Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Rechtevergabe für Administrator auf Domaincontroller vs UAC

Mitglied: Aubanan

Aubanan (Level 1) - Jetzt verbinden

14.09.2020 um 01:13 Uhr, 457 Aufrufe, 11 Kommentare

Hallo zusammen,

ein Windows Server 2016 dient als Domaincontroller und Fileserver.
Der Ordner D:\Projekte ist im LAN freigegeben.
In diesem Ordner sind Unterordner Projekt1, Projekt2, Projekt3.
Im AD gibt es entsprechend Gruppen grp_Projekt1, grp_Projekt2, grp_Projekt3.
Die User sollen entsprechend der Gruppenzugehörigkeit Zugriff auf die Ordner haben.
Die Gruppen sind jeweils in den Sicherheitseinstellungen der Ordner mit Recht "Ändern" eingetragen.
Die Gruppe "Benutzer" hat per Default Rechte zum Lesen und Ausführen auf D: und durch Vererbung auch in ALLEN Projekt- & Unter-Ordnern.
Die Gruppe der "Domain-Benutzer" ist per Default auch Mitglied der Gruppe "Benutzer" und die User haben somit alle Zugriff auf ALLE Projekt-Ordner.
Das ist nicht im Sinne des Erfinders.
Die Gruppe "Benutzer" aus den Rechten von D:\zu entfernen bringt die gewünschten Zugriffsrechte bzw. Einschränkungen für die User.
Soweit so gut.
Zum Administrieren des Servers wurde ein User Dadmin angelegt und in die Gruppe der Domain-Admins und Administratoren aufgenommen.
Sobald die Gruppe der "Benutzer" aus den Rechten von D:\ entfernt wird, hat auch der Dadmin keinen Zugriff mehr.
Das ist offenbar der UAC geschuldet, wordurch auch selbstangelegte Admins im User-Kontext arbeitet.
Herunterstufen der UAC auf "Nie benachrichtigen" reicht nicht aus.
Jetzt gibt es Hinweise, per GPO in den Sicherheitsoptionen "Alle Administratoren im Administratorgenehmigungsmodus ausführen" zu deaktivieren.
Wäre das hier der empfohlene Weg, damit der Dadmin immer mit vollen rechten Arbeiten kann - Die User aber nicht auf alle Ordner Zugriff haben?

Danke für sachdienliche Hinweise
Mitglied: lcer00
14.09.2020 um 07:27 Uhr
Hallo,

Das hat mit der UAC nichts zu tun. Nimm den Admin in die Domain-Benutzer Gruppe auf oder vergib das Recht halt auf anderem Wege explizit.

Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.

Grüße

lcer
Bitte warten ..
Mitglied: Looser27
14.09.2020 um 08:00 Uhr
Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.

Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......
Bitte warten ..
Mitglied: Dr.Bit
14.09.2020, aktualisiert um 08:20 Uhr
Zitat von Aubanan:

Hallo zusammen,

ein Windows Server 2016 dient als Domaincontroller und Fileserver.
Der Ordner D:\Projekte ist im LAN freigegeben.
In diesem Ordner sind Unterordner Projekt1, Projekt2, Projekt3.
Im AD gibt es entsprechend Gruppen grp_Projekt1, grp_Projekt2, grp_Projekt3.
Die User sollen entsprechend der Gruppenzugehörigkeit Zugriff auf die Ordner haben.
Die Gruppen sind jeweils in den Sicherheitseinstellungen der Ordner mit Recht "Ändern" eingetragen.
Die Gruppe "Benutzer" hat per Default Rechte zum Lesen und Ausführen auf D: und durch Vererbung auch in ALLEN Projekt- & Unter-Ordnern.
Die Gruppe der "Domain-Benutzer" ist per Default auch Mitglied der Gruppe "Benutzer" und die User haben somit alle Zugriff auf ALLE Projekt-Ordner.
Das ist nicht im Sinne des Erfinders.
Die Gruppe "Benutzer" aus den Rechten von D:\zu entfernen bringt die gewünschten Zugriffsrechte bzw. Einschränkungen für die User.
Soweit so gut.
Zum Administrieren des Servers wurde ein User Dadmin angelegt und in die Gruppe der Domain-Admins und Administratoren aufgenommen.
Sobald die Gruppe der "Benutzer" aus den Rechten von D:\ entfernt wird, hat auch der Dadmin keinen Zugriff mehr.
Das ist offenbar der UAC geschuldet, wordurch auch selbstangelegte Admins im User-Kontext arbeitet.
Herunterstufen der UAC auf "Nie benachrichtigen" reicht nicht aus.
Jetzt gibt es Hinweise, per GPO in den Sicherheitsoptionen "Alle Administratoren im Administratorgenehmigungsmodus ausführen" zu deaktivieren.
Wäre das hier der empfohlene Weg, damit der Dadmin immer mit vollen rechten Arbeiten kann - Die User aber nicht auf alle Ordner Zugriff haben?

Danke für sachdienliche Hinweise

Ich verstehe das Problem nicht so ganz. Für mich stellt es sich so dar, als wenn Deine Berechtigungsstruktur etwas undurchdacht ist. Übernehme den Besitz auf alle Ordner und Dateien auf den Freigaben und passe sie dann den Anforderungen an. Dann hat der Domänenadmin (so der denn den Besitz übernimmt) auf alles Zugriff und die Benutzer nur auf das, was Du explizit freigegeben hast.


Zitat von Looser27:

Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......

Richtig. Soll, im Idealfall, aber nicht so sein.

🖖
Bitte warten ..
Mitglied: lcer00
14.09.2020 um 09:30 Uhr
Zitat von Looser27:

Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.

Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......
Von SBS hat der TO nichts geschrieben.

Grüße

lcer
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 14.09.2020 um 09:56 Uhr
Hi.

Ja, ist wegen der UAC so.
Best practice ist, eine Gruppe Fileserveradmins zu erstellen und der Gruppe Vollzugriff zu geben. In diese Gruppe packst Du namentlich alle erforderlichen Admins rein. Nicht etwa die Gruppe Domänenadmins, sondern die einzelnen User.

PS: es ist naheliegend, einen DC zum Fileserver zu machen, da er die Rolle eh schon hat. Jeder DC ist automatisch Fileserver, da er die Freigabe Sysvol serviert. Ob man den DC so nutzen will, muss jeder selbst entscheiden. Unsicherer macht es den DC nicht.
Bitte warten ..
Mitglied: Ad39min
14.09.2020, aktualisiert um 12:58 Uhr
Zitat von DerWoWusste:
PS: es ist naheliegend, einen DC zum Fileserver zu machen, da er die Rolle eh schon hat. Jeder DC ist automatisch Fileserver, da er die Freigabe Sysvol serviert.

Ja, und am Besten wirft man gleich alle wichtigen Dateien ins Sysvol, weil dieses ja auf allen DCs repliziert wird

Ob man den DC so nutzen will, muss jeder selbst entscheiden. Unsicherer macht es den DC nicht.

Nö, kein Stück unsicherer Die Nutzer werden mit den E-Mail-Anhängen die sie künftig auf den Domänencontrollern ablegen effektiv zur Sicherheit der Domäne beitragen.
Bitte warten ..
Mitglied: DerWoWusste
14.09.2020, aktualisiert um 13:00 Uhr
Hallo Ad39min.

Die Nutzer werden mit den E-Mail-Anhängen die sie künftig auf den Domänencontrollern ablegen effektiv zur Sicherheit beitragen.
Wenn Du meinst, dass Du als Admin in Verlockung gerätst, die schädlichen E-Mailanhänge auszuführen, wenn am DC angemeldet, dann gebe ich Dir Recht, andernfalls ist das wumpe und das weißt Du vermutlich auch. Nein, wir selber machen das nicht so ich weise lediglich darauf hin, dass die Fileserverrolle bereits da ist und das keine Angriffsvektoren hinzukommen, wenn man den DC als Fileserver nutzt. Wenn Du anderer Meinung bist, dann schreib auf, welche Angriffe dadurch nun möglich werden. Solltest Du wirklich auf DFS hinauswollen, da dieses ja Dateien liest und repliziert, dann geb ich dir Recht: man sollte zumindest die DFS-Freigaben auf dem DC nicht von Usern nutzen lassen (was sie per default auch nicht sind).
Bitte warten ..
Mitglied: Aubanan
15.09.2020 um 00:50 Uhr
Danke für eure Posts. Da scheint es ja doch noch etwas unterschiedliche Meinungen zu geben
Mein Problem ist, und damit hatten wohl auch schon andere zu tun, dass
1. auf einem DC keine lokalen Konten möglich sind.
2. mein selbst angelegter Dadmin trotz Mitglied in der Gruppe der Administratoren und Domain-Admins grundsätzlich auf dem DC im User Kontext arbeitet, solange nicht ausdrücklich elevated wird, was beim Explorer schwer fällt, da der eh ständig an ist.

Den Dadmin in die Gruppe der Domain-User zu packen, hilft mir nichts. Die Domain-User sollen ja genau keinen allumfänglichen Zugriff auf die Platte haben. Der Dadmin aber schon.

Eine Gruppe grp_FSadmins anzulegen reicht alleine auch nicht, da 2. immer noch besteht. Ist aber schonmal ein Ansatz.
Zusätzlich müsste die UAC deaktivert werden - soweit ich das sehe.

Die sauberste Lösung scheint tatsächlich zu sein, einen separaten Filserver zu installieren. Dort den Admin mit dem Adminstriert wird, in die Gruppe der lokalen Admins aufnehmen.
Dann würde ich aber auch gerne den Filserver als (früher hätte man gesagt) BDC laufen lassen. Oder bringt mir das dann wieder die gleichen Probleme insbesondere 1.?
Bitte warten ..
Mitglied: DerWoWusste
15.09.2020 um 08:44 Uhr
Eine Gruppe grp_FSadmins anzulegen reicht alleine auch nicht, da 2.immer noch besteht...
Doch, das reicht. Du vergisst vermutlich den Nutzer neu anzumelden, damit die Gruppenmitgliedschaft neu eingelesen wird.
Die sauberste Lösung scheint tatsächlich zu sein, einen separaten Filserver zu installieren.
Ja, wenn ihr einen zweiten Server wollt, ist das natürlich besser.
Dort den Admin mit dem Adminstriert wird, in die Gruppe der lokalen Admins aufnehmen.
Nein, das bringt keinen Erfolg, selbes "Problem".
Bitte warten ..
Mitglied: C.R.S.
15.09.2020 um 12:54 Uhr
Zitat von DerWoWusste:

Nein, wir selber machen das nicht so ich weise lediglich darauf hin, dass die Fileserverrolle bereits da ist und das keine Angriffsvektoren hinzukommen, wenn man den DC als Fileserver nutzt. Wenn Du anderer Meinung bist, dann schreib auf, welche Angriffe dadurch nun möglich werden.

Alle Angriffe, die auf dem automatisierten Parsen der dort abgelegten Dateien beruhen, z.B. gegen ntfs.sys, Explorer.exe und Defender.

Grüße
Richard
Bitte warten ..
Mitglied: DerWoWusste
15.09.2020, aktualisiert um 15:07 Uhr
Alle Angriffe, die auf dem automatisierten Parsen der dort abgelegten Dateien beruhen, z.B. gegen ntfs.sys, Explorer.exe und Defender.
So ist es. Nun sind das aber eher Spezialangriffe, die bei Firmen, die so klein sind, dass sie überhaupt in die Verlegenheit kommen, DC und Fileserver zusammenzulegen, wahrscheinlich in der Gemengelage der Sicherheitsrisiken unter "ferner liefen" rangieren.
Aber nochmal deutlich: nein, ich lege niemandem nahe, es so zu machen.
Bitte warten ..
Ähnliche Inhalte
Off Topic
Mimimimi - Endanwender vs Administrator
gelöst Frage von 114380Off Topic16 Kommentare

Hallo miteinander, wir hatten in letzter Zeit viele Mimimi-Threads, die oftmals durch DAUs verursacht werden. Auch ich gehöre zu ...

Windows Server

GPO - UAC: "Als Administrator ausführen" soll Abfrage bringen

gelöst Frage von MissJonesWindows Server5 Kommentare

Hallo Zusammen, habe erneut ein Problem, zudem ich im Internet nichts konkretes finden konnte. Die Gruppenrichtlinie soll dem Benutzer ...

Windows Server

UAC verhindert Administrator Zugriff auf loake Festplatte D: Zugriffsrechte C:Windows

Frage von AubananWindows Server6 Kommentare

Hallo zusammen, in unserem Netzwerk habe ich einen Server (2008 r1 Domaincontroller) neu installiert. Damit die AD Daten etc ...

Windows Netzwerk

Active Directory - Schwarzer Bildschirm nach UAC Passwort Eingabe Lokaler Administrator

Frage von WuiWuiWindows Netzwerk2 Kommentare

Hallo zusammen, ich muss gleich mal mit einer Frage beginnen die mich schon ein paar Tage quält. In einem ...

Windows 7

UAC niedrig - Berechtigungsstufe: Als Admin ausführen - Trotzdem UAC Abfrage!

Frage von brain2011Windows 76 Kommentare

Hallo, ein bestimmtes Programm stürzt gelegentlich beim Start auf einem lokalen Arbeitsplatzrechner (Win7 Prof. / Domänenuser) ab. Der Support ...

Windows 10

UAC Benutzersteuerung macht Probleme

gelöst Frage von MadzylinderWindows 105 Kommentare

Moin, ich habe einen Benutzer (Betriebsleiter) der, wenn es klingelt das Bild der Überwachungskamera angezeigt bekommt. Seit einigen Tagen ...

Heiß diskutierte Inhalte
Batch & Shell
Mehrere Server anpingen positive und negative Ergebnis in Datei schreiben
Frage von tommhiiBatch & Shell27 Kommentare

Hallo ich hab eine Frage ich habe in einer Liste mehrere Server eingetragen die ich per batch anpingen will. ...

Schulung & Training
Präsentation mit Gestensteuerung (Schnipsen)
gelöst Frage von battalgaziSchulung & Training18 Kommentare

Hallo, ich habe vor kurzem an einer MLP Paresentation teilgenommen, der Dozent hat mit einem Schnipsen die Folien gesteuert. ...

Microsoft Office
Office 2010 Starter SetupConsumerC2ROLW.exe Datei
gelöst Frage von ITAzubi2Microsoft Office18 Kommentare

Moin moin, ich bin frischer IT Azubi und soll auf ein neues Notebook mit Win 10 Office 2010 Starter ...

Webbrowser
Websites als site.mht abspeichern wie im "guten" alten IE
Frage von DerWoWussteWebbrowser16 Kommentare

Servus. Eine kleine, niedliche Frage für den Freitagnachmittag: Wer wie ich öfter Anleitungen von Websites abspeichern möchte, kennt das ...

JavaScript
Subtraktion in Javascript für ausfüllbares PDF
gelöst Frage von imebroJavaScript15 Kommentare

Hallo liebe User, ich habe ein Adobe PDF-Dokument in ein ausfüllbares PDF-Dokument umgewandelt. Grds. funktioniert alles sehr gut. Auch ...

Switche und Hubs
Aruba VSF-2930F DHCP Problem
Frage von fbe280tSwitche und Hubs15 Kommentare

Hallo Ihr da draußen, wir haben drei Aruba VSF-2930F zu einem virtuellen Switch zusammengefügt und haben dort mehrere V-Lans ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN