5
NTFS Berechtigungen - Active Directory - Erst nach reboot aktiv?
Hallo,
ich habe ein merkwürdiges Problem mit Freigaben und NTFS-Berechtigungen.
Wenn ich einen Ordner freigebe (z.b. "verkauf") stelle ich bei den Freigabeberechtigungen Jeder mit vollzugriff ein.
Anschließend vergebe ich NTFS Berechtigungen:
1. Die vererbung abschalten (rechte Kopieren)
2. Die Gruppe "verkauf" hinzufügen - Vollzugriff
2. Die Gruppe "users" entfernen.
Und jetzt kann ich mit keinem Benutzer (aus der gruppe Verkauf) auf die Freigabe zugreifen.
Das Seltsame ist, es funktioniert nach einem Reboot des Servers auf dem die Freigabe gemacht wurde. (kann doch nicht sinn und zweck sein das ich jedesmal den Server neustarte nachdem ich die NTFS Berechtigungen geändert habe!?)
Der Domaincontroller ist W2k3 und der server auf dem ich diese Freigabe mache ist ebenfalls w2k3 (aber ein memberserver)
Habt ihr ne Idee wo ich da ansetzen kann? Im eventlog wird nichts protokoliert!
Vielen Dank schon mal!
ich habe ein merkwürdiges Problem mit Freigaben und NTFS-Berechtigungen.
Wenn ich einen Ordner freigebe (z.b. "verkauf") stelle ich bei den Freigabeberechtigungen Jeder mit vollzugriff ein.
Anschließend vergebe ich NTFS Berechtigungen:
1. Die vererbung abschalten (rechte Kopieren)
2. Die Gruppe "verkauf" hinzufügen - Vollzugriff
2. Die Gruppe "users" entfernen.
Und jetzt kann ich mit keinem Benutzer (aus der gruppe Verkauf) auf die Freigabe zugreifen.
Das Seltsame ist, es funktioniert nach einem Reboot des Servers auf dem die Freigabe gemacht wurde. (kann doch nicht sinn und zweck sein das ich jedesmal den Server neustarte nachdem ich die NTFS Berechtigungen geändert habe!?)
Der Domaincontroller ist W2k3 und der server auf dem ich diese Freigabe mache ist ebenfalls w2k3 (aber ein memberserver)
Habt ihr ne Idee wo ich da ansetzen kann? Im eventlog wird nichts protokoliert!
Vielen Dank schon mal!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 137861
Url: https://administrator.de/contentid/137861
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
5 Kommentare
Neuester Kommentar
Klingt eigenartig.
Normalerweise muss man sich nur neu an der Domäne anmelden. Also an den betreffenden Workstations ab und wieder anmelden.
Vielleicht löst das dein Problem auch schon.
LG
Normalerweise muss man sich nur neu an der Domäne anmelden. Also an den betreffenden Workstations ab und wieder anmelden.
Vielleicht löst das dein Problem auch schon.
LG
Ja schon eigenartig. ich habe eben mal versucht die benutzer direkt bei den NTFS berechtigungen einzutragen, dann ist es sofort aktiv.
Und ein erneutes Anmelden an der Workstation bringt nichts.
Und ein erneutes Anmelden an der Workstation bringt nichts.
Das liegt daran das die Gruppenrechte nur beim Anmelden gezogen werden. Du musst also nicht den Server neustarten, sondern die Benutzer müssten sich neu anmelden.
Ich machs so, das ich Gruppen einfach schon ein paar Tage früher anlege und die MItglieder hinzufüge als ich die Gruppe brache. Somit hat dann jeder schon die entsprechenden Gruppenrechte aktualisiert und es gibt keine Probleme.
Eine etwas ausführlichere Erklärung:
Gruppenmitgliedschaften werden nur bei der Anmeldung eines Benutzers ausgewertet.
Das sich Änderungen an der Gruppenmitgliedschaft "online" auswirken ist nicht möglich.
Denn das Access Token wird nur bei der Anmeldung erzeugt und in der laufenden
Benutzersitzung nicht automatisch aktualisiert.
Genauer: Beim Anmelden erzeugt der Client mit Hilfe des Logon DCs ein Access-Token für den Benutzer.
In diesem steht seine richtige SID, die SIDs der SID-History (ab Windows Server 2003) und die SID's aller Gruppen,
in denen der Benutzer Mitgleid ist (direkt oder verschachtelt). Mit diesem Token greift der Benutzer auf Netzwerkressourcen zu.
In den Ressourcen ist ebenfalls die SID eingetragen (die Namen sieht man als Mensch, damit man's leichter hat, zu administrieren).
Die SIDs in den ACLs vergleicht der Server dann mit den SID im Access-Token des Benutzers und gewährt
dem Benutzer dann seinen entsprechenden Zugriff auf die Ressource.
Hoffe ich konnte helfen
Ein Gruß
Sebastian
Ich machs so, das ich Gruppen einfach schon ein paar Tage früher anlege und die MItglieder hinzufüge als ich die Gruppe brache. Somit hat dann jeder schon die entsprechenden Gruppenrechte aktualisiert und es gibt keine Probleme.
Eine etwas ausführlichere Erklärung:
Gruppenmitgliedschaften werden nur bei der Anmeldung eines Benutzers ausgewertet.
Das sich Änderungen an der Gruppenmitgliedschaft "online" auswirken ist nicht möglich.
Denn das Access Token wird nur bei der Anmeldung erzeugt und in der laufenden
Benutzersitzung nicht automatisch aktualisiert.
Genauer: Beim Anmelden erzeugt der Client mit Hilfe des Logon DCs ein Access-Token für den Benutzer.
In diesem steht seine richtige SID, die SIDs der SID-History (ab Windows Server 2003) und die SID's aller Gruppen,
in denen der Benutzer Mitgleid ist (direkt oder verschachtelt). Mit diesem Token greift der Benutzer auf Netzwerkressourcen zu.
In den Ressourcen ist ebenfalls die SID eingetragen (die Namen sieht man als Mensch, damit man's leichter hat, zu administrieren).
Die SIDs in den ACLs vergleicht der Server dann mit den SID im Access-Token des Benutzers und gewährt
dem Benutzer dann seinen entsprechenden Zugriff auf die Ressource.
Hoffe ich konnte helfen
Ein Gruß
Sebastian
Hallo,
ja vielen Dank dir Sebastian. Ich war immer der meinung das da bei mir in dem AD was nicht passt. Aber nach deiner Aussage ist es jetzt klar.
Getreu dem motto its not a bug its a feature!
Vielen Dank nochmal!
ja vielen Dank dir Sebastian. Ich war immer der meinung das da bei mir in dem AD was nicht passt. Aber nach deiner Aussage ist es jetzt klar.
Getreu dem motto its not a bug its a feature!
Vielen Dank nochmal!
Hast du nicht vorher gesagt das ein erneutes Anmelden an der Workstation nichts bringt ?
*verwirrtbin*
*verwirrtbin*
