Terminal Server 2016 erkennt Berechtigungen nicht
Hallo Administratoren,
folgendes Problem stellt sich dar:
Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt kommt es vor, dass Benutzer Mustermann keinen Zugriff mehr auf eine Ordnerfreigabe hat, die über eine GPO zugewiesen wird. gpresult /z zeigt auch an, dass er noch in der richtigen Gruppe ist und den Zugriff hat. Meldet sich der Benutzer an dem anderen TS an, funktioniert die Freigabe einwandfrei. Es scheint also ein lokales Problem bei diesem einen Server zu sein. Ich weiß nun leider nicht, wo ich genau nach dem Fehler weiter suchen soll. Im Event Log steht in den üblichen Einträge unter Anwendung/System und Sicherheit nichts drin. Zugriff wird über die Freigabe und über NTFS Berechtigungen geregelt. Die Freigabe selbst liegt wiederum auf einen dritten Windows Server (2008).
TL/DR: Berechtigungen passen, Zugriff auf Freigabe trotzdem auf einem der beiden Server verweigert.
Wo kann ich weiter suchen, um den Fehler zu finden? Werden Fehlzugriffe über NTFS irgendwo protokolliert?
Gruß,
Thomas
folgendes Problem stellt sich dar:
Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt kommt es vor, dass Benutzer Mustermann keinen Zugriff mehr auf eine Ordnerfreigabe hat, die über eine GPO zugewiesen wird. gpresult /z zeigt auch an, dass er noch in der richtigen Gruppe ist und den Zugriff hat. Meldet sich der Benutzer an dem anderen TS an, funktioniert die Freigabe einwandfrei. Es scheint also ein lokales Problem bei diesem einen Server zu sein. Ich weiß nun leider nicht, wo ich genau nach dem Fehler weiter suchen soll. Im Event Log steht in den üblichen Einträge unter Anwendung/System und Sicherheit nichts drin. Zugriff wird über die Freigabe und über NTFS Berechtigungen geregelt. Die Freigabe selbst liegt wiederum auf einen dritten Windows Server (2008).
TL/DR: Berechtigungen passen, Zugriff auf Freigabe trotzdem auf einem der beiden Server verweigert.
Wo kann ich weiter suchen, um den Fehler zu finden? Werden Fehlzugriffe über NTFS irgendwo protokolliert?
Gruß,
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 361941
Url: https://administrator.de/forum/terminal-server-2016-erkennt-berechtigungen-nicht-361941.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
10 Kommentare
Neuester Kommentar
Hi,
nur um das klar zu trennen:
Ist das Problem, dass beim Zugriff auf die Freigabe (UNC-Pfad) ein "Zugriff verweigert" kommt oder nur, dass beim Logon kein Netzlaufwerk verbunden wird?
Der TS selbst entscheidet das überehaupt nicht, sondern der Server, auf welchem die Freigabe bereitgetsellt ist.
Kann der Benutzer den Pfad der GPO im SYSVOL lesen? Auf allen DC der betreffenden Domäne?
E.
nur um das klar zu trennen:
Ist das Problem, dass beim Zugriff auf die Freigabe (UNC-Pfad) ein "Zugriff verweigert" kommt oder nur, dass beim Logon kein Netzlaufwerk verbunden wird?
Der TS selbst entscheidet das überehaupt nicht, sondern der Server, auf welchem die Freigabe bereitgetsellt ist.
gpresult /z zeigt auch an, dass er noch in der richtigen Gruppe ist
Egal. Hast Du den Benutzer nach Änderung der Gruppenmitgliedschaft neu angemeldet?und den Zugriff hat
das zeigt GPRESULT garantiert nicht an. Das interpretierst Du da nur hinein.Kann der Benutzer den Pfad der GPO im SYSVOL lesen? Auf allen DC der betreffenden Domäne?
E.
Der Zugriff auf einen der DC klappt nicht
Diese Frage hatte ich zwar im Voraus für den Fall gestellt, dass es nur um ein nicht verbundenes Netzlaufwerk ginge, aber es ist auch ein Hinweis für den anderen Fall.Was heißt "der Zugriff .... klappt nicht"? Kommst Du gar nicht auf die SYSVOL-Freigabe dieses DC oder ist "nur" nicht der Ordner für diese GPO nicht vorhanden? (Am Rande: Die GPO ans sich hat jetzt nichts mehr mit dem geschilderten Problem zu tun.)
Auch nicht als Domänen-Admin?
Wenn einer der DC Probleme mit seinen Daten hat, der Replikatuion, dann ist das natürlich eine potentielle Fehlerquelle. Auch wenn ich jetzt davon ausgehen würde, dass der Fileserver solange mit einem DC "spricht", bis dieser mal nicht mehr reagiert. Wenn also bei Zugriff vom TS1 mit User1 auf Fileserver1 eine neue Sitzung erstellt wird, dann fragt Fileserver1 einen DC ab und fordert ein Ticket für den User1 an. Wenn unmittelbar anschießend bei Zugriff vom TS2 mit User1 auf Fileserver1 eine weitere Sitzung erstellt wird, dann würde ich davon ausgehen, dass der Fileserver1 den selben DC fragt wie beim ersten Zugriff von TS1. Das Ergebnis wäre dann das gleiche. (geht oder geht nicht)
Es wäre aber auch denkbar, dass im "Round Robin" o.ä. die DC abwechselnd abgefragt werden, auch wenn ich für unwahrscheinlich halte.
Ich würde testen, indem ich diesen einen DC kurz vom Netz nehme und auf dem Fileserver die Sitzungen trenne. Dann neu zugreifen über UNC. Von beiden TS.
Oh, prima. Noch andere Überraschungen?
Noch irgendwelche Informationen? Schneit es gerade in Bayern? Hat der Papst Blähungen?
Einer der DC ist also auch der Fileserver? Hast Du überhaupt mehrere DC?
Aber wenn das tatsächlich so ist, wie Du hier schreibst ...
Und ...
Noch irgendwelche Informationen? Schneit es gerade in Bayern? Hat der Papst Blähungen?
Einer der DC ist also auch der Fileserver? Hast Du überhaupt mehrere DC?
Aber wenn das tatsächlich so ist, wie Du hier schreibst ...
Beispiel:
\\DC01\Daten\Freigabe1 <- geht nicht mehr (Zugriff nur für bestimmte Gruppe erlaubt)
\\DC01\Daten\Freigabe2 <- geht (Zugriff für auth. User)
Dann liegt der Fehler mit höchster Sicherheit bei Dir (handwerklicher Fehler).\\DC01\Daten\Freigabe1 <- geht nicht mehr (Zugriff nur für bestimmte Gruppe erlaubt)
\\DC01\Daten\Freigabe2 <- geht (Zugriff für auth. User)
Und ...
\\DC01\Daten\Freigabe1
Das sieht nach einem DFS-Stamm aus. Ist dem so?
Zuerst: Belese Dich bzgl. DFS, bevor Du da etwas änderst!
Wenn Du Dich belesen hast, dann verstehst Du folgende Fragen:
Sind da mehr als ein Ziel für den DFS-Ordner "Freigabe1" eingetragen?
Nur falls ja:
Sind diese alle erreichbar? Sind diese untereinander replitziert? Stimmen auf allen die Freigabe- und NTFS-Berechtigungen überein?
\\DC01\Daten\Freigabe1 <- geht nicht mehr (Zugriff nur für bestimmte Gruppe erlaubt)
"Geht nicht" nur vo einem der beiden TS?\\DC01\Daten\Freigabe2 <- geht (Zugriff für auth. User)
"geht" von beiden TS?Wenn Du Dich belesen hast, dann verstehst Du folgende Fragen:
Sind da mehr als ein Ziel für den DFS-Ordner "Freigabe1" eingetragen?
Nur falls ja:
Sind diese alle erreichbar? Sind diese untereinander replitziert? Stimmen auf allen die Freigabe- und NTFS-Berechtigungen überein?