Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokale Gruppe vs Effektive Berechtigungen

Mitglied: xymanuel

xymanuel (Level 1) - Jetzt verbinden

16.01.2008, aktualisiert 17.01.2008, 9107 Aufrufe, 6 Kommentare

Hi zusammen,
habe nix zu folgendem problem gefunden.

Server W2k3 oder 2000k.

Neue lokale Gruppe angelegt
LG-Entwickler-RW

Benutzer der Gruppe hinzugefügt:
domain/herbert
domain/markus

Ordner mit Freigabe angelegt (Freigabename "entwickler"):

D:\freigabe

Freigabeberechtigungen: Jeder vollzugriff.
Sicherheit: Administratoren Vollzugriff, LG-Entwickler-RW RW Zugriff.

Jetzt greife ich von meinem PC aus auf die Freigabe zu:

\\servername\entwickler
und zeige mir die berechtigungen an.
Ich sehe 2 Gruppen:
Administratoren und LG_Entwickler-RW

Jetzt checke ich Effektive Berechtigungen dieser Freigabe (Von meinem PC aus über SMB)
für Benutzer domain/herbert keine berechtigungen.
für Benutzer domain/markus keine berechtigungen.

In wirklichkeit HAT er aber berechtigungen.

Wenn ich den "Effektive Berechtigungen" check auf dem Server (RDP) ausführe, wird alles korrekt angezeigt.


Ist das ein Bug im SMB? oder warum kann er die effektiven Berechtigungen von Benutzern in lokalen Gruppen nicht auflösen?

Thx für eure Meinungen

Gruß
Manuel
Mitglied: rubberduck
16.01.2008 um 14:40 Uhr
Freigabe ist i.O.

Eine Lokale Domänengruppe berechtigst Du auf die Ressource.
Eine Globale Domänengruppe (Security) ist Member der Lokalen Domänengruppe und hat als Mitglieder Domänenbenutzer.

Die effektiven Berechtigungen können wahrscheinlich nicht korrekt angezeigt werden, weil die Gruppenverschachtelungen nicht korrekt sind.
Bitte warten ..
Mitglied: xymanuel
16.01.2008 um 14:57 Uhr
Hi Rubberduck,

die gruppenverschachtelungen sind korrekt.
Diese sind hier aber nicht das Thema.

Teste doch bitte mal folgendes bei dir:

lege einen Ordner an (d:\test)
Gib in frei.
nimm irgendeinen Benutzer in die Standardgruppe "lokale Admins" rein. (domain/user1)

Jetzt von deinem PC aus rechte eigenschaften vom share -> sicherheit->erweitert->effektive berechtigungen, User: domain/user1.

Erwartest du das er dir anzeigt das user1 volle rechte an diesem ordner hat?
Ich ja, hat er auch, aber anzeigen tut er es nicht.

Gruß
Manuel
Bitte warten ..
Mitglied: rubberduck
16.01.2008 um 16:35 Uhr
Sorry, leuchtet mir nicht ein was Du in einer Domäne mit "lokale Admins" versuchst zu machen

Dass die Gruppenverschachtelungen wirklich korrekt sind...naja. Wenn Du es sagst...

Wenn Du via Domäne Berechtigungen anzeigen willst und diese der Domäne nicht bekannt ist (Berechtigung hast Du ja lokal vergeben) wirst Du diese wahrscheinlich auch nicht sehen.

Aber vielleicht weiss es ja jemand besser?
Bitte warten ..
Mitglied: xymanuel
16.01.2008 um 16:42 Uhr
Hoi rubberduck,
das ist doch nur ein beispiel.....
du kannst auch jede andere xbelibige lokale gruppe nehmen.

Ich sage nochmal teste es bitte.

Lege auf einem w2k3 server deiner wahl eine lokale gruppe an.
Nimm einen user in diese gruppe auf.
Gib einem freigegebenen ordner diese Gruppe als sicherheit.

Dann teste die effektiven berechtigungen dieser Freigabe von deinem PC aus.
also nicht per RDP oder sonstwas auf dem server, sondern aus der netzwerkumgebung
\\servername\freigabe
rechte maustaste .. usw...
Checke welche berechtigungen dieser user hat.

Das hat alles NIX mit verschachtelten Gruppen zu tun.
So weit bin ich an der stelle nicht.
Nur eine lokale gruppe mit benutzer drin.

Gruß
Manuel
Bitte warten ..
Mitglied: rubberduck
17.01.2008 um 09:07 Uhr
Habe es getestet und mit einer lokalen Gruppe geht es __nicht__ (war auch nicht anders zu erwarten...)
Der Grund kann sein, dass dabei kein Kerberos-Token in der Domäne erzeugt wird. Dieses Token/File wird aber benötigt, damit die geforderten Informationen angezeigt werden können.

Ich habe es, wie ich es bereits oben beschrieben habe, nocheinmal getestet.
Siehe da, es funktioniert....Boeh

Versuch Du mal das:
1. Freigabe erstellen
2. Mit dsa.msc eine Lokale Domänengruppe erstellen (z.Bsp. L_Test)
3. L_Test via NTFS auf dem Freigabeordner berechtigen
4. Mit dsa.msc eine Globale Domänengruppe erstellen (z.Bsp. G_Test)
5. G_Test zum Mitglied von L_Test machen
6. "Herbert" und/oder "Markus" zu Mitgliedern von G_Test machen

Zur Sicherheit kannst Du neue Benutzer machen, die ausser "Domain Users" keiner anderen Gruppe angehören.

Zur Sicherheit:
Gruppen und User nicht mit compmgmt.msc, sondern mit dsa.msc erstellen.
Bitte warten ..
Mitglied: xymanuel
17.01.2008 um 09:33 Uhr
Hi Rubberduck,
thx für die Antwort.
Wenn es stimmt, das für diese Anfrage wirklich kein Kerberos Ticket erzeugt wird, ist das die Antwort auf meine Frage.

Mit einer lokalen Domaingroup funktioniert es tatsächlich.

Danke!!

Mit freundlichen Grüßen

Manuel
Bitte warten ..
Ähnliche Inhalte
Windows Server
Serverplanung - Hosted vs. Lokal
Frage von martin2309Windows Server8 Kommentare

Hallo! Ich muss nächstes Jahr einen Server neu plane, die Hardware kommt in die Jahre und es sind neue ...

Windows Netzwerk
Radius Netzwerk Log effektiv auslesen
gelöst Frage von Herbrich19Windows Netzwerk7 Kommentare

Hallo, Ich bin auf der Suche nach einen Tool mit dem ich die durch das Radius Accounting anfallenden Daten ...

Windows 10

Wie effektiv Windows 10 Upgrade blockieren?

gelöst Frage von dng-altWindows 1015 Kommentare

Hallo zusammen, ich bin ja persönlich sehr gespannt auf das Windows 10-Upgrade. Jetzt habe ich hier aber einige Firmen-Notebooks ...

Windows Server

DFS-Namespace: Nach Einrichtung NTFS-Berechtigung kein Zugriff auf Ordner lokal

Frage von NilsvLehnWindows Server8 Kommentare

Hallo, ich und mein Kollege führen DFS in unserem Unternehmen ein. Wir haben den Namespace angelegt, und die Freigabe ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 1 TagWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 3 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 3 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Temporäre WLAN Verbindung für AD-Login
Frage von Christian.WidauerLAN, WAN, Wireless13 Kommentare

Hallo zusammen, ich weiß leider nicht unter welchem Begriff ich dafür suchen muss, daher habe ich bisher leider nichts ...

LAN, WAN, Wireless
Bekannte Drosselungen bei Providern ?
Frage von HenereLAN, WAN, Wireless11 Kommentare

Servus zusammen, in bereits angefangen, aber ich hoffe dass der Beitrag hier mehr Informationen bringt. Sind Portdrosselungen bzw gezielte ...

Netzwerkmanagement
Server bauen
Frage von JugendringNetzwerkmanagement11 Kommentare

Moin Moin, wir, der Jugendring sind ein ständig wachsender Verein mit vielen Unterprojekten. Da liegt es nah, dass wir ...

DNS
SFTP über DynDNS nicht OK - über ext. IP funktioniert es
gelöst Frage von C.MorgensternDNS10 Kommentare

Hallo zusammen! Ich habe Probleme beim SFTP Zugriff auf eine Linux Maschine vom WAN aus über eine DynDNS Adresse. ...