leex01
Goto Top

NTFS Berechtigungen Win 2016

Hallo,

ich habe das Problem schon mal an einem Windows Server 2012 R2 beobachtet jedoch nicht weiter verfolgt. Jetzt tritt das gleiche bei einem frisch installierten Server 2016 auf. Wenn eine Gruppe auf einen Ordner berechtigt wird hat ein User welcher sich in der Gruppe befindet jedoch keinen Zugriff, erst wenn der User explizit berechtigt wird. In diesem Fall ein Domänenadmin. Kennt jemand das Verhalten und weiß warum das so ist bzw. ob man das abgestellt bekommt?

Danke im Voraus

Content-ID: 451701

Url: https://administrator.de/forum/ntfs-berechtigungen-win-2016-451701.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

emeriks
emeriks 15.05.2019 um 11:03:37 Uhr
Goto Top
Hi,
ich tippe mit 99% Wahrscheinlichkeit auf:

Wenn man einen Benutzer neu einer Gruppe hinzufügt (oder entfernt), dann mus sich der Benutzer erst neu anmelden, damit diese neue Mitgliedschaft für Berechtigungen wirkt.

E.
LeeX01
LeeX01 15.05.2019 um 11:07:22 Uhr
Goto Top
Zitat von @emeriks:

Hi,
ich tippe mit 99% Wahrscheinlichkeit auf:

Wenn man einen Benutzer neu einer Gruppe hinzufügt (oder entfernt), dann mus sich der Benutzer erst neu anmelden, damit diese neue Mitgliedschaft für Berechtigungen wirkt.

E.

Hi Emeriks,

nein der User ist schon immer in dieser Gruppe und das Token damlt ok.

Grüße
emeriks
emeriks 15.05.2019 um 11:35:50 Uhr
Goto Top
Zitat von @LeeX01:
In diesem Fall ein Domänenadmin.
Aber Du hast jetzt nicht eine der Standardgruppen "Administratoren" oder "Domänen-Admins" verwendet?
Denn, falls doch, dann liegt das ganz einfach am UAC.
LeeX01
LeeX01 15.05.2019 aktualisiert um 11:51:25 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @LeeX01:
In diesem Fall ein Domänenadmin.
Aber Du hast jetzt nicht eine der Standardgruppen "Administratoren" oder "Domänen-Admins" verwendet?
Denn, falls doch, dann liegt das ganz einfach am UAC.

doch sind die Standardgruppen, habe die UAC ausgeschaltet aber das Verhalten bleibt. uac am server, so was unnötiges...
Werds mal versuchen mit AGDLP.
emeriks
emeriks 15.05.2019 aktualisiert um 12:08:26 Uhr
Goto Top
Zitat von @LeeX01:
Werds mal versuchen mit AGDLP.
AGDLP ändert nichts, solange da die Standardgruppen verwendet werden.

Entweder
- nicht die Standardgruppen verwenden
- oder statt über die lokalen Laufwerke über \\localhost\c$ (oder anderes Laufwerk) gehen
- oder anderes Programm statt Explorer verwenden
Penny.Cilin
Penny.Cilin 15.05.2019 um 12:08:47 Uhr
Goto Top
Zitat von @LeeX01:

doch sind die Standardgruppen, habe die UAC ausgeschaltet aber das Verhalten bleibt. uac am server, so was unnötiges...
Und UAC ist am Server nicht unnötig. Das hat schon Sinn.
Werds mal versuchen mit AGDLP.
Das nützt Dir auch nichts.

Gruss Penny.
LeeX01
LeeX01 15.05.2019 um 12:13:16 Uhr
Goto Top
AGDLP ändert nichts, solange da die Standardgruppen verwendet werden.

heißt selbst wenn ich die schachtele geht es nicht? dann muss ich eine neue Gruppe mit den gleichen Personen anlegen und dnn immer doppelt pflegen? Na hura!
LeeX01
LeeX01 15.05.2019 um 12:18:34 Uhr
Goto Top
Und UAC ist am Server nicht unnötig. Das hat schon Sinn.

Der Sinn erschließt sich mir nicht ganz. Auf Server kommen nur Admins die sollten wissen was sie tun. User kommen da nicht hin. Irgendwelche Software oder Webinhalte die schaden anrichten können kommt da nicht drauf.
emeriks
emeriks 15.05.2019 um 12:31:37 Uhr
Goto Top
Zitat von @LeeX01:
Auf Server kommen nur Admins die sollten wissen was sie tun.
Erstens schreibst Du selbst: "sollten"
Zweitens ist es ja gerade für Admins, die wissen was sie tun. Denn wenn sich das UAC da unerwartet meldet, dann bekommt der Admin es mit, dass da seine Privilegien angefordert wurden.
LeeX01
LeeX01 15.05.2019 um 13:11:52 Uhr
Goto Top
Erstens schreibst Du selbst: "sollten"
Zweitens ist es ja gerade für Admins, die wissen was sie tun. Denn wenn sich das UAC da unerwartet meldet, dann bekommt der Admin es mit, dass da seine Privilegien angefordert wurden.

Im Clientbereich würde ich euch da vollkommen zustimmen auch weil es fremdgetriggt sein kann. Aber ich behaupte einfach mal wenn ein Admin nicht weiß was er tut, hilft die UAC auch nicht mehr weil er die dann einfach weg klickt. face-smile In nem anderen Thread hat es jemand schon schön geschrieben, das Problem ist das meist jemand der eine andere Hauptaufgabe hat so nebenbei auch IT macht / machen muss.
Mich nervt das Ding im Serverbereich eher weil es mich behindert. BItte nicht persönlich nehmen, das ist nur meine Auffassung/Erfahrung dazu.

Vielen Dank an euch für die Hilfe!
Beste Grüße
emeriks
emeriks 15.05.2019 um 13:15:41 Uhr
Goto Top
Zitat von @LeeX01:
BItte nicht persönlich nehmen
Warum sollte ich?
Aber, wenn Dich sowas schon nervt ... face-wink
LeeX01
LeeX01 15.05.2019 um 13:19:46 Uhr
Goto Top
Schreibe ich nur gerne dazu weil manche Menschen fühlen sich leicht angegriffen wenn man nicht bei allem die selbe Meinung teilt.

Stell dir mal vor der Schlagschrauber würde den Mechaniker bei jeder Benutzung dazu auffordern zu bestätigen das mit der Benutzung Veränderungen vorgenommen werden und die zu Schäden führen können. Der wäre sicher auch genervt. face-wink
emeriks
emeriks 15.05.2019 aktualisiert um 13:57:52 Uhr
Goto Top
Zitat von @LeeX01:
Stell dir mal vor der Schlagschrauber würde den Mechaniker bei jeder Benutzung dazu auffordern zu bestätigen das mit der Benutzung Veränderungen vorgenommen werden und die zu Schäden führen können. Der wäre sicher auch genervt. face-wink
Ich denke, dieser Vergleich hingt.
Eher so:
Stell dir mal vor, den Mechaniker betätigt den Schalter eines Schlagschraubers, um die Schrauben eines Rads anzuziehen. Dabei kommt dann eine Meldung "Recht angefordert zum Ausbauen der Bremse". Würde der Mechaniker das erwarten? Und wenn nein, wäre er dann nicht froh, dass diese Meldung gekommen ist?
Wenn Du als Admin ein Programm startest, von welchem Du der Meinung bist, dass es keine Änderungen am HKCU und/oder den Systemdateien vornimmt, und beim Start kommt unerwartet die UAC-Meldung, dann weißt Du, dass da etwas anders ist als von dem Du ausgegangen bist.

E.
Penny.Cilin
Penny.Cilin 15.05.2019 um 13:52:25 Uhr
Goto Top
Zitat von @LeeX01:

Erstens schreibst Du selbst: "sollten"
Zweitens ist es ja gerade für Admins, die wissen was sie tun. Denn wenn sich das UAC da unerwartet meldet, dann bekommt der Admin es mit, dass da seine Privilegien angefordert wurden.

Im Clientbereich würde ich euch da vollkommen zustimmen auch weil es fremdgetriggt sein kann. Aber ich behaupte einfach mal wenn ein Admin nicht weiß was er tut, hilft die UAC auch nicht mehr weil er die dann einfach weg klickt. face-smile
Nun dann jhat der Admin seinen Job verfehlt.
In nem anderen Thread hat es jemand schon schön geschrieben, das Problem ist das meist jemand der eine andere Hauptaufgabe hat so nebenbei auch IT macht / machen muss.
Mich nervt das Ding im Serverbereich eher weil es mich behindert.
Du musst/solltest/darfst von Dir nicht auf andere schliessen. Jeder macht es anders. Ich jedenfalls schaue genau hin, wenn die UAC aufpoppt, was da steht.
BItte nicht persönlich nehmen, das ist nur meine Auffassung/Erfahrung dazu.
Das ist Deine Ansicht/Auffassung/Erfahrung. Und wie @emeriks schon geschrieben hat: Wenn Dich sowas schon nervt... face-wink

Vielen Dank an euch für die Hilfe!
Beste Grüße
Gruss Penny.