steffenw94
Goto Top

MMC braucht Adminrechte

Hallo,

folgendes Problem: Wir haben zwei Domänecontroller wo bestimmte Aufgaben delegiert werden.

Auf dem DC01 kann sich der jeweilige Nutzer anmelden und das Active Directory starten ohne Probleme. Auf dem DC02 wird bei selben Einstellungen jedoch ein Adminpasswort verlangt. Die user sollen aber keine Adminrechte bekommen sondern nur im AD arbeiten.

Wo könnte der Fehler liegen? Die Domecontroller sind gespiegelt und haben die selben einstellen, aus irgendwelchen Gründen wird auf dem DC02 ein Admin Passwort gebraucht wenn man ein MMC snap in starten will

Content-ID: 594476

Url: https://administrator.de/contentid/594476

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

emeriks
Lösung emeriks 07.08.2020 um 14:27:29 Uhr
Goto Top
Hi,
  1. ein Nicht-Admin arbeitet überhaupt nicht auf einem DC! Dafür kann man am Client PC das RSAT installieren.
  2. Ist "DC02" überhaupt ein DC oder heißt er bloß so?
  3. DC02 gehört zu selben Domäne wie DC01? Wenn nein: Zur selben Gesamtstruktur? Wenn auch nein: Vertrauensstellung zwischen den Domänen vorhanden?
  4. Wenn auf DC02 diese Abfrage kommt: Was gibt der Benutzer dann da ein? Seine eigenen Anmeldedaten und dann funktionierts oder die Anmeldedaten eines Admins? Falls erstes, dann ist der Benutzer entweder doch Admin oder er hat irgendwelche Privilegien, wie z.B. Sicherungs-Operator. Dann fragt die MMC nach Anmelddaten für die Elevierung. Auch wenn er dann seine eigenen nocheinmal eingibt.

E.
steffenw94
steffenw94 07.08.2020 um 14:51:34 Uhr
Goto Top
Hi

danke für die Antwort.

zu 1.: funktioniert das auch wenn der client nicht in der domäne ist und sich per vpn verbindet? Hintergrund ist dass z.B. Standorte in Asien zugriff benötigen
2. ja ist ein DC
3. ja selbe domäne
4. ja man gibt seine selben Anmeldedaten ein und es geht dann; ich werde die Berechtigungen nochmal checken ... die bessere lösung wäre definitiv RSAT wenn das über VPN machbar ist
Plexi87
Lösung Plexi87 07.08.2020 um 14:54:58 Uhr
Goto Top
Hallo Steffenw94

Für mich klingt das so, als hätte dein Benutzer auf DC1 und DC2 nicht die gleichen Berechtigungen... Offensichtlich...

Ich habe mal folgende zwei Tipps:
1. Prüfe doch mal, ob nicht doch unterschiedliche GPOs auf den Servern angewendet werden, welche Berechtigungen für Benutzer oder Gruppen setzen. In diesem Zusammenhang eben auch die lokalen Gruppenrichtlinien vergleichen.

2. Vergleiche die UAC Einstellungen beider Server... Das kann genau zu solchen Berechtigungsproblemen führen.

Grüsse
Plexi87
emeriks
Lösung emeriks 07.08.2020 um 15:48:22 Uhr
Goto Top
Zitat von @steffenw94:
zu 1.: funktioniert das auch wenn der client nicht in der domäne ist u
Ich glaube nicht. Aber man könnte versuchen, das am Client im CMDKEY zu hinterlegen.
4. ja man gibt seine selben Anmeldedaten ein und es geht dann
Ok, dann tippe ich auf die Privilegien. Entweder direkt erteilt oder durch die Gruppenmitgliedschaft z.B. in "Sicherungs-Operatoren" oder "Server-Operatoren" o.ä.
Was mich da bloß irritiert: Das kann man nicht pro DC einstellen. DC's haben keine eigene lokale Sicherheitsdatenbank sondern "teilen" sich gemeinsam die der Domäne. Insofern müsste es auf beiden gleich auftreten. Vergleiche mal die aktuellen UAC-Einstellungen der beiden DC.