UAC verhindert Administrator Zugriff auf loake Festplatte D: Zugriffsrechte C:Windows
Hallo zusammen,
in unserem Netzwerk habe ich einen Server (2008 r1 Domaincontroller) neu installiert.
Damit die AD Daten etc nicht verloren gehen, hat ein TempDC das AD und die FSMO-Rollen übergangsweise übernommen.
Jetzt ist der eigentliche Server auf C: neu installiert (2008r2) und hat auch die FSMO-Rollen (GC) wieder bekommen.
Datenlaufwerke D: und E: sind unverändert.
Soweit sieht es gut aus. Die User + PCs existieren weiterhin und die User können über die Freigaben entsprechend ihrer Berechtigungen auf die Daten (Laufwerk D + E des Servers) zugreifen.
Bei den Zugriffsrechten der Administroren gibt es seltsames.
Ein CoAdmin ist in der Gruppe Domain-Admins und damit auch in Administratoren.
Dieser kann am Server nicht lokal auf die Laufwekre D + E zugreifen (C: geht). Er sieht nicht mal wie voll die Laufwerke sind. Zugriff verweigert.
Der "Administrator" kann D + E öffnen. Laut den NTFS Rechten haben Administratoren Vollzugriff.
Wird die UAC deaktivert (reboot), dann kann der CoAdmin auf D + E zugreifen.
Hat jemand eine Erklärung oder Idee, was das soll?
Außerdem wunderte mich folgendes:
Als ich über den UNC Pfad \\server\netlogon die logon.cmd bearbeiten wollte, kam die Meldung:
Die Datei befindet sich außerhalb Ihres lokalen Netzwerks ... bla bla ... Risiko .. Hallo, die Datei liegt auf dem Server an dem ich sitze!
Daraufhin habe ich gesehen, dass Administratoren laut NTFS rechten auf den kompletten Ordner C:\Windows keine Rechte haben. Zugreifen kann ich als Administrator.
User dürfen lesen. Besitzer ist TrustedInstaller - der darf Ordnerinhalte auflisten.
Laut "Effektiven Berechtigungen" dürfen Administratoren auf C:\Windows Alles außer: Vollzugriff, Berechtigungen ändern, Unterordner und Dateien löschen, Besitz übernehmen
Ist das Normal? Oder sollte ich aktiv werden?
Grüße
aubanan
in unserem Netzwerk habe ich einen Server (2008 r1 Domaincontroller) neu installiert.
Damit die AD Daten etc nicht verloren gehen, hat ein TempDC das AD und die FSMO-Rollen übergangsweise übernommen.
Jetzt ist der eigentliche Server auf C: neu installiert (2008r2) und hat auch die FSMO-Rollen (GC) wieder bekommen.
Datenlaufwerke D: und E: sind unverändert.
Soweit sieht es gut aus. Die User + PCs existieren weiterhin und die User können über die Freigaben entsprechend ihrer Berechtigungen auf die Daten (Laufwerk D + E des Servers) zugreifen.
Bei den Zugriffsrechten der Administroren gibt es seltsames.
Ein CoAdmin ist in der Gruppe Domain-Admins und damit auch in Administratoren.
Dieser kann am Server nicht lokal auf die Laufwekre D + E zugreifen (C: geht). Er sieht nicht mal wie voll die Laufwerke sind. Zugriff verweigert.
Der "Administrator" kann D + E öffnen. Laut den NTFS Rechten haben Administratoren Vollzugriff.
Wird die UAC deaktivert (reboot), dann kann der CoAdmin auf D + E zugreifen.
Hat jemand eine Erklärung oder Idee, was das soll?
Außerdem wunderte mich folgendes:
Als ich über den UNC Pfad \\server\netlogon die logon.cmd bearbeiten wollte, kam die Meldung:
Die Datei befindet sich außerhalb Ihres lokalen Netzwerks ... bla bla ... Risiko .. Hallo, die Datei liegt auf dem Server an dem ich sitze!
Daraufhin habe ich gesehen, dass Administratoren laut NTFS rechten auf den kompletten Ordner C:\Windows keine Rechte haben. Zugreifen kann ich als Administrator.
User dürfen lesen. Besitzer ist TrustedInstaller - der darf Ordnerinhalte auflisten.
Laut "Effektiven Berechtigungen" dürfen Administratoren auf C:\Windows Alles außer: Vollzugriff, Berechtigungen ändern, Unterordner und Dateien löschen, Besitz übernehmen
Ist das Normal? Oder sollte ich aktiv werden?
Grüße
aubanan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 326500
Url: https://administrator.de/contentid/326500
Ausgedruckt am: 19.12.2024 um 15:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
ein Domänenadministrator administriert die Domäne. Er ist nicht gleich Administrator für alles in der Domäne, aber er hat das Recht sich Rechte zu nehmen, denn das ist die eigentliche Definition eines Administrators. Ein lokaler Administrator ist dasselbe, nur eben auf einer Maschine.
Überprüfe den effektiven Zugriff für den CoAdmin auf die beiden Laufwerke. Dann siehst du wodurch er eingeschränkt wird.
Und das mit den NTFS Rechten für C:\Windows ist normal. Das ist selbst unter Server 2012 R2 so.
Grüße Winary
ein Domänenadministrator administriert die Domäne. Er ist nicht gleich Administrator für alles in der Domäne, aber er hat das Recht sich Rechte zu nehmen, denn das ist die eigentliche Definition eines Administrators. Ein lokaler Administrator ist dasselbe, nur eben auf einer Maschine.
Überprüfe den effektiven Zugriff für den CoAdmin auf die beiden Laufwerke. Dann siehst du wodurch er eingeschränkt wird.
Und das mit den NTFS Rechten für C:\Windows ist normal. Das ist selbst unter Server 2012 R2 so.
Grüße Winary
Das ist auch default so. Es war nur nicht ersichtlich ob du die AD-Gruppe Administratoren oder die lokale Gruppe Administratoren meinst.
Was steht denn hinter Administratoren in den NTFS-Berechtigungen? Domäne\Administratoren oder Servername/Administratoren?
Und ich fragte bereits was in den effektiven Berechtigungen der Laufwerke den Zugriff des CoAdmins einschränkt?
Dass die UAC anspringt ist schon sehr merkwürdig, da sie nur abfragt wenn man im Begriff ist ein Programm zu starten, das ganz oder in Teilen im systemgeschützten Bereich liegt bzw. Veränderungen vornehmen kann. Und dazu gehört nicht das Stammverzeichnis von Festplatten.
Hat der CoAdmin auch das Problem wenn er ebenfalls wie die Nutzer via UNC-Pfad zugreift? Ist es nur in der obersten Ebene oder auch tiefer, z.b. D:\Ordner1\Ordner2?
Ja, das mit den Berechtigungen ist normal. wenn du in den NTFS-Berechtigungen die Administratoren auswählst und unten tiefer scrollst, siehst du den Haken bei "Spezielle Berechtigungen". Wenn du auf Erweitert gehst, wirst du feststellen, dass in dieser Ansicht mehr steht als in dem Eigenschaften-Fenster zuvor. Das was hier steht ist bindend. Und auch hier hilft es sich die effektiven Berechtigungen für CoAdmin an zu schauen.
Was steht denn hinter Administratoren in den NTFS-Berechtigungen? Domäne\Administratoren oder Servername/Administratoren?
Und ich fragte bereits was in den effektiven Berechtigungen der Laufwerke den Zugriff des CoAdmins einschränkt?
Dass die UAC anspringt ist schon sehr merkwürdig, da sie nur abfragt wenn man im Begriff ist ein Programm zu starten, das ganz oder in Teilen im systemgeschützten Bereich liegt bzw. Veränderungen vornehmen kann. Und dazu gehört nicht das Stammverzeichnis von Festplatten.
Hat der CoAdmin auch das Problem wenn er ebenfalls wie die Nutzer via UNC-Pfad zugreift? Ist es nur in der obersten Ebene oder auch tiefer, z.b. D:\Ordner1\Ordner2?
Ja, das mit den Berechtigungen ist normal. wenn du in den NTFS-Berechtigungen die Administratoren auswählst und unten tiefer scrollst, siehst du den Haken bei "Spezielle Berechtigungen". Wenn du auf Erweitert gehst, wirst du feststellen, dass in dieser Ansicht mehr steht als in dem Eigenschaften-Fenster zuvor. Das was hier steht ist bindend. Und auch hier hilft es sich die effektiven Berechtigungen für CoAdmin an zu schauen.
Hi.
Anders formuliert: auch wenn die Gruppe "Administratoren" in einer ACL drin steht, dann haben selbst Mitglieder der Gruppe keinen Zugriff darauf, bis sie die Anwendung explizit als Administrator gestartet haben (Rechtsklick: "als Administrator ausführen").
Füge also entweder den Namen Deines Admins direkt in die ACL ein oder schalte die UAC aus (was soll sie auf einem Server bringen, den Du administrierst?), oder verwende einen Explorer, den man elevaten kann (total commander).
Was hat die UAC mit den Rechten zutun?
Seit 10 Jahren gilt: wenn die UAC an ist, wird der Admin behandelt wie ein normaler User bis er elevated (informiere dich über den Begriff elevation in Verbindung mit UAC - einfach mal googlen). Das Verhalten ist vollkommen normal.Anders formuliert: auch wenn die Gruppe "Administratoren" in einer ACL drin steht, dann haben selbst Mitglieder der Gruppe keinen Zugriff darauf, bis sie die Anwendung explizit als Administrator gestartet haben (Rechtsklick: "als Administrator ausführen").
Füge also entweder den Namen Deines Admins direkt in die ACL ein oder schalte die UAC aus (was soll sie auf einem Server bringen, den Du administrierst?), oder verwende einen Explorer, den man elevaten kann (total commander).