dem Wort "Ordner" auch so ein Schild- Symbol. Normalerweise ist da ein Ordnersymbol)
Also hab ich mal in die Berechtigungen geschaut.
Die sind auch auf den ersten Blick unauffällig. Berechtigungen der Freigabe: Administrator (Domain und lokal) Vollzugriff.
Sicherheit: Domäne\Administrator: Vollzugriff
Servername\Administrator: Vollzugriff
Wenn ich auf Erweitert gehe, dann sehe ich auch hier, dass die Administratoren überall Vollzugriff haben. auch bei "Ordner erstellen".
Wenn ich mir aber die effektiven Berechtigungen anzeigen lasse und einen der Administratoren aussuche, dann sehe ich, dass einige Haken fehlen. Unter anderem bei: "Ordner erstellen".
Jetzt frage ich mich halt, wo kann ich die Berechtigungen für diesen Ordner noch beeinflussen, um hier wirklich wieder Vollzugriff zu erhalten.
Administrator ist sowohl lokal als auch global in der Gruppe der Administratoren.
Wo ich die universelle Gruppenmitgliedschaft oder auch die lokalen Privilegien einsehen oder beeinflussen kann, weiß ich nicht.
Hat Jemand eine Idee?
Biiiiiiitteeeeee

Würde mich freuen, wenn sich Jemand meldet.
Dass aus so einem Mückchen ein Elefant werden würde hätte ich auch nicht gedacht.
Übrigens, bei einer zweiten Freigabe auf dem selben Server geht alles ganz normal.

Danke schon mal im Voraus.

Gruß
Enrique
Mitglied: Pjordorf
09.03.2016 um 16:15 Uhr
Hallo,


Zitat von @Enriqe:
Nun soll direkt auf Ebene der Freigabe ein neuer Ordner angelegt werden.
Freigabe Rechte sowie NTFS Rechte (Sicherheit) ergeben was im Endeffekt dort erlaubt bzw. verboten ist.
Freigabe allein ist nix
Sicherheit auch beachten
Vererbung beachten

Gruß,
Peter
Bitte warten ..
Mitglied: emeriks
09.03.2016 um 22:36 Uhr
Hi,
wie @Pjordorf schon schreibt: Wenn Du über die Freigabe gehst, dann werden dort die Rechte das erste Mal gefiltert, noch bevor die NTFS-Rechte zum Tragen kommen. Wenn Du über die Freigabe gehen willst/musst und Vollzugriff brauchst, dann musst Du schon in der Freigabe Vollzugriff haben.

Aber: Wenn Du - wie Du zumindest schreibst - direkt auf dem Server angemeldet bist, warum zum Geier gehst Du dann über die Freigabe und nicht direkt über den lokalen Ordner, der mit dieser Freigabe veröffentlicht ist?

Weiterhin: Du meinst nicht etwa die Rüchfrage, die aus dem UAC resultiert? Berechtigungen, welche man über den lokalen Administrator und/oder den lokalen Administratoren erlangt, müssen bei aktiviertem UAC erst explizit bestätigt werden.

E.
Bitte warten ..
Mitglied: Enriqe
10.03.2016 um 10:31 Uhr
Hallo Emeriks,

vielen Dank für Deine Antwort.
Leider schiene ich mich nicht deutlich auszudrücken. ICH GEHE NICHT ÜBER DIE FREIGABE! Ich möchte lediglich am Server einen Unterordner in einem Ordner erstellen, welcher freigegeben ist. Und JA ICH HABE VOLLZUGRIFF AUCH IN DEN FREIGABERECHTEN! Wobei ich die in diesem Fall für bedeutungslos halte.
Und nein, ich meine nicht die Rückfrage der UAC. Ich bekomme genau die in meiner Frage beschriebene Fehlermeldung.
"Sie benötigen Berechtigungen zur Durführung des Vorgangs" Kann da nur wiederholen oder abbrechen wählen.
Des Weiteren sind für den am Server angemeldeten User "Administrator" in den Berechtigungen überall alle Häkchen gesetzt und dennoch habe ich, wenn ich in die effektiven Berechtigungen schaue, kein Recht einen Ordner zu erstellen.
Ich weiß einfach nicht weiter. :-( face-sad
Eventuell GPOs? Ich habe in den GPOs geschaut und dort nichts gefunden was auf eine Beschränkung dieser Rechte hindeutet aber vielleicht habe ich da was übersehen. Könnte es eine GPO sein und wenn ja, wo sollte ich die dann finden?
Nochmal danke
Gruß
Enrique
Bitte warten ..
Mitglied: emeriks
LÖSUNG 10.03.2016 um 10:45 Uhr
Leider schiene ich mich nicht deutlich auszudrücken. ICH GEHE NICHT ÜBER DIE FREIGABE! Ich möchte lediglich am Server einen Unterordner in einem Ordner erstellen, welcher freigegeben ist. Und JA ICH HABE VOLLZUGRIFF AUCH IN DEN FREIGABERECHTEN! Wobei ich die in diesem Fall für bedeutungslos halte.
Korrekt, das können wir hier außen vor lassen.

Und nein, ich meine nicht die Rückfrage der UAC.
Gut, haben wir hiermit ausgeschlossen.

Eventuell GPOs? Ich habe in den GPOs geschaut und dort nichts gefunden was auf eine Beschränkung dieser Rechte hindeutet aber vielleicht habe ich da was übersehen. Könnte es eine GPO sein und wenn ja, wo sollte ich die dann finden?
Es gibt keine GPO, welche das Erstellen von Ordnern unterbindet. Es gibt nur GPO, mit welchen man NTFS-Berechtigungen setzen kann. Aber das würdest Du ganz normal über dien Eigenschaften des Ordners sehen. Dem NTFS ist es egal, wie die Berechtigungen eines Ordners gesetzt wurden. Manuell oder per GPO - sie werden angezeigt, wie sie sind und entsprechend angewendet.

"Sie benötigen Berechtigungen zur Durführung des Vorgangs" Kann da nur wiederholen oder abbrechen wählen.
Des Weiteren sind für den am Server angemeldeten User "Administrator" in den Berechtigungen überall alle Häkchen gesetzt und dennoch habe ich, wenn ich in die effektiven Berechtigungen schaue, kein Recht einen Ordner zu erstellen.
Rein von der Logik her: Da muss in der ACL eine ACE sein, welche den Vollzugriff wieder einschränkt. Das geht nur über eine Verweigerung. Der User könnte z.B. in einer Gruppe sein und dieser Gruppe wurde das Recht zum Erstellen von Ordnern verweigert.

Schau mal bei Sicherheit des Ordners unter "Erweitert". Siehst Du dort irgendelche speziellen Berechtigungen?

Du könntest auch z.B. mit cacls.exe die Berechtigungen des Ordner abfragen und hier posten.
Bitte warten ..
Mitglied: Enriqe
15.03.2016 um 09:42 Uhr
Hallo Emeriks,
vielen Dank für Deinen Post.
Die Idee mit Icacls.exe war super, wenn sie mich auch nicht wirklich weiterbringt, so zeigt das Ergebnis doch die seltsamen Berechtigungen die für den Ordner bestehen. (Obwohl mir nicht ganz klar ist, wie es dazu kommen konnte.)
Ich füge hier einmal den Teil der Ausgabe ein, welcher die Berechtigungen des Ordners enthält, unter welchem ich den Unterordner erstellen möchte:

D:\vol2 DOMAIN\User1:( face-sadOI)(CI)(NP)(DENY)(W,D,Rc,WDAC,WO,REA,X,DC,RA)
DOMAIN\User2:( face-sadOI)(CI)(NP)(DENY)(W,D,Rc,WDAC,WO,REA,X,DC,RA)
DOMAIN\User3:( face-sadOI)(CI)(NP)(DENY)(W,D,Rc,WDAC,WO,REA,X,DC,RA)
VORDEFINIERT\Benutzer:( face-sadOI)(CI)(DENY)(W)
NT-AUTORITŽT\SYSTEM:( face-sadCI)(RX)
DOMAIN\User1:( face-sadOI)(CI)(NP)(S,RD)
DOMAIN\User2:( face-sadOI)(CI)(NP)(S,RD)
DOMAIN\User3:( face-sadOI)(CI)(NP)(S,RD)
DOMAIN\Administrator:( face-sadOI)(CI)(F)
VORDEFINIERT\Administratoren:( face-sadOI)(CI)(NP)(F)
VORDEFINIERT\Benutzer:( face-sadCI)(RX,WD,AD)
VORDEFINIERT\Remotedesktopbenutzer:( face-sadCI)(RX)
SERVER\Administrator:( face-sadOI)(CI)(NP)(F)
DOMAIN\Ich:( face-sadOI)(CI)(NP)(F)

Ich habe die Domäne und die User etwas geändert und möchte dazu noch folgendes anmerken:
User 1,2 und 3 Sind User in der Firma, welche die Berechtigung "Vollzugriff" haben dürften.
Domain\Ich, bin ich und ich sollte auch "Vollzugriff" haben.
Und natürlich die Administratoren, sollten Vollzugriff haben.
Sieht natürlich erst einmal einfach aus. Jetzt nur unter Sicherheit die nötigen Häkchen setzten und gut ist.
Das Problem ist jetzt aber, dass unter "Sicherheit" die Häkchen richtig sitzen :-( face-sad
Irgendwo muss was verbogen sein und ich weiß eben nicht wo.
Noch eine Idee?
Ich denke, ich könnte mit Icacls.exe die Berechtigungen wieder hinbiegen aber ich habe das noch nie gemacht und traue mich das nicht.
In dem Order liegen 1.4 TB an Daten und ich habe Sorgen, dass ich die Berechtigungen noch weiter verbiege, wenn ich da jetzt rumfummle.
Gruß
Enrique
Bitte warten ..
Mitglied: Enriqe
15.03.2016 um 09:45 Uhr
sorry, habe beim Einfügen des Textes natürlich nicht bedacht, dass der Doppelpunkt und die folgende Klammer auf, ein Emoticon erzeugen würde. Also die :( face-sad Smileys sind ein Doppelpunkt : mit folgender Klammer auf (
Bitte warten ..
Mitglied: Enriqe
15.03.2016 um 11:11 Uhr
Hallo Emeriks,
also, nachdem ich mich jetzt noch ein wenig mit den Berechtigungen und der Ausgabe von Icacls.exe beschäftigt habe, habe ich das Problem dann auch noch gefunden.
Vielen Dank noch einmal für den Hinweis und die Idee mit Icacls.exe.
Das Problem war die Gruppe Benutzer. S. hier:

VORDEFINIERT\Benutzer: (OI)(CI)(DENY)(W)

und hierbei das DENY.
Die Gruppe "Domänen Benutzer" ist Mitglied von Benutzer. (zumindest bei mir. Die Frage der Sinnhaltigkeit stelle ich mir später)
und der Administrator ist halt auch "Domänen Benutzer"
Also doch wie Du gesagt hast. Und kein unerklärliches Phänomen.
Ich bin doch immer wieder fasziniert darüber, mit welcher Sturheit ein Computer das macht, was man ihm sagt.
Ich danke Dir für den Wink.
Gruß
Enrique
Bitte warten ..
Mitglied: emeriks
15.03.2016 um 11:20 Uhr
Die Gruppe "Domänen Benutzer" ist Mitglied von Benutzer. (zumindest bei mir. Die Frage der Sinnhaltigkeit stelle ich mir später)
Das ist Standard und sinnvoll. A-G-DL-P bzw. A-G-L-P

und der Administrator ist halt auch "Domänen Benutzer"
Korrekt. Auch Standard.

Also doch wie Du gesagt hast. Und kein unerklärliches Phänomen.
Ich bin doch immer wieder fasziniert darüber, mit welcher Sturheit ein Computer das macht, was man ihm sagt.
Ja, manchmal sind sie echt ne Seuche.

Mach das Teil hier noch zu.
Bitte warten ..
Mitglied: Enriqe
16.03.2016 um 09:11 Uhr
:-) face-smile
Danke
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic48 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Batch & Shell
Wieso funktioniert das nicht?
gelöst Hundy132Vor 1 TagFrageBatch & Shell10 Kommentare

Hallo Freunde, kann mir irgendjemand sagen wieso meine Batch datei nicht funktioniert? So sieht Sie aus: Hier soll ein ein vorgegebenes Passwort Eingegeben werden ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Router & Routing
Probleme mit VPN Verbindung über shrewsoft
martenkVor 1 TagFrageRouter & Routing25 Kommentare

Hallo Gemeinschaft, habe ein Problem mit der o.g. Verbindung die Verbindung wird aufgebaut und ich kann auch den entfernten Rechner anpingen unter ipconfig sehe ...

Exchange Server
Outlook Automatisch auf alle eingehendem Mail eine Antwortvorlage versenden
shooanVor 1 TagFrageExchange Server13 Kommentare

Guten Morgen, ich hätte da gerne mal ein Problem zur Lösung. Auf das Freigegeben Postfach Bewerbung@ wünscht nun die Führung das auf alle Mail ...

Hardware
Versorgungsengpass Chips
NebellichtVor 20 StundenAllgemeinHardware11 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...