aubanan
Goto Top

UAC verhindert Administrator Zugriff auf loake Festplatte D: Zugriffsrechte C:Windows

Hallo zusammen,

in unserem Netzwerk habe ich einen Server (2008 r1 Domaincontroller) neu installiert.
Damit die AD Daten etc nicht verloren gehen, hat ein TempDC das AD und die FSMO-Rollen übergangsweise übernommen.
Jetzt ist der eigentliche Server auf C: neu installiert (2008r2) und hat auch die FSMO-Rollen (GC) wieder bekommen.
Datenlaufwerke D: und E: sind unverändert.

Soweit sieht es gut aus. Die User + PCs existieren weiterhin und die User können über die Freigaben entsprechend ihrer Berechtigungen auf die Daten (Laufwerk D + E des Servers) zugreifen.

Bei den Zugriffsrechten der Administroren gibt es seltsames.
Ein CoAdmin ist in der Gruppe Domain-Admins und damit auch in Administratoren.
Dieser kann am Server nicht lokal auf die Laufwekre D + E zugreifen (C: geht). Er sieht nicht mal wie voll die Laufwerke sind. Zugriff verweigert.
Der "Administrator" kann D + E öffnen. Laut den NTFS Rechten haben Administratoren Vollzugriff.
Wird die UAC deaktivert (reboot), dann kann der CoAdmin auf D + E zugreifen.

Hat jemand eine Erklärung oder Idee, was das soll?

Außerdem wunderte mich folgendes:
Als ich über den UNC Pfad \\server\netlogon die logon.cmd bearbeiten wollte, kam die Meldung:
Die Datei befindet sich außerhalb Ihres lokalen Netzwerks ... bla bla ... Risiko .. Hallo, die Datei liegt auf dem Server an dem ich sitze!
Daraufhin habe ich gesehen, dass Administratoren laut NTFS rechten auf den kompletten Ordner C:\Windows keine Rechte haben. Zugreifen kann ich als Administrator.
User dürfen lesen. Besitzer ist TrustedInstaller - der darf Ordnerinhalte auflisten.
Laut "Effektiven Berechtigungen" dürfen Administratoren auf C:\Windows Alles außer: Vollzugriff, Berechtigungen ändern, Unterordner und Dateien löschen, Besitz übernehmen

Ist das Normal? Oder sollte ich aktiv werden?


Grüße
aubanan

Content-ID: 326500

Url: https://administrator.de/contentid/326500

Ausgedruckt am: 19.12.2024 um 15:12 Uhr

Winary
Winary 16.01.2017 aktualisiert um 09:02:52 Uhr
Goto Top
Hallo,

ein Domänenadministrator administriert die Domäne. Er ist nicht gleich Administrator für alles in der Domäne, aber er hat das Recht sich Rechte zu nehmen, denn das ist die eigentliche Definition eines Administrators. Ein lokaler Administrator ist dasselbe, nur eben auf einer Maschine.

Überprüfe den effektiven Zugriff für den CoAdmin auf die beiden Laufwerke. Dann siehst du wodurch er eingeschränkt wird.

Und das mit den NTFS Rechten für C:\Windows ist normal. Das ist selbst unter Server 2012 R2 so.


Grüße Winary
Aubanan
Aubanan 16.01.2017 um 14:49:12 Uhr
Goto Top
Hallo,

die Gruppe Domänen-Admins ist auf meinem System in der Gruppe der Administratoren, und das ist nach meiner Kenntnis default so.
Somit haben Domänen-Admins auch die Rechte der Administratoren und noch mehr.
Den CoAdmin in die Gruppe Administratoren aufzunehmen hat (wie zu erwarten war) nichts geändert.
CoAdmin kann nicht auf die lokalen Laufwerke D + E zugreifen, ... solange die UAC aktiv ist.

Was hat die UAC mit den Rechten zutun? Es kommt auch keine Meldung, dass die UAC den Zugriff auf D oder E verhindert.

Es ist normal, dass in den Sicherheitseinstellungen von C:\Windows die Administratoren mit keinen Rechten angezeigt werden, aber sie trotzdem zugreifen können?

Grüße
Aubanan
Winary
Winary 16.01.2017 um 15:26:44 Uhr
Goto Top
Das ist auch default so. Es war nur nicht ersichtlich ob du die AD-Gruppe Administratoren oder die lokale Gruppe Administratoren meinst.
Was steht denn hinter Administratoren in den NTFS-Berechtigungen? Domäne\Administratoren oder Servername/Administratoren?

Und ich fragte bereits was in den effektiven Berechtigungen der Laufwerke den Zugriff des CoAdmins einschränkt?

Dass die UAC anspringt ist schon sehr merkwürdig, da sie nur abfragt wenn man im Begriff ist ein Programm zu starten, das ganz oder in Teilen im systemgeschützten Bereich liegt bzw. Veränderungen vornehmen kann. Und dazu gehört nicht das Stammverzeichnis von Festplatten.
Hat der CoAdmin auch das Problem wenn er ebenfalls wie die Nutzer via UNC-Pfad zugreift? Ist es nur in der obersten Ebene oder auch tiefer, z.b. D:\Ordner1\Ordner2?


Ja, das mit den Berechtigungen ist normal. wenn du in den NTFS-Berechtigungen die Administratoren auswählst und unten tiefer scrollst, siehst du den Haken bei "Spezielle Berechtigungen". Wenn du auf Erweitert gehst, wirst du feststellen, dass in dieser Ansicht mehr steht als in dem Eigenschaften-Fenster zuvor. Das was hier steht ist bindend. Und auch hier hilft es sich die effektiven Berechtigungen für CoAdmin an zu schauen.
DerWoWusste
DerWoWusste 16.01.2017 um 16:02:34 Uhr
Goto Top
Hi.

Was hat die UAC mit den Rechten zutun?
Seit 10 Jahren gilt: wenn die UAC an ist, wird der Admin behandelt wie ein normaler User bis er elevated (informiere dich über den Begriff elevation in Verbindung mit UAC - einfach mal googlen). Das Verhalten ist vollkommen normal.

Anders formuliert: auch wenn die Gruppe "Administratoren" in einer ACL drin steht, dann haben selbst Mitglieder der Gruppe keinen Zugriff darauf, bis sie die Anwendung explizit als Administrator gestartet haben (Rechtsklick: "als Administrator ausführen").

Füge also entweder den Namen Deines Admins direkt in die ACL ein oder schalte die UAC aus (was soll sie auf einem Server bringen, den Du administrierst?), oder verwende einen Explorer, den man elevaten kann (total commander).
Aubanan
Aubanan 17.01.2017 um 00:51:56 Uhr
Goto Top
Hallo,

die prinzipielle Funktionsweise der UAC ist mir eigentlich bekannt, genauso wie einzelne Programme "Als Administrator ausführen", was dann die UAC Meldung hervorbringt:"Möchten SIe zulassen dass ... ". btw: TotalCommander ist mein bester Freund face-wink

Auf den Laufweken hat die Gruppe Domäne\Administratoren per ACL Vollzugriff.
Der Administrator kann problemlos auf D: und E: des Servers zugreifen. Ohne elevation oder UAC Meldung.
Was mich aktuell wundert:
Der CoAdmin ist in der selben Gruppe und kann nicht auf D: und E: zugreifen auch nicht mit elevation, ausführen als Administrator .. garnicht! Außer wenn die UAC aus ist.

Vor der Neuinstallation konnte der CoAdmin auf D: und E: problemlos zugreifen. Die Laufwerke D: und E: wurden nicht verändert, nur C: wurde formatiert und mit 2008r2 neu installiert. In der Übergangszeit hatte der TempPC die AD Rollen inne und hat für das Beibehalten der User, SIDs etc. gesorgt.
Soweit mir bekannt sind die ACLs im NTFS auf der HDD eingetragen und die SIDs haben durch den TempDC den ServerReinstall überstanden.
Es ist für mich demanch nicht logisch, weshalb der CoAdmin dann jetzt nicht mehr zugreifen kann, wenn die UAC an ist. Auch nicht per elevation des TCommanders.

Grüße
DerWoWusste
DerWoWusste 17.01.2017 um 07:34:38 Uhr
Goto Top
Für die eingebauten Adminkonten, die "Administrator" heißen, ist die UAC immer aus, das ist der Grund. Sie bilden absichtlich eine Ausnahme.