6
Lokale Gruppe vs Effektive Berechtigungen
Hi zusammen,
habe nix zu folgendem problem gefunden.
Server W2k3 oder 2000k.
Neue lokale Gruppe angelegt
LG-Entwickler-RW
Benutzer der Gruppe hinzugefügt:
domain/herbert
domain/markus
Ordner mit Freigabe angelegt (Freigabename "entwickler"):
D:\freigabe
Freigabeberechtigungen: Jeder vollzugriff.
Sicherheit: Administratoren Vollzugriff, LG-Entwickler-RW RW Zugriff.
Jetzt greife ich von meinem PC aus auf die Freigabe zu:
\\servername\entwickler
und zeige mir die berechtigungen an.
Ich sehe 2 Gruppen:
Administratoren und LG_Entwickler-RW
Jetzt checke ich Effektive Berechtigungen dieser Freigabe (Von meinem PC aus über SMB)
für Benutzer domain/herbert keine berechtigungen.
für Benutzer domain/markus keine berechtigungen.
In wirklichkeit HAT er aber berechtigungen.
Wenn ich den "Effektive Berechtigungen" check auf dem Server (RDP) ausführe, wird alles korrekt angezeigt.
Ist das ein Bug im SMB? oder warum kann er die effektiven Berechtigungen von Benutzern in lokalen Gruppen nicht auflösen?
Thx für eure Meinungen
Gruß
Manuel
habe nix zu folgendem problem gefunden.
Server W2k3 oder 2000k.
Neue lokale Gruppe angelegt
LG-Entwickler-RW
Benutzer der Gruppe hinzugefügt:
domain/herbert
domain/markus
Ordner mit Freigabe angelegt (Freigabename "entwickler"):
D:\freigabe
Freigabeberechtigungen: Jeder vollzugriff.
Sicherheit: Administratoren Vollzugriff, LG-Entwickler-RW RW Zugriff.
Jetzt greife ich von meinem PC aus auf die Freigabe zu:
\\servername\entwickler
und zeige mir die berechtigungen an.
Ich sehe 2 Gruppen:
Administratoren und LG_Entwickler-RW
Jetzt checke ich Effektive Berechtigungen dieser Freigabe (Von meinem PC aus über SMB)
für Benutzer domain/herbert keine berechtigungen.
für Benutzer domain/markus keine berechtigungen.
In wirklichkeit HAT er aber berechtigungen.
Wenn ich den "Effektive Berechtigungen" check auf dem Server (RDP) ausführe, wird alles korrekt angezeigt.
Ist das ein Bug im SMB? oder warum kann er die effektiven Berechtigungen von Benutzern in lokalen Gruppen nicht auflösen?
Thx für eure Meinungen
Gruß
Manuel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 78294
Url: https://administrator.de/contentid/78294
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
6 Kommentare
Neuester Kommentar
Freigabe ist i.O.
Eine Lokale Domänengruppe berechtigst Du auf die Ressource.
Eine Globale Domänengruppe (Security) ist Member der Lokalen Domänengruppe und hat als Mitglieder Domänenbenutzer.
Die effektiven Berechtigungen können wahrscheinlich nicht korrekt angezeigt werden, weil die Gruppenverschachtelungen nicht korrekt sind.
Eine Lokale Domänengruppe berechtigst Du auf die Ressource.
Eine Globale Domänengruppe (Security) ist Member der Lokalen Domänengruppe und hat als Mitglieder Domänenbenutzer.
Die effektiven Berechtigungen können wahrscheinlich nicht korrekt angezeigt werden, weil die Gruppenverschachtelungen nicht korrekt sind.
Hi Rubberduck,
die gruppenverschachtelungen sind korrekt.
Diese sind hier aber nicht das Thema.
Teste doch bitte mal folgendes bei dir:
lege einen Ordner an (d:\test)
Gib in frei.
nimm irgendeinen Benutzer in die Standardgruppe "lokale Admins" rein. (domain/user1)
Jetzt von deinem PC aus rechte eigenschaften vom share -> sicherheit->erweitert->effektive berechtigungen, User: domain/user1.
Erwartest du das er dir anzeigt das user1 volle rechte an diesem ordner hat?
Ich ja, hat er auch, aber anzeigen tut er es nicht.
Gruß
Manuel
die gruppenverschachtelungen sind korrekt.
Diese sind hier aber nicht das Thema.
Teste doch bitte mal folgendes bei dir:
lege einen Ordner an (d:\test)
Gib in frei.
nimm irgendeinen Benutzer in die Standardgruppe "lokale Admins" rein. (domain/user1)
Jetzt von deinem PC aus rechte eigenschaften vom share -> sicherheit->erweitert->effektive berechtigungen, User: domain/user1.
Erwartest du das er dir anzeigt das user1 volle rechte an diesem ordner hat?
Ich ja, hat er auch, aber anzeigen tut er es nicht.
Gruß
Manuel
Sorry, leuchtet mir nicht ein was Du in einer Domäne mit "lokale Admins" versuchst zu machen 
Dass die Gruppenverschachtelungen wirklich korrekt sind...naja. Wenn Du es sagst...
Wenn Du via Domäne Berechtigungen anzeigen willst und diese der Domäne nicht bekannt ist (Berechtigung hast Du ja lokal vergeben) wirst Du diese wahrscheinlich auch nicht sehen.
Aber vielleicht weiss es ja jemand besser?
Dass die Gruppenverschachtelungen wirklich korrekt sind...naja. Wenn Du es sagst...
Wenn Du via Domäne Berechtigungen anzeigen willst und diese der Domäne nicht bekannt ist (Berechtigung hast Du ja lokal vergeben) wirst Du diese wahrscheinlich auch nicht sehen.
Aber vielleicht weiss es ja jemand besser?
Hoi rubberduck,
das ist doch nur ein beispiel.....
du kannst auch jede andere xbelibige lokale gruppe nehmen.
Ich sage nochmal teste es bitte.
Lege auf einem w2k3 server deiner wahl eine lokale gruppe an.
Nimm einen user in diese gruppe auf.
Gib einem freigegebenen ordner diese Gruppe als sicherheit.
Dann teste die effektiven berechtigungen dieser Freigabe von deinem PC aus.
also nicht per RDP oder sonstwas auf dem server, sondern aus der netzwerkumgebung
\\servername\freigabe
rechte maustaste .. usw...
Checke welche berechtigungen dieser user hat.
Das hat alles NIX mit verschachtelten Gruppen zu tun.
So weit bin ich an der stelle nicht.
Nur eine lokale gruppe mit benutzer drin.
Gruß
Manuel
das ist doch nur ein beispiel.....
du kannst auch jede andere xbelibige lokale gruppe nehmen.
Ich sage nochmal teste es bitte.
Lege auf einem w2k3 server deiner wahl eine lokale gruppe an.
Nimm einen user in diese gruppe auf.
Gib einem freigegebenen ordner diese Gruppe als sicherheit.
Dann teste die effektiven berechtigungen dieser Freigabe von deinem PC aus.
also nicht per RDP oder sonstwas auf dem server, sondern aus der netzwerkumgebung
\\servername\freigabe
rechte maustaste .. usw...
Checke welche berechtigungen dieser user hat.
Das hat alles NIX mit verschachtelten Gruppen zu tun.
So weit bin ich an der stelle nicht.
Nur eine lokale gruppe mit benutzer drin.
Gruß
Manuel
Habe es getestet und mit einer lokalen Gruppe geht es __nicht__ (war auch nicht anders zu erwarten...)
Der Grund kann sein, dass dabei kein Kerberos-Token in der Domäne erzeugt wird. Dieses Token/File wird aber benötigt, damit die geforderten Informationen angezeigt werden können.
Ich habe es, wie ich es bereits oben beschrieben habe, nocheinmal getestet.
Siehe da, es funktioniert....Boeh
Versuch Du mal das:
Zur Sicherheit kannst Du neue Benutzer machen, die ausser "Domain Users" keiner anderen Gruppe angehören.
Zur Sicherheit:
Gruppen und User nicht mit compmgmt.msc, sondern mit dsa.msc erstellen.
Der Grund kann sein, dass dabei kein Kerberos-Token in der Domäne erzeugt wird. Dieses Token/File wird aber benötigt, damit die geforderten Informationen angezeigt werden können.
Ich habe es, wie ich es bereits oben beschrieben habe, nocheinmal getestet.
Siehe da, es funktioniert....Boeh
Versuch Du mal das:
1. Freigabe erstellen
2. Mit dsa.msc eine Lokale Domänengruppe erstellen (z.Bsp. L_Test)
3. L_Test via NTFS auf dem Freigabeordner berechtigen
4. Mit dsa.msc eine Globale Domänengruppe erstellen (z.Bsp. G_Test)
5. G_Test zum Mitglied von L_Test machen
6. "Herbert" und/oder "Markus" zu Mitgliedern von G_Test machen
2. Mit dsa.msc eine Lokale Domänengruppe erstellen (z.Bsp. L_Test)
3. L_Test via NTFS auf dem Freigabeordner berechtigen
4. Mit dsa.msc eine Globale Domänengruppe erstellen (z.Bsp. G_Test)
5. G_Test zum Mitglied von L_Test machen
6. "Herbert" und/oder "Markus" zu Mitgliedern von G_Test machen
Zur Sicherheit kannst Du neue Benutzer machen, die ausser "Domain Users" keiner anderen Gruppe angehören.
Zur Sicherheit:
Gruppen und User nicht mit compmgmt.msc, sondern mit dsa.msc erstellen.
Hi Rubberduck,
thx für die Antwort.
Wenn es stimmt, das für diese Anfrage wirklich kein Kerberos Ticket erzeugt wird, ist das die Antwort auf meine Frage.
Mit einer lokalen Domaingroup funktioniert es tatsächlich.
Danke!!
Mit freundlichen Grüßen
Manuel
thx für die Antwort.
Wenn es stimmt, das für diese Anfrage wirklich kein Kerberos Ticket erzeugt wird, ist das die Antwort auf meine Frage.
Mit einer lokalen Domaingroup funktioniert es tatsächlich.
Danke!!
Mit freundlichen Grüßen
Manuel
