9
Keine Berechtigung zum Erstellen neuer Ordner auf einer Server 2008 Freigabe
Hallo Admins,
mal wieder ist es soweit und ich sehe bei einem Problem den Wald nicht mehr vor lauter Bäumen.
Ich hoffe, von euch hat Jemand gleich den richtigen Tipp parat.
Also: Wir haben ein Windows 2008 Server (Mitgliedsserver in der Domäne) auf welchem unsere Daten in einem freigegebenen Verzeichnis liegen.
Nun soll direkt auf Ebene der Freigabe ein neuer Ordner angelegt werden.
Ich bin direkt an diesem Server als Administrator angemeldet und bekomme aber beim Versuch einen Ordner unterhalb der Freigabe anzulegen die Meldung, dass ich dafür Berechtigungen benötige.
"Sie benötigen Berechtigungen zur Durführung des Vorgangs" (Im Kontextmenü unter neu - Ordner ist vor dem Wort "Ordner" auch so ein Schild- Symbol. Normalerweise ist da ein Ordnersymbol)
Also hab ich mal in die Berechtigungen geschaut.
Die sind auch auf den ersten Blick unauffällig. Berechtigungen der Freigabe: Administrator (Domain und lokal) Vollzugriff.
Sicherheit: Domäne\Administrator: Vollzugriff
Servername\Administrator: Vollzugriff
Wenn ich auf Erweitert gehe, dann sehe ich auch hier, dass die Administratoren überall Vollzugriff haben. auch bei "Ordner erstellen".
Wenn ich mir aber die effektiven Berechtigungen anzeigen lasse und einen der Administratoren aussuche, dann sehe ich, dass einige Haken fehlen. Unter anderem bei: "Ordner erstellen".
Jetzt frage ich mich halt, wo kann ich die Berechtigungen für diesen Ordner noch beeinflussen, um hier wirklich wieder Vollzugriff zu erhalten.
Administrator ist sowohl lokal als auch global in der Gruppe der Administratoren.
Wo ich die universelle Gruppenmitgliedschaft oder auch die lokalen Privilegien einsehen oder beeinflussen kann, weiß ich nicht.
Hat Jemand eine Idee?
Biiiiiiitteeeeee
Würde mich freuen, wenn sich Jemand meldet.
Dass aus so einem Mückchen ein Elefant werden würde hätte ich auch nicht gedacht.
Übrigens, bei einer zweiten Freigabe auf dem selben Server geht alles ganz normal.
Danke schon mal im Voraus.
Gruß
Enrique
mal wieder ist es soweit und ich sehe bei einem Problem den Wald nicht mehr vor lauter Bäumen.
Ich hoffe, von euch hat Jemand gleich den richtigen Tipp parat.
Also: Wir haben ein Windows 2008 Server (Mitgliedsserver in der Domäne) auf welchem unsere Daten in einem freigegebenen Verzeichnis liegen.
Nun soll direkt auf Ebene der Freigabe ein neuer Ordner angelegt werden.
Ich bin direkt an diesem Server als Administrator angemeldet und bekomme aber beim Versuch einen Ordner unterhalb der Freigabe anzulegen die Meldung, dass ich dafür Berechtigungen benötige.
"Sie benötigen Berechtigungen zur Durführung des Vorgangs" (Im Kontextmenü unter neu - Ordner ist vor dem Wort "Ordner" auch so ein Schild- Symbol. Normalerweise ist da ein Ordnersymbol)
Also hab ich mal in die Berechtigungen geschaut.
Die sind auch auf den ersten Blick unauffällig. Berechtigungen der Freigabe: Administrator (Domain und lokal) Vollzugriff.
Sicherheit: Domäne\Administrator: Vollzugriff
Servername\Administrator: Vollzugriff
Wenn ich auf Erweitert gehe, dann sehe ich auch hier, dass die Administratoren überall Vollzugriff haben. auch bei "Ordner erstellen".
Wenn ich mir aber die effektiven Berechtigungen anzeigen lasse und einen der Administratoren aussuche, dann sehe ich, dass einige Haken fehlen. Unter anderem bei: "Ordner erstellen".
Jetzt frage ich mich halt, wo kann ich die Berechtigungen für diesen Ordner noch beeinflussen, um hier wirklich wieder Vollzugriff zu erhalten.
Administrator ist sowohl lokal als auch global in der Gruppe der Administratoren.
Wo ich die universelle Gruppenmitgliedschaft oder auch die lokalen Privilegien einsehen oder beeinflussen kann, weiß ich nicht.
Hat Jemand eine Idee?
Biiiiiiitteeeeee
Würde mich freuen, wenn sich Jemand meldet.
Dass aus so einem Mückchen ein Elefant werden würde hätte ich auch nicht gedacht.
Übrigens, bei einer zweiten Freigabe auf dem selben Server geht alles ganz normal.
Danke schon mal im Voraus.
Gruß
Enrique
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 298645
Url: https://administrator.de/contentid/298645
Ausgedruckt am: 24.11.2024 um 12:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
Freigabe Rechte sowie NTFS Rechte (Sicherheit) ergeben was im Endeffekt dort erlaubt bzw. verboten ist.
Freigabe allein ist nix
Sicherheit auch beachten
Vererbung beachten
Gruß,
Peter
Freigabe Rechte sowie NTFS Rechte (Sicherheit) ergeben was im Endeffekt dort erlaubt bzw. verboten ist.
Freigabe allein ist nix
Sicherheit auch beachten
Vererbung beachten
Gruß,
Peter
Hi,
wie @Pjordorf schon schreibt: Wenn Du über die Freigabe gehst, dann werden dort die Rechte das erste Mal gefiltert, noch bevor die NTFS-Rechte zum Tragen kommen. Wenn Du über die Freigabe gehen willst/musst und Vollzugriff brauchst, dann musst Du schon in der Freigabe Vollzugriff haben.
Aber: Wenn Du - wie Du zumindest schreibst - direkt auf dem Server angemeldet bist, warum zum Geier gehst Du dann über die Freigabe und nicht direkt über den lokalen Ordner, der mit dieser Freigabe veröffentlicht ist?
Weiterhin: Du meinst nicht etwa die Rüchfrage, die aus dem UAC resultiert? Berechtigungen, welche man über den lokalen Administrator und/oder den lokalen Administratoren erlangt, müssen bei aktiviertem UAC erst explizit bestätigt werden.
E.
wie @Pjordorf schon schreibt: Wenn Du über die Freigabe gehst, dann werden dort die Rechte das erste Mal gefiltert, noch bevor die NTFS-Rechte zum Tragen kommen. Wenn Du über die Freigabe gehen willst/musst und Vollzugriff brauchst, dann musst Du schon in der Freigabe Vollzugriff haben.
Aber: Wenn Du - wie Du zumindest schreibst - direkt auf dem Server angemeldet bist, warum zum Geier gehst Du dann über die Freigabe und nicht direkt über den lokalen Ordner, der mit dieser Freigabe veröffentlicht ist?
Weiterhin: Du meinst nicht etwa die Rüchfrage, die aus dem UAC resultiert? Berechtigungen, welche man über den lokalen Administrator und/oder den lokalen Administratoren erlangt, müssen bei aktiviertem UAC erst explizit bestätigt werden.
E.
Hallo Emeriks,
vielen Dank für Deine Antwort.
Leider schiene ich mich nicht deutlich auszudrücken. ICH GEHE NICHT ÜBER DIE FREIGABE! Ich möchte lediglich am Server einen Unterordner in einem Ordner erstellen, welcher freigegeben ist. Und JA ICH HABE VOLLZUGRIFF AUCH IN DEN FREIGABERECHTEN! Wobei ich die in diesem Fall für bedeutungslos halte.
Und nein, ich meine nicht die Rückfrage der UAC. Ich bekomme genau die in meiner Frage beschriebene Fehlermeldung.
"Sie benötigen Berechtigungen zur Durführung des Vorgangs" Kann da nur wiederholen oder abbrechen wählen.
Des Weiteren sind für den am Server angemeldeten User "Administrator" in den Berechtigungen überall alle Häkchen gesetzt und dennoch habe ich, wenn ich in die effektiven Berechtigungen schaue, kein Recht einen Ordner zu erstellen.
Ich weiß einfach nicht weiter.
Eventuell GPOs? Ich habe in den GPOs geschaut und dort nichts gefunden was auf eine Beschränkung dieser Rechte hindeutet aber vielleicht habe ich da was übersehen. Könnte es eine GPO sein und wenn ja, wo sollte ich die dann finden?
Nochmal danke
Gruß
Enrique
vielen Dank für Deine Antwort.
Leider schiene ich mich nicht deutlich auszudrücken. ICH GEHE NICHT ÜBER DIE FREIGABE! Ich möchte lediglich am Server einen Unterordner in einem Ordner erstellen, welcher freigegeben ist. Und JA ICH HABE VOLLZUGRIFF AUCH IN DEN FREIGABERECHTEN! Wobei ich die in diesem Fall für bedeutungslos halte.
Und nein, ich meine nicht die Rückfrage der UAC. Ich bekomme genau die in meiner Frage beschriebene Fehlermeldung.
"Sie benötigen Berechtigungen zur Durführung des Vorgangs" Kann da nur wiederholen oder abbrechen wählen.
Des Weiteren sind für den am Server angemeldeten User "Administrator" in den Berechtigungen überall alle Häkchen gesetzt und dennoch habe ich, wenn ich in die effektiven Berechtigungen schaue, kein Recht einen Ordner zu erstellen.
Ich weiß einfach nicht weiter.
Eventuell GPOs? Ich habe in den GPOs geschaut und dort nichts gefunden was auf eine Beschränkung dieser Rechte hindeutet aber vielleicht habe ich da was übersehen. Könnte es eine GPO sein und wenn ja, wo sollte ich die dann finden?
Nochmal danke
Gruß
Enrique
Leider schiene ich mich nicht deutlich auszudrücken. ICH GEHE NICHT ÜBER DIE FREIGABE! Ich möchte lediglich am Server einen Unterordner in einem Ordner erstellen, welcher freigegeben ist. Und JA ICH HABE VOLLZUGRIFF AUCH IN DEN FREIGABERECHTEN! Wobei ich die in diesem Fall für bedeutungslos halte.
Korrekt, das können wir hier außen vor lassen.Und nein, ich meine nicht die Rückfrage der UAC.
Gut, haben wir hiermit ausgeschlossen.Eventuell GPOs? Ich habe in den GPOs geschaut und dort nichts gefunden was auf eine Beschränkung dieser Rechte hindeutet aber vielleicht habe ich da was übersehen. Könnte es eine GPO sein und wenn ja, wo sollte ich die dann finden?
Es gibt keine GPO, welche das Erstellen von Ordnern unterbindet. Es gibt nur GPO, mit welchen man NTFS-Berechtigungen setzen kann. Aber das würdest Du ganz normal über dien Eigenschaften des Ordners sehen. Dem NTFS ist es egal, wie die Berechtigungen eines Ordners gesetzt wurden. Manuell oder per GPO - sie werden angezeigt, wie sie sind und entsprechend angewendet."Sie benötigen Berechtigungen zur Durführung des Vorgangs" Kann da nur wiederholen oder abbrechen wählen.
Des Weiteren sind für den am Server angemeldeten User "Administrator" in den Berechtigungen überall alle Häkchen gesetzt und dennoch habe ich, wenn ich in die effektiven Berechtigungen schaue, kein Recht einen Ordner zu erstellen.
Rein von der Logik her: Da muss in der ACL eine ACE sein, welche den Vollzugriff wieder einschränkt. Das geht nur über eine Verweigerung. Der User könnte z.B. in einer Gruppe sein und dieser Gruppe wurde das Recht zum Erstellen von Ordnern verweigert.Des Weiteren sind für den am Server angemeldeten User "Administrator" in den Berechtigungen überall alle Häkchen gesetzt und dennoch habe ich, wenn ich in die effektiven Berechtigungen schaue, kein Recht einen Ordner zu erstellen.
Schau mal bei Sicherheit des Ordners unter "Erweitert". Siehst Du dort irgendelche speziellen Berechtigungen?
Du könntest auch z.B. mit cacls.exe die Berechtigungen des Ordner abfragen und hier posten.
Hallo Emeriks,
vielen Dank für Deinen Post.
Die Idee mit Icacls.exe war super, wenn sie mich auch nicht wirklich weiterbringt, so zeigt das Ergebnis doch die seltsamen Berechtigungen die für den Ordner bestehen. (Obwohl mir nicht ganz klar ist, wie es dazu kommen konnte.)
Ich füge hier einmal den Teil der Ausgabe ein, welcher die Berechtigungen des Ordners enthält, unter welchem ich den Unterordner erstellen möchte:
D:\vol2 DOMAIN\User1OI)(CI)(NP)(DENY)(W,D,Rc,WDAC,WO,REA,X,DC,RA)
DOMAIN\User2OI)(CI)(NP)(DENY)(W,D,Rc,WDAC,WO,REA,X,DC,RA)
DOMAIN\User3OI)(CI)(NP)(DENY)(W,D,Rc,WDAC,WO,REA,X,DC,RA)
VORDEFINIERT\BenutzerOI)(CI)(DENY)(W)
NT-AUTORITŽT\SYSTEMCI)(RX)
DOMAIN\User1OI)(CI)(NP)(S,RD)
DOMAIN\User2OI)(CI)(NP)(S,RD)
DOMAIN\User3OI)(CI)(NP)(S,RD)
DOMAIN\AdministratorOI)(CI)(F)
VORDEFINIERT\AdministratorenOI)(CI)(NP)(F)
VORDEFINIERT\BenutzerCI)(RX,WD,AD)
VORDEFINIERT\RemotedesktopbenutzerCI)(RX)
SERVER\AdministratorOI)(CI)(NP)(F)
DOMAIN\IchOI)(CI)(NP)(F)
Ich habe die Domäne und die User etwas geändert und möchte dazu noch folgendes anmerken:
User 1,2 und 3 Sind User in der Firma, welche die Berechtigung "Vollzugriff" haben dürften.
Domain\Ich, bin ich und ich sollte auch "Vollzugriff" haben.
Und natürlich die Administratoren, sollten Vollzugriff haben.
Sieht natürlich erst einmal einfach aus. Jetzt nur unter Sicherheit die nötigen Häkchen setzten und gut ist.
Das Problem ist jetzt aber, dass unter "Sicherheit" die Häkchen richtig sitzen
Irgendwo muss was verbogen sein und ich weiß eben nicht wo.
Noch eine Idee?
Ich denke, ich könnte mit Icacls.exe die Berechtigungen wieder hinbiegen aber ich habe das noch nie gemacht und traue mich das nicht.
In dem Order liegen 1.4 TB an Daten und ich habe Sorgen, dass ich die Berechtigungen noch weiter verbiege, wenn ich da jetzt rumfummle.
Gruß
Enrique
vielen Dank für Deinen Post.
Die Idee mit Icacls.exe war super, wenn sie mich auch nicht wirklich weiterbringt, so zeigt das Ergebnis doch die seltsamen Berechtigungen die für den Ordner bestehen. (Obwohl mir nicht ganz klar ist, wie es dazu kommen konnte.)
Ich füge hier einmal den Teil der Ausgabe ein, welcher die Berechtigungen des Ordners enthält, unter welchem ich den Unterordner erstellen möchte:
D:\vol2 DOMAIN\User1
OI)(CI)(NP)(DENY)(W,D,Rc,WDAC,WO,REA,X,DC,RA)DOMAIN\User2
OI)(CI)(NP)(DENY)(W,D,Rc,WDAC,WO,REA,X,DC,RA)DOMAIN\User3
OI)(CI)(NP)(DENY)(W,D,Rc,WDAC,WO,REA,X,DC,RA)VORDEFINIERT\Benutzer
OI)(CI)(DENY)(W)NT-AUTORITŽT\SYSTEM
CI)(RX)DOMAIN\User1
OI)(CI)(NP)(S,RD)DOMAIN\User2
OI)(CI)(NP)(S,RD)DOMAIN\User3
OI)(CI)(NP)(S,RD)DOMAIN\Administrator
OI)(CI)(F)VORDEFINIERT\Administratoren
OI)(CI)(NP)(F)VORDEFINIERT\Benutzer
CI)(RX,WD,AD)VORDEFINIERT\Remotedesktopbenutzer
CI)(RX)SERVER\Administrator
OI)(CI)(NP)(F)DOMAIN\Ich
OI)(CI)(NP)(F)Ich habe die Domäne und die User etwas geändert und möchte dazu noch folgendes anmerken:
User 1,2 und 3 Sind User in der Firma, welche die Berechtigung "Vollzugriff" haben dürften.
Domain\Ich, bin ich und ich sollte auch "Vollzugriff" haben.
Und natürlich die Administratoren, sollten Vollzugriff haben.
Sieht natürlich erst einmal einfach aus. Jetzt nur unter Sicherheit die nötigen Häkchen setzten und gut ist.
Das Problem ist jetzt aber, dass unter "Sicherheit" die Häkchen richtig sitzen
Irgendwo muss was verbogen sein und ich weiß eben nicht wo.
Noch eine Idee?
Ich denke, ich könnte mit Icacls.exe die Berechtigungen wieder hinbiegen aber ich habe das noch nie gemacht und traue mich das nicht.
In dem Order liegen 1.4 TB an Daten und ich habe Sorgen, dass ich die Berechtigungen noch weiter verbiege, wenn ich da jetzt rumfummle.
Gruß
Enrique
sorry, habe beim Einfügen des Textes natürlich nicht bedacht, dass der Doppelpunkt und die folgende Klammer auf, ein Emoticon erzeugen würde. Also die Smileys sind ein Doppelpunkt : mit folgender Klammer auf (
Smileys sind ein Doppelpunkt : mit folgender Klammer auf (
Hallo Emeriks,
also, nachdem ich mich jetzt noch ein wenig mit den Berechtigungen und der Ausgabe von Icacls.exe beschäftigt habe, habe ich das Problem dann auch noch gefunden.
Vielen Dank noch einmal für den Hinweis und die Idee mit Icacls.exe.
Das Problem war die Gruppe Benutzer. S. hier:
VORDEFINIERT\Benutzer: (OI)(CI)(DENY)(W)
und hierbei das DENY.
Die Gruppe "Domänen Benutzer" ist Mitglied von Benutzer. (zumindest bei mir. Die Frage der Sinnhaltigkeit stelle ich mir später)
und der Administrator ist halt auch "Domänen Benutzer"
Also doch wie Du gesagt hast. Und kein unerklärliches Phänomen.
Ich bin doch immer wieder fasziniert darüber, mit welcher Sturheit ein Computer das macht, was man ihm sagt.
Ich danke Dir für den Wink.
Gruß
Enrique
also, nachdem ich mich jetzt noch ein wenig mit den Berechtigungen und der Ausgabe von Icacls.exe beschäftigt habe, habe ich das Problem dann auch noch gefunden.
Vielen Dank noch einmal für den Hinweis und die Idee mit Icacls.exe.
Das Problem war die Gruppe Benutzer. S. hier:
VORDEFINIERT\Benutzer: (OI)(CI)(DENY)(W)
und hierbei das DENY.
Die Gruppe "Domänen Benutzer" ist Mitglied von Benutzer. (zumindest bei mir. Die Frage der Sinnhaltigkeit stelle ich mir später)
und der Administrator ist halt auch "Domänen Benutzer"
Also doch wie Du gesagt hast. Und kein unerklärliches Phänomen.
Ich bin doch immer wieder fasziniert darüber, mit welcher Sturheit ein Computer das macht, was man ihm sagt.
Ich danke Dir für den Wink.
Gruß
Enrique
Die Gruppe "Domänen Benutzer" ist Mitglied von Benutzer. (zumindest bei mir. Die Frage der Sinnhaltigkeit stelle ich mir später)
Das ist Standard und sinnvoll. A-G-DL-P bzw. A-G-L-Pund der Administrator ist halt auch "Domänen Benutzer"
Korrekt. Auch Standard.Also doch wie Du gesagt hast. Und kein unerklärliches Phänomen.
Ich bin doch immer wieder fasziniert darüber, mit welcher Sturheit ein Computer das macht, was man ihm sagt.
Ja, manchmal sind sie echt ne Seuche.Ich bin doch immer wieder fasziniert darüber, mit welcher Sturheit ein Computer das macht, was man ihm sagt.
Mach das Teil hier noch zu.
Danke
