15
Keine Laufwerksberechtigung für Gruppe "Domänen-Admins"
Hallo zusammen,
in unserer Domäne haben wir zwei neue Server aufgesetzt (Server 2016)
Die Server haben diverse Festplatten mit den gleichen Berechtigungen installiert.
Hier kommt das Problem:
Wenn ich die Gruppe Domänen-Admins mit Vollzugriff berechtige, dann erhalte ich als User (der sich in der Gruppe befindet) keinen Zugriff auf die Festplatten.
Wenn ich den User direkt berechtige, dann klappt alles wunderbar.
Kann mir jemand sagen, an was das liegen kann?
Danke und viele Grüße
Kilrathi
in unserer Domäne haben wir zwei neue Server aufgesetzt (Server 2016)
Die Server haben diverse Festplatten mit den gleichen Berechtigungen installiert.
Hier kommt das Problem:
Wenn ich die Gruppe Domänen-Admins mit Vollzugriff berechtige, dann erhalte ich als User (der sich in der Gruppe befindet) keinen Zugriff auf die Festplatten.
Wenn ich den User direkt berechtige, dann klappt alles wunderbar.
Kann mir jemand sagen, an was das liegen kann?
Danke und viele Grüße
Kilrathi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351276
Url: https://administrator.de/contentid/351276
Ausgedruckt am: 24.11.2024 um 19:11 Uhr
15 Kommentare
Neuester Kommentar
Hi,
Basiert in der Regl auf dem 2-Türen-Prinzip. Machst du die eine Tür zu, hilft es nicht, die zweite Tür aufzumachen.
Microsoft-Best-Practise:
Freigabeberechtigungen: Jeder -> Vollzugriff , ansonsten sind hier keine wieteren User/Groups hinterlegt
NTFS-Berechtigungen: Hier werden die tiefen und eigentlichen Berechtigungen gesetzt.
Kann mir jemand sagen, an was das liegen kann?
Eventuell Nachholbedarf in Bezug auf den Unterschied zwischen Freigabe- und NTFS-Berechtigungen. http://blog.varonis.de/der-unterschied-zwischen-freigaben-und-ntfs-bere ...Basiert in der Regl auf dem 2-Türen-Prinzip. Machst du die eine Tür zu, hilft es nicht, die zweite Tür aufzumachen.
Microsoft-Best-Practise:
Freigabeberechtigungen: Jeder -> Vollzugriff , ansonsten sind hier keine wieteren User/Groups hinterlegt
NTFS-Berechtigungen: Hier werden die tiefen und eigentlichen Berechtigungen gesetzt.
Hi,
Du sprichst von lokaler Anmeldung? Also dieser Benutzer ist an der Console des Servers angemeldet oder per RDP? Falls ja, dann UAC.
Geh über \\localhost\d$ (d$ oder entsprechend Deinem konkreten Laufwerksbuchstaben).
E.
Kann mir jemand sagen, an was das liegen kann?
Ich tippe auf UAC.Du sprichst von lokaler Anmeldung? Also dieser Benutzer ist an der Console des Servers angemeldet oder per RDP? Falls ja, dann UAC.
Geh über \\localhost\d$ (d$ oder entsprechend Deinem konkreten Laufwerksbuchstaben).
E.
Zitat von @chgorges:
Hi,
Microsoft-Best-Practise:
Freigabeberechtigungen: Jeder -> Vollzugriff , ansonsten sind hier keine wieteren User/Groups hinterlegt
NTFS-Berechtigungen: Hier werden die tiefen und eigentlichen Berechtigungen gesetzt.
Da muss ich Dir widersprechen. Ich empfehle "Jeder -> Ändern".Hi,
Microsoft-Best-Practise:
Freigabeberechtigungen: Jeder -> Vollzugriff , ansonsten sind hier keine wieteren User/Groups hinterlegt
NTFS-Berechtigungen: Hier werden die tiefen und eigentlichen Berechtigungen gesetzt.
Ja Microsoft empfiehlt zwar "Jeder -> Vollzugriff", dadurch kann aber jeder auch Berechtigungen manipulieren.
@DerWoWusste hat vor längerer Zeit einen Beitrag veröffentlicht, wo begründet wurde, warum man dies so machen sollte.
Gruss Penny
Jeder -> Vollzugriff", dadurch kann aber jeder auch Berechtigungen manipulieren.
Aber nur dann, wenn die NTFS-Berechtigungen das zulassen. Das kann interessant werden, wenn man verhindern will, dass der Ersteller einer Datei (der Besitzer) nachträglich die Berechtigungen ändern kann. Sonst aber nicht.
Hi.
Ja, die UAC ist der Grund und es wäre auch auf Server 2008/2012 so.
Dafür gibt es mehrere Abhilfen, https://www.faq-o-matic.net/2010/11/08/uac-den-explorer-mit-admin-rechte ... zeigt einige.
Ja, die UAC ist der Grund und es wäre auch auf Server 2008/2012 so.
Dafür gibt es mehrere Abhilfen, https://www.faq-o-matic.net/2010/11/08/uac-den-explorer-mit-admin-rechte ... zeigt einige.
Hi und danke für die schnellen Antworten 
Also ich verstehe nicht warum hier die Problematik an den Freigaben liegen soll?
Wenn ich mich mit meinem User Account auf dem Server anmelde und dann auch Laufwerk D: klicke, dann hat das doch nix mit einer Freigabe zu tun?
Davon mal abgesehen, sind die freigegebenen Ordner auf den diversen Festplatten alle für jeden mit ändern bzw. full control freigegeben.
Die ganze User Thematik auch mit DFS Namespace usw. ist ja nicht das Problem.
Ich rede wirklich davon, dass ich in den Sicherheitseinstellungen der Festplatten die Gruppe Domänen Admins hinzufüge mit full control und dennoch bekommen die User (Admins) keine Zugriff auf die Ordner und Dateien.
Wenn ich allerdings die User direkt mit full control berechtige, dann klappts.
Zielt UAC nicht auf ein anderes Thema ab?
Also ich verstehe nicht warum hier die Problematik an den Freigaben liegen soll?
Wenn ich mich mit meinem User Account auf dem Server anmelde und dann auch Laufwerk D: klicke, dann hat das doch nix mit einer Freigabe zu tun?
Davon mal abgesehen, sind die freigegebenen Ordner auf den diversen Festplatten alle für jeden mit ändern bzw. full control freigegeben.
Die ganze User Thematik auch mit DFS Namespace usw. ist ja nicht das Problem.
Ich rede wirklich davon, dass ich in den Sicherheitseinstellungen der Festplatten die Gruppe Domänen Admins hinzufüge mit full control und dennoch bekommen die User (Admins) keine Zugriff auf die Ordner und Dateien.
Wenn ich allerdings die User direkt mit full control berechtige, dann klappts.
Zielt UAC nicht auf ein anderes Thema ab?
Nur mal so gefragt:
Ist die Gruppe der DomänenAdministratoren auch Mitglied in der lokalen Gruppe Administratoren?
Gruss Penny
Ist die Gruppe der DomänenAdministratoren auch Mitglied in der lokalen Gruppe Administratoren?
Gruss Penny
Zielt UAC nicht auf ein anderes Thema ab?
Nein, siehe mein Link.Zielt UAC nicht auf ein anderes Thema ab?
Nein, siehe mein Link.
Ok dann bin ich zu blöd.
Dachte UAC regelt diese Abfragen beim Öffnen von Dateien oder beim Ausführen von Befehlen.
Es kommt ja auch beispielsweise keine Abfrage bzw. Pop Up Window, in dem man als admin fortsetzen kann oder so.
Auch verwirrend finde ich, dass Laufwerk C: von dieser Sache wohl nicht betroffen ist.
Ach ja die Domänen Admins sind in der lokalen Administratoren Gruppe auf den jeweiligen Servern.
Dachte UAC regelt diese Abfragen beim Öffnen von Dateien oder beim Ausführen von Befehlen.
Es kommt ja auch beispielsweise keine Abfrage bzw. Pop Up Window, in dem man als admin fortsetzen kann oder so.
Auch verwirrend finde ich, dass Laufwerk C: von dieser Sache wohl nicht betroffen ist.
Ach ja die Domänen Admins sind in der lokalen Administratoren Gruppe auf den jeweiligen Servern.
Offen gestanden, habe ich auch etwas überlesen:
Wenn ich die Gruppe Domänen-Admins mit Vollzugriff berechtige,
Du gibst da tatsächlich der Gruppe "Domänen-Admins" Vollzugriff und nicht etwa der lokalen Gruppe "Administratoren". Mein Verdacht mit UAC bezog sich nämlich auf letztere Konstellation.
Pass auf, mach's dir einfach. Entweder, du nutzt am Server keine UAC (wozu auch? Wenn die Dich beschützen soll, bedienst Du den Server nicht richtig), oder Du nutzt eben einen Explorer, wie den total Commander, den man elevated starten kann (Rechtsklick - "als Admin ausführen").
Hintergrund: die Gruppe Domänen-Admins benötigt elevation, um Ihre Rechte auszunutzen.
Hintergrund: die Gruppe Domänen-Admins benötigt elevation, um Ihre Rechte auszunutzen.
d.h. es gibt keine Möglichkeit bei der ich eine Gruppe mit 8 Mitgliedern berechtigen kann, anstelle von den 8 Benutzern direkt?
Muss doch aber irgendwie machbar sein
Muss doch aber irgendwie machbar sein
"es gibt keine Möglichkeit bei der ich eine Gruppe mit 8 Mitgliedern berechtigen kann, anstelle von den 8 Benutzern direkt?" - doch. Aber die Gruppe Domänenadmins eben gerade nicht, denn - wie wiederholt gesagt - wird die von der UAC beschränkt - andere Gruppen nicht.
Soll heißen: Packe die 8 Domänen-Admin (8 ?!!) in eine extra Gruppe. Benutze diese Gruppe für Berechtigungen. Noch besser: AGDLP.
