7
Keine Berechtigungen für Gruppen
Hallo Zusammen,
auf den Systemen, die ich im Büro verwalte habe ich ein Phänomen, dass ich mir nicht ganz erklären kann:
Auf bestimmten Ordnern haben Administratoren Full-Access konfiguriert, können diese aber trotzdem nicht öffnen.
Dies ist mir vor einigen Monaten bei der Einrichtung der Windows 8 / 8.1 Systemen zum ersten Mal aufgefallen. Dort musste ich dem einzelnen Konto Rechte geben, damit es auf Ordner zugreifen kann.
Vor kurzem habe ich einen neuen Windows 2012 R2 File-Server installiert, da passiert leider teilweise das gleiche.
Administratoren haben als Berechtigung "Full-Access" konfiguriert. Wenn ich mir die effektiven Berechtigungen ansehe, wird Full-Access auch attestiert. Wenn ich den Ordner aber per Doppelklick öffnen möchte, muss ich per Elevated Access auf "Continue" klicken.
Daraufhin wird das Konto als einzelner User in den Berechtigungen eingetragen und es funktioniert.
Wie kann ich die Ordner einstellen, dass die Mitglieder der Administrator-Gruppe auch wirklich die konfigurierten Rechte haben?
Ich paar weiter Eck-Daten:
Die Domäne wird von 2 Windows 2008er Domain-Controler verwaltet.
Mein Admin-Konto ist Mitglied in einer globalen Gruppe, die Mitglied der lokalen Administratoren ist.
UAC ist auf dem Server deaktiviert.
Jeder Gedanke oder Recherche-Ansatz ist erwünscht
Vielen Dank im Voraus für die Hilfe.
Viele Grüße
Marc
auf den Systemen, die ich im Büro verwalte habe ich ein Phänomen, dass ich mir nicht ganz erklären kann:
Auf bestimmten Ordnern haben Administratoren Full-Access konfiguriert, können diese aber trotzdem nicht öffnen.
Dies ist mir vor einigen Monaten bei der Einrichtung der Windows 8 / 8.1 Systemen zum ersten Mal aufgefallen. Dort musste ich dem einzelnen Konto Rechte geben, damit es auf Ordner zugreifen kann.
Vor kurzem habe ich einen neuen Windows 2012 R2 File-Server installiert, da passiert leider teilweise das gleiche.
Administratoren haben als Berechtigung "Full-Access" konfiguriert. Wenn ich mir die effektiven Berechtigungen ansehe, wird Full-Access auch attestiert. Wenn ich den Ordner aber per Doppelklick öffnen möchte, muss ich per Elevated Access auf "Continue" klicken.
Daraufhin wird das Konto als einzelner User in den Berechtigungen eingetragen und es funktioniert.
Wie kann ich die Ordner einstellen, dass die Mitglieder der Administrator-Gruppe auch wirklich die konfigurierten Rechte haben?
Ich paar weiter Eck-Daten:
Die Domäne wird von 2 Windows 2008er Domain-Controler verwaltet.
Mein Admin-Konto ist Mitglied in einer globalen Gruppe, die Mitglied der lokalen Administratoren ist.
UAC ist auf dem Server deaktiviert.
Jeder Gedanke oder Recherche-Ansatz ist erwünscht
Vielen Dank im Voraus für die Hilfe.
Viele Grüße
Marc
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 246136
Url: https://administrator.de/contentid/246136
Ausgedruckt am: 19.11.2024 um 22:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo MArc,
werden die Ordner lokal oder über eine Freigabe angesprochen? Wie sind die Freigabeberechtigungen? Von was für einem einzelen Konto sprichst du? Ein Benutzerkonto oder ein Computer konto?
Gibt es auf diese/n Odnern irgendwelche Verweigerungsberechtigungen?
Gruß
Xearo
werden die Ordner lokal oder über eine Freigabe angesprochen? Wie sind die Freigabeberechtigungen? Von was für einem einzelen Konto sprichst du? Ein Benutzerkonto oder ein Computer konto?
Gibt es auf diese/n Odnern irgendwelche Verweigerungsberechtigungen?
Gruß
Xearo
Hallo Xearo
Die Freigaben sind (wenn konfiguriert) auch als "Full Access" konfiguriert, wir regeln alles über NTFS Rechte.
Es geht um das lokale ansprechen des Ordner, nicht über die Freigabe.
Über die Freigabe wiederum funktioniert es einwandfrei, es sind also nur lokale Ordner betroffen.
Ich versuche es etwas zu verdeutlichen:
Ordner:
D:\Share1\Sub-Share1a
D:\Share1\Sub-Share2a
D:\Share2\Sub-Share1b
D:\Share2\Sub-Share2b
D:\Share2\Sub-Share3b
usw.
Shares gibt es wie folgt:
\\Server\Share1
\\Server\Share2
\\Server\Sub-Share1a
\\Server\Sub-Share1b
Gehen wir dort auf \\Server\Share1 sehe ich die Sub-Shares NICHT. gehe ich aber direkt auf die (selber freigegebenen) Sub-Shares, funktioniert es problemlos
Auf D:\ShareX tritt das Problem auf
Ich spreche von Benutzer-Konten. Die Admins bei uns haben jeweils 2 Konten, eines für die normale Arbeit, Mailverkehr etc. und ein Admin-Konto, welches je nach Funktion mehr Rechte hat. Die Admin-Konten sind in einer einzelnen Admin-Gruppe, die ihrerseits Mitglied der Gruppe Domänen-Admins ist. Die Domänen-Admins sind nach Aufnahme in die Domäne automatisch in den lokalen Administratoren (Dies habe ich auf allen Systemen ebenfalls geprüft).
Verweigerungsrechte sind nirgendwo gesetzt. Bei uns gibt es nur Erlaubnis, oder nichts ;)
Die Freigaben sind (wenn konfiguriert) auch als "Full Access" konfiguriert, wir regeln alles über NTFS Rechte.
Es geht um das lokale ansprechen des Ordner, nicht über die Freigabe.
Über die Freigabe wiederum funktioniert es einwandfrei, es sind also nur lokale Ordner betroffen.
Ich versuche es etwas zu verdeutlichen:
Ordner:
D:\Share1\Sub-Share1a
D:\Share1\Sub-Share2a
D:\Share2\Sub-Share1b
D:\Share2\Sub-Share2b
D:\Share2\Sub-Share3b
usw.
Shares gibt es wie folgt:
\\Server\Share1
\\Server\Share2
\\Server\Sub-Share1a
\\Server\Sub-Share1b
Gehen wir dort auf \\Server\Share1 sehe ich die Sub-Shares NICHT. gehe ich aber direkt auf die (selber freigegebenen) Sub-Shares, funktioniert es problemlos
Auf D:\ShareX tritt das Problem auf
Ich spreche von Benutzer-Konten. Die Admins bei uns haben jeweils 2 Konten, eines für die normale Arbeit, Mailverkehr etc. und ein Admin-Konto, welches je nach Funktion mehr Rechte hat. Die Admin-Konten sind in einer einzelnen Admin-Gruppe, die ihrerseits Mitglied der Gruppe Domänen-Admins ist. Die Domänen-Admins sind nach Aufnahme in die Domäne automatisch in den lokalen Administratoren (Dies habe ich auf allen Systemen ebenfalls geprüft).
Verweigerungsrechte sind nirgendwo gesetzt. Bei uns gibt es nur Erlaubnis, oder nichts ;)
Hallo,
Freigabe oder NTFS Rechte?
Nur ein paar....
http://searchsecurity.techtarget.com/answer/The-risks-of-disabling-User ...
http://technet.microsoft.com/de-de/library/cc709691(v=ws.10).aspx
http://tinyhacker.com/hacks/why-you-should-not-turn-off-uac-in-windows- ...
http://www.7tutorials.com/uac-why-you-should-never-turn-it-off
http://superuser.com/questions/83677/disabling-uac-on-windows-7
http://www.howtogeek.com/124754/htg-explains-why-you-shouldnt-disable-u ...
http://support.microsoft.com/kb/922708/en-us
Gruß,
Peter
Freigabe oder NTFS Rechte?
Vor kurzem habe ich einen neuen Windows 2012 R2 File-Server installiert, da passiert leider teilweise das gleiche.
Normalerweise nicht. Wie gesagt - Normalerweise.Administratoren haben als Berechtigung "Full-Access" konfiguriert
NTFS oder Freigaberechte?Doppelklick öffnen möchte, muss ich per Elevated Access auf "Continue" klicken.
Das hängt mit deinUAC ist auf dem Server deaktiviert.
zusammen. Welchen Grund gibt es dies Auszuschalten?Wie kann ich die Ordner einstellen, dass die Mitglieder der Administrator-Gruppe auch wirklich die konfigurierten Rechte haben?
Haben sie doch.Die Domäne wird von 2 Windows 2008er Domain-Controler verwaltet.
UAC auch dort ausgeschaltet?Mein Admin-Konto ist Mitglied in einer globalen Gruppe, die Mitglied der lokalen Administratoren ist.
Du meinst deine Lokalen Admin Gruppe ist Mitglied von.... oder?Jeder Gedanke oder Recherche-Ansatz ist erwünscht
Dir ist genauestens bekannt welche Auswirkungen das Abschalten der UAC mit sich bringt und wie sich deine Systeme dann verhalten?Nur ein paar....
http://searchsecurity.techtarget.com/answer/The-risks-of-disabling-User ...
http://technet.microsoft.com/de-de/library/cc709691(v=ws.10).aspx
http://tinyhacker.com/hacks/why-you-should-not-turn-off-uac-in-windows- ...
http://www.7tutorials.com/uac-why-you-should-never-turn-it-off
http://superuser.com/questions/83677/disabling-uac-on-windows-7
http://www.howtogeek.com/124754/htg-explains-why-you-shouldnt-disable-u ...
http://support.microsoft.com/kb/922708/en-us
Gruß,
Peter
Zitat von @mbrinkmann:
Hallo Xearo
Gehen wir dort auf \\Server\Share1 sehe ich die Sub-Shares NICHT. gehe ich aber direkt auf die (selber freigegebenen) Sub-Shares,
funktioniert es problemlos
Hallo Xearo
Gehen wir dort auf \\Server\Share1 sehe ich die Sub-Shares NICHT. gehe ich aber direkt auf die (selber freigegebenen) Sub-Shares,
funktioniert es problemlos
Wenn du dich mit dem Share \\Server\Share1 verbindest, siehst du also die Unterordner nicht. Dann ist bei Dir wohl ACE eingeschaltet, dass blendet die Ordner aus auf denen man keine Berechtigungen hat.
Mir fällt da jetzt leider nicht mehr zu ein, ausser dass du dem Benutzer halt nicht ausreichenden Berechtigungen für Ordner und Unterordner gegeben hast. Hast du auch die "Erweiterten Berechtigungen" angeschaut?
Hey Xaero,
ACE habe ich in der Tat aktiviert, das Feature ist genial Das interessante in dem Phänomen ist doch, dass man die Unter-Ordner um Share nicht sehen kann, aber zeitgleich diesen über eine eigene Freigabe erreichen kann. Hätte man keine Rechte, würde man auch in den Unter-Ordner nicht kommen.
In den erweiterten Berechtigungen habe ich ja die effektiven Berechtigungen kontrolliert, da habe ich auch die Berechtigungen geprüft.
Ich werde mir UAC von Peter bei der nächsten Wartung kommenden Mittwoch mal ansehen.
Schöne Grüße
Marc
ACE habe ich in der Tat aktiviert, das Feature ist genial
Das interessante in dem Phänomen ist doch, dass man die Unter-Ordner um Share nicht sehen kann, aber zeitgleich diesen über eine eigene Freigabe erreichen kann. Hätte man keine Rechte, würde man auch in den Unter-Ordner nicht kommen.In den erweiterten Berechtigungen habe ich ja die effektiven Berechtigungen kontrolliert, da habe ich auch die Berechtigungen geprüft.
Ich werde mir UAC von Peter bei der nächsten Wartung kommenden Mittwoch mal ansehen.
Schöne Grüße
Marc
Hallo Xearo, hallo Peter,
mein vorgesetzter hat diesen Link gefunden, der genau unser Problem beschreibt:
Falls das noch jemand sucht möchte ich es gerne teilen:
http://social.technet.microsoft.com/Forums/windowsserver/en-US/fedbb110 ...
Wir werden Server / Notebooks entsprechend prüfen und anpassen.
Viele Grüße
Marc
mein vorgesetzter hat diesen Link gefunden, der genau unser Problem beschreibt:
Falls das noch jemand sucht möchte ich es gerne teilen:
http://social.technet.microsoft.com/Forums/windowsserver/en-US/fedbb110 ...
Wir werden Server / Notebooks entsprechend prüfen und anpassen.
Viele Grüße
Marc
Danke. Dachte schon das es etwas mit UAC zu tun hat.
