138628
25.01.2019, aktualisiert am 09.09.2022
18970
15
0
Ordnerberechtigungen von Gruppen in AD nicht wirksam für zugewiesene benutzer
Hallo,
auf meinem Windows Server 2016 funktionieren keine Gruppenberechtigungen für die einzelnen Ordner.
Ich erstelle ein Grp in der AD und füge Mitglieder hinzu.
Dann gehe ich bei dem betreffenenden Ordner auch Eigenschaften-> Sicherheit-> füge die Grp hinzu inkl Vollzugriff. Leider erhalten Mitglieder der Grp keine Berechtigungen für diesen Ordner -> Zugriff verweigert.
Gebe ich jedem einzelnen Benutzer Berechtigungen (identisch wie bei der Grp) funktioniert es einwandfrei.. bis Jetzt sind es nur 15 User und 14 Ordner, bald wird es unübersichtlich
Kann mir jemand helfen?
Danke im Voraus.
Gruß
auf meinem Windows Server 2016 funktionieren keine Gruppenberechtigungen für die einzelnen Ordner.
Ich erstelle ein Grp in der AD und füge Mitglieder hinzu.
Dann gehe ich bei dem betreffenenden Ordner auch Eigenschaften-> Sicherheit-> füge die Grp hinzu inkl Vollzugriff. Leider erhalten Mitglieder der Grp keine Berechtigungen für diesen Ordner -> Zugriff verweigert.
Gebe ich jedem einzelnen Benutzer Berechtigungen (identisch wie bei der Grp) funktioniert es einwandfrei.. bis Jetzt sind es nur 15 User und 14 Ordner, bald wird es unübersichtlich
Kann mir jemand helfen?
Danke im Voraus.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399407
Url: https://administrator.de/contentid/399407
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
15 Kommentare
Neuester Kommentar
Hallo Matzno,
starte mal den PC des Users neu oder führe einmal gpupdate /force aus.
der User weiß noch nicht, dass er zu der Gruppe gehört.
Spätestens nach dem Neustart sollte der Zugriff funktionieren.
starte mal den PC des Users neu oder führe einmal gpupdate /force aus.
der User weiß noch nicht, dass er zu der Gruppe gehört.
Spätestens nach dem Neustart sollte der Zugriff funktionieren.
Hi,
Benutzer mal ab und wieder angemeldet?
Grüße
Benutzer mal ab und wieder angemeldet?
Grüße
Ich habe alle Benutzer schon an und abgemeldet, den Server hatte ich auch schon mal rebootet , ich dachte mir Reboot tut gut, hat bei den Drucker Druckerverbindungen mit SMB z.b. geklappt.
Hi,
Ein "gpupdate /force" führt nicht dazu, dass die Gruppenmitgliedschaft aktualisiert wird. Aber ein "klist purge" würde es tun.
E.
Edit:
Und man muss noch beachten:
Wenn man den Benutzer nicht neu anmeldet, und man auf den FS zugreift, die Gruppenmitgliedschaft ändert, und wieder auf den FS zugreift, und das alles innerhalb von 15 min, dass dann die Sitzung auf dem FS nicht erneuert wurde, sprich der FS (!) nicht mitbekommen hat, dass der Benutzer eine geänderte Gruppenmitgliedsdchaft hat. Also entweder - wie schon gesagt - Benutzer komplett neu anmelden, oder nur ein "klist purge" und auf dem FS die Sitzung dieses Benutzers trennen (unter Computerverwaltung --> Freigegebene Ordner --> Sitzungen).
Ein "gpupdate /force" führt nicht dazu, dass die Gruppenmitgliedschaft aktualisiert wird. Aber ein "klist purge" würde es tun.
E.
Edit:
Und man muss noch beachten:
Wenn man den Benutzer nicht neu anmeldet, und man auf den FS zugreift, die Gruppenmitgliedschaft ändert, und wieder auf den FS zugreift, und das alles innerhalb von 15 min, dass dann die Sitzung auf dem FS nicht erneuert wurde, sprich der FS (!) nicht mitbekommen hat, dass der Benutzer eine geänderte Gruppenmitgliedsdchaft hat. Also entweder - wie schon gesagt - Benutzer komplett neu anmelden, oder nur ein "klist purge" und auf dem FS die Sitzung dieses Benutzers trennen (unter Computerverwaltung --> Freigegebene Ordner --> Sitzungen).
Von wo aus hast Du die Berechtigungen geändert? Vom Client aus oder unter einer Anmeldung direkt am Fileserver?
Melde Dich mal am Fileserver an (z.B. über RDP) und schaue dann in die ACL eines Ordners. Wird der Name der neuen Gruppe dabei aufgelöst?
Wenn nein, dann hat der Fileserver vielleicht ein Problem mit der Domäne.
Hast Du mehrere DC? Wenn ja: Replikation OK? Verbinde mal die MMC explizt je mit einem der DC und schaue, ob dieser die neue Gruppe anzeigt.
Melde Dich mal am Fileserver an (z.B. über RDP) und schaue dann in die ACL eines Ordners. Wird der Name der neuen Gruppe dabei aufgelöst?
Wenn nein, dann hat der Fileserver vielleicht ein Problem mit der Domäne.
Hast Du mehrere DC? Wenn ja: Replikation OK? Verbinde mal die MMC explizt je mit einem der DC und schaue, ob dieser die neue Gruppe anzeigt.
Die Berechtigungen wurden direkt auf den Fileserver geändert, auf dem Laufwerk und dann direkt auf dem Ordner.
Ich werde mir mal die ACL des Ordners anschauen , in den Sicherheitseinstellungen und in der Active Directory Benutzer und Gruppen Übersicht ist auf jeden Fall ist korrekt zugewiesen.
Heute und morgen kann ich aber jetzt nicht mehr an dem Server arbeiten, es findet eine Schulung inhouse statt. Wahrscheinlich werde ich Montag die Möglichkeit des ACL begutachten können.
Alle Computer wurde neu gestartet, die Benutzer ordnungsgemäß abgemeldet.
Auch wenn ich Benutzer der Administratorengruppe z.b. eine Zuweisung gebe dann ist der Dateiordner, welcher freigeben wurde immer noch nicht mit Vollzugriff wie es sein sollte freigegeben für den Nutzer.
Es ist nur ein domain controller in Nutzung, es ist nur einmal SRVSQL und SRVDC eingerichtet
Ich werde mir mal die ACL des Ordners anschauen , in den Sicherheitseinstellungen und in der Active Directory Benutzer und Gruppen Übersicht ist auf jeden Fall ist korrekt zugewiesen.
Heute und morgen kann ich aber jetzt nicht mehr an dem Server arbeiten, es findet eine Schulung inhouse statt. Wahrscheinlich werde ich Montag die Möglichkeit des ACL begutachten können.
Alle Computer wurde neu gestartet, die Benutzer ordnungsgemäß abgemeldet.
Auch wenn ich Benutzer der Administratorengruppe z.b. eine Zuweisung gebe dann ist der Dateiordner, welcher freigeben wurde immer noch nicht mit Vollzugriff wie es sein sollte freigegeben für den Nutzer.
Es ist nur ein domain controller in Nutzung, es ist nur einmal SRVSQL und SRVDC eingerichtet
Kann es sein, dass die Freigabe selbst nur "Jeder - lesen" eingestragen hat? Das wäre ja die Standardeinstellung.
komischerweise habe ich bei den Einstellungen "jeder" unter "freigabe", einen Vollzugriff erlaubt. Dadurch musste ich auch jeden einzelnen Benutzer die Zugriffe verweigern wenn es nicht erwünscht ist. Das bedeutet jeder Benutzer ist mit Zugriffen und Verweigerungen in den Sicherheitsstellungen verwiesen.
Zitat von @138628:
komischerweise habe ich bei den Einstellungen "jeder" unter "freigabe", einen Vollzugriff erlaubt. Dadurch musste ich auch jeden einzelnen Benutzer die Zugriffe verweigern wenn es nicht erwünscht ist. Das bedeutet jeder Benutzer ist mit Zugriffen und Verweigerungen in den Sicherheitsstellungen verwiesen.
Was, wie, wo? Kann es sein, dass Du jetzt komplett den Überblick verloren hast?komischerweise habe ich bei den Einstellungen "jeder" unter "freigabe", einen Vollzugriff erlaubt. Dadurch musste ich auch jeden einzelnen Benutzer die Zugriffe verweigern wenn es nicht erwünscht ist. Das bedeutet jeder Benutzer ist mit Zugriffen und Verweigerungen in den Sicherheitsstellungen verwiesen.
Ich denke, Du solltest hier mal ein konkretes Bsp. darstellen. Ordnerstruktur, Freigabe und welche Berechtigungen Du wo eingetragen hast. Alles andere würde nur ein Stochern im Dunkeln sein.
Okay, es gibt z.b. einen Ordner mit "sonstiges. Auf diesen Ordner "sonstiges" sollte eine spezielle Benutzergruppe Zugriff haben. Deswegen wurden einzelne Benutzer von mir dieser Benutzergruppe zugeordnet, diese Benutzergruppe hat einen Vollzugriff für den Ordner "sonstiges" erteilt bekommen , unter dem Menüpunkt Sicherheit.
Die allgemeine Freigabe (Eigenschaften ->Freigabe) für den Ordner unter "jeder", ist ebenfalls für Lesen und Schreiben freigegeben.
Leider hat kein Benutzer der in dieser speziellen Benutzergruppe hinzugefügt wurde einen Zugriff auf den Ordner, obwohl der Vollzugriff der sspeziellen Gruppe zugewiesen wurde.
Wähle ich jefoch Benutzer einzeln aus und vergebe Berechtigungen, wie z.b. Vollzugriff für diesen einen Ordner. Sind diese wirksam, ganz ohne extra Gruppe.
Gleicher Prozess der Vergabe von Berechtigungen. Funktioniert bei Benutzern aber nicht bei Gruppen..
Die allgemeine Freigabe (Eigenschaften ->Freigabe) für den Ordner unter "jeder", ist ebenfalls für Lesen und Schreiben freigegeben.
Leider hat kein Benutzer der in dieser speziellen Benutzergruppe hinzugefügt wurde einen Zugriff auf den Ordner, obwohl der Vollzugriff der sspeziellen Gruppe zugewiesen wurde.
Wähle ich jefoch Benutzer einzeln aus und vergebe Berechtigungen, wie z.b. Vollzugriff für diesen einen Ordner. Sind diese wirksam, ganz ohne extra Gruppe.
Gleicher Prozess der Vergabe von Berechtigungen. Funktioniert bei Benutzern aber nicht bei Gruppen..
Spätestens Montag werde ich Bildmaterial dazu haben..
N'Abend.
Hast du auch eine Sicherheitsgruppe erstellt? Keine Verteilergruppe?
Poste doch mal nen Screenshot von den Eigenschaften der Gruppe.
Und "Verweigern" verwendet man bestenfalls gar nicht; für eine Standardfreigabe, wie von dir geschildert, jedenfalls definitiv nicht.
Cheers,
jsysde
Hast du auch eine Sicherheitsgruppe erstellt? Keine Verteilergruppe?
Poste doch mal nen Screenshot von den Eigenschaften der Gruppe.
Und "Verweigern" verwendet man bestenfalls gar nicht; für eine Standardfreigabe, wie von dir geschildert, jedenfalls definitiv nicht.
Cheers,
jsysde
@matzno
Sorry. Was soll, ist jetzt irrelevant. Nur was ist, hilft uns hier weiter.
Das Du beschreibst
Sorry. Was soll, ist jetzt irrelevant. Nur was ist, hilft uns hier weiter.
Das Du beschreibst
Funktioniert bei Benutzern aber nicht bei Gruppen
ist nun mal sehr seltsam und liegt in 100% der Fälle entweder an handwerklichen Fehlern oder an Störungen in der Domäne. Entweder Replikation der DC oder Kommunikation der Member mit den DC's.
Hallo zusammen,
Nach einem zweiten Neustart habe ich alles noch einmal erstellt (Sicherheitsgruppen und Freigaben der Sicherheitsgruppen)
Jetzt scheint alles zu funktionieren.
Sorry für eure leider verschenkte Zeit und vielen Dank für alle Lösungsansätze.
Jetzt war alles wie im Buch:
Benutzer den Sicherheitsgruppen hinzugefügt (Rechtsklick einer Gruppe zuweisen).
Berechtigungen der Sicherheitsgruppen auf die Netzwerkordner erteilen.
Ich kann mir nicht erklären warum es am zweiten Neustart lag.
danke nochmal
Nach einem zweiten Neustart habe ich alles noch einmal erstellt (Sicherheitsgruppen und Freigaben der Sicherheitsgruppen)
Jetzt scheint alles zu funktionieren.
Sorry für eure leider verschenkte Zeit und vielen Dank für alle Lösungsansätze.
Jetzt war alles wie im Buch:
Benutzer den Sicherheitsgruppen hinzugefügt (Rechtsklick einer Gruppe zuweisen).
Berechtigungen der Sicherheitsgruppen auf die Netzwerkordner erteilen.
Ich kann mir nicht erklären warum es am zweiten Neustart lag.
danke nochmal
Zitat von @138628:
Ich kann mir nicht erklären warum es am zweiten Neustart lag.
98% aller Fehler am Computer sitzen davor. Ich kann mir nicht erklären warum es am zweiten Neustart lag.
