ben-witt
Goto Top

W2K8 - Anmeldungsfehler! Client verfügt als Hauptbenutzer nicht über die nötigen Rechte

Hallo Admins,

Habe ein SERVER 2008 Enterprises mit SP2 in Betrieb genommen und ist als Datenserver konfiguriert (keine Domäne).
Die Client's bestehen alle aus WINDOWS 7 ULTIMATE.

folgendes Problem stellt sich mir:

Die Client's haben ihren Anmeldenamen durchlaufend, also z.B. Technik10, Technik11... 12, 13... usw.
Dazu das Passwort zu Technik10 mit z.B. starttechnik10, zu Technik11 mit starttechnik11, usw. versehen.

Die Benutzer auf dem Server sind als Hauptbenutzer gesetzt, wie auch die Freigaben der einzelnen Ordner auf dem Server.

Jetzt zu dem Problem:

Greife ich von einem Client auf dem Server zu, werden alle Ordner gescannt und angezeigt.
Will ich mit dem entsprechenden Ordner ein Netzlaufwerk anlegen, dann kommt die Meldung, das ich keine Rechte besitze um darauf zuzugreifen.

Ändere ich beim freizugebenden Ordner den Status der Ermächtigung auf Administrator oder auf Jeder, dann habe ich Zugriff darauf!

Es geht also nicht als Benutzer oder Hauptbenutzer beim Client Technik10, etc.!

Firewall wurde mal ausgeschaltet, wie auch der Virenscanner und daran liegt es nicht.
Es muß also etwas mit der Rechteverteilung zu tun haben, nur was und wo?

Hat Jemand eine Idee woran das liegen könnte?


Außerdem sind alle Benutzer, als Icon, die auf den Server eingetragen sind und ja auch darauf zugreifen sollen, nach der Strg-Alt-Entf Anmeldung auf dem Start-Anmeldebildschirm.
Von diesen Usern soll sich ja keiner direkt an den Server setzen um sich am Server anmelden zu können und man stelle sich mal vor, es wären 50, 70 oder 100 User eingetragen!
Dann ist der Schirm voll!

Gut, man kann erzwingen das der letzte User nicht angezeigt werden soll, was aber auch heißt, man muß den Anmeldenamen, wie auch das Passwort daraufhin eingeben.
Dann wären allerdings auch keine Icons mehr auf dem Bildschirm.

Kann man nur den Administrator, plus 1 Arbeitsuser für den Server sichtbar machen?


Für einen aussagekräftigen Vorschlag wäre ich Euch sehr dankbar!

Viele Grüße
Ben

Content-ID: 154110

Url: https://administrator.de/forum/w2k8-anmeldungsfehler-client-verfuegt-als-hauptbenutzer-nicht-ueber-die-noetigen-rechte-154110.html

Ausgedruckt am: 24.12.2024 um 17:12 Uhr

Logan000
Logan000 01.11.2010 um 13:52:52 Uhr
Goto Top
Moin Moin

Ändere ich beim freizugebenden Ordner den Status der Ermächtigung auf Administrator oder auf Jeder, dann habe ich Zugriff darauf!
Was genau hast du hier geändert?
Die Berechtigungen der Freigabe? Die NTFS Berechtigungen des Ordners?
Oder hast du die Lokalen Benutzer zu Adminitratoren gemacht?

Nebenbei:
Habe ein SERVER 2008 Enterprises mit SP2 in Betrieb genommen und ist als Datenserver konfiguriert (keine Domäne).
Waum keine Domäne?
Das würde doch das ganze Berechtigungsgeschleuder erheblich vereinfachen und dein 2. Problem (Anmeldebildschirm) gleich mit lösen.

Gruß L.
Ben-Witt
Ben-Witt 01.11.2010 um 14:21:30 Uhr
Goto Top
Hallo Logan000

Zu Punkt 1

Also ich habe folgendes gemacht:

Auf dem Server habe ich unter Server Manager -> Konfiguration -> Benutzer den neuen Benutzer "Technik10" angelegt.
Ich habe diesem Benutzer den "Hauptbenutzer" als Mitglied zugeteilt.

Auf dem Server den Ordner z.B. "Austausch" freigegeben, mit der Freigabe des Client "Technik10".
Das sieht dann so aus: Freigegeben für Server-2008\Technik10

Bei dieser Einstellung habe ich vom Client "Technik10", welcher auch der Anmeldename ist, keinen Zugriff auf diesen Ordner.

Entferne ich jedoch "Technik10" und gebe dann diesen Ordner nur für "Administrator/en" oder "Jeder" frei, bekomme ich den Zugriff von Seitens des Client "Technik10"!


Zu Punkt 2

Keine Domäne deshalb, weil ich darüber kaum Ahnung habe und müßte es ersteinmal auf einer Maschine ausprobieren & testen!
IT-Arsonist
IT-Arsonist 01.11.2010 um 14:30:59 Uhr
Goto Top
hallo,

ich würde dir den weg über domäne empfehlen. ist vieleicht (auch weil du dich nicht damit auskennst) ein mehr an aufwand. aber ich denke das es sich später auszahlen wird. zudem lässt es sich später besser verwalten. rechte hinzufügen oder zu entfernen. musste nicht immer jeden einzelnen user bearbeiten sondern könntest über/mit gruppen arbeiten. z.b. technik oder so. brauchst dann in freigaben nur noch mit gruppen arbeiten und nicht mit einzelnen usern. und so wie sich das anhört haste nicht gerade wenig user.

...solltest dir vielleicht das thema domäne mal näher führen und drüber nachdenken. das wäre jetzt auch so mein tip bzw empfehlung.

mfg
Logan000
Logan000 01.11.2010 um 14:58:00 Uhr
Goto Top
Moin

Ich kann mich IT-Arsonist nur anschiessen. Aber erstmal zurück zu deiner Freigabe:
Auf dem Server den Ordner z.B. "Austausch" freigegeben, mit der Freigabe des Client "Technik10".
Das sieht dann so aus: Freigegeben für Server-2008\Technik10
Entferne ich jedoch "Technik10" und gebe dann diesen Ordner nur für "Administrator/en" oder "Jeder" frei, bekomme ich den Zugriff von Seitens des Client "Technik10"!
Das sind die Freigabe Berechtigungen.
Was ist mit den Sichereitseinstellungen des Ordners "Austausch" (Rechtklick / Eigenschaften / Sicherheit )?
Wer darf dort Ändern?
Ich rate mal: nur Administratoren. Hauptbenutzer nicht.

Du darfst nicht vergessen das du bei Freigaben 2 Ebenen hast um Berechtigungen zu vergeben.
Einmal die Freigabe und zum anderen die Ordnerberechtigungen.

Gruß L.
Ben-Witt
Ben-Witt 01.11.2010 um 19:10:46 Uhr
Goto Top
Danke für Eure Antworten!

Die Sicherheitseinstellung des Ordners "Austausch" habe ich mir vorgenommen.
Es waren dort folgende Berechtigungen eingetragen:

Authentifizierte Benutzer
SYSTEM
Administratoren -> Vollzugriff
Benutzer -> außer Vollzugriff & Ändern, alles

Ich habe zzgl. den Administrator mit Vollzugriff hinzugefügt, keine Veränderung, also kein Zugriff auf den Ordner!

Das ist schon seltsam, nehme ich den Client "Technik10" als Freigabe für den Ordner weg und ersetze diesen Eintrag mit Administrator oder Jeder, funktioniert dieser Zugrif von der Maschine "Technik10"

Ich muß aber ehrlich gestehen, Admin-Rechte möchte ich nicht gerade einsetzen, wozu auch, denn die Clients können ja auch mit ihren Rechten als Hauptbenutzer in ihren jeweiligen Ordnern alles machen.

Ich frage mich, was ist beim W2K8 bezgl. der Freigabe anders als bei W2K3 oder W2K?

Was die Einrichtung einer Domäne betrifft, so sollte ich mich jetzt echt mit befassen und wenn ich hier mal die SuFu fordere, hoffe ich, das ich da auch vorab schonmal fündig werde.
goscho
goscho 01.11.2010 um 19:27:58 Uhr
Goto Top
HAllo Ben-Witt,

du hast aber immer noch nicht erzählt, ob du mit Freigabeberechtigungen und/oder NTFS-Berechtigungen arbeitest.
Sinnvolle Vorgehensweise:
Freigabe Vollzugriff für jeder und in den NTFS-Berechtigungen die Gruppen/User differenzierter berechtigen.

Um wie viele User geht es denn, ab 5 macht eine Domäne richtig Sinn.
Anfangs erwähntest du etwas von 50, 70 oder 100 Usern...
ciccone
ciccone 01.11.2010 um 21:50:35 Uhr
Goto Top
Moin,

du wirst um ein bisschen Einarbeiten ins Thema Freigabe und NTFS-Berechtigungen nicht rumkommen.
Ganz in Kürze, quasi zum Anfixen face-wink

Freigabeberechtigungen sind eigentlich unbrauchbar, da viel zu ungenau. Deshalb mach's wie goscho sagt: Jeder - Vollzugriff - Zulassen.
NTFS-Berechtigungen regeln die eigentlichen Zugriffe!
Denn: Freigabe- und NTFS-Berechtigungen bauen aufeinander auf. Als Faustregel gilt: Hier setzt sich die restriktivste Berechtigung durch. Beispiel: Auf Freigabe hast du "Lesen", auf NTFS hast du "Vollzugriff". Im Ergebnis bleibt dir nur "Lesen"!
Gibst Du also auf Freigabe "Vollzugriff", kannst du in Ruhe über NTFS einschränken.

Das, was Du nach einem Rechtsklick siehst, nennt man Access Control List (ACL), Zugriffssteuerungsliste. Im oberen Teil stehen die Benutzer (oder Gruppen), im unteren, was du dann darfst.
Stehst du da gar nicht erst drin - darfste nix.

Willst du, das "Jeder" da was darf? Wirklich "JEDER"? Eher nicht, oder? Also: raus damit! Lieber eigene Gruppen anlegen und dort reinpacken. Und den Admin drin lassen! Von "System" erstmal die Finger weglassen!

Was sollen die Hauptbenutzer dürfen?
"Lesen" - Dann können Sie nur Lesen. Ok, Dazu müssen Sie den "Ordnerinhalt lesen" können - sonst wird's schwierig face-wink
"Schreiben"? Dann dürfen Sie Dateien dort ablegen, aber z.B. nicht löschen.
Dazu brauchen sie "Ändern". Oder du gönnst ihnen "Vollzugriff". Dann können sie das, was du grad machst - zusätzlich die Berechtigungen anpassen.

Sei vorsichtig mit "Verweigern". Das setzt sich immer durch!

Ok, jetzt bist du dran, da haste ein bisschen Arbeit vor Dir. Aber es lohnt sich!
Schau mal hier: http://technet.microsoft.com/de-de/library/cc770962%28WS.10%29.aspx

Viel Spaß!
ciccone
Ben-Witt
Ben-Witt 02.11.2010 um 19:59:29 Uhr
Goto Top
An Alle, die sich meinem Problem angenommen haben, ganz herzlichen Dank für Eure Beiträge die mir sehr geholfen haben!

Es lag wohl an meinem Alter, das ich einige Einstellungen nicht gerafft und durcheinander gebracht habe.
Erst der Beitrag, wie auch der Link von "ciccone" brachte mir die Erleuchtung, sodass ich nicht in die Klappse eingewiesen werden muß!

Also, alles läuft jetzt zur besten Zufriedenheit, aber es geht jetzt weiter...
...man hat mich hier überzeugt, das ich mir das Thema einer Domäne mal näher ansehen und vorallem ernsthaft studieren sollte!

Bei der Anlage handelt es sich um 23 Maschinen mit 2 Gruppen (Verwaltung & CAD-Technik), sowie 2 Server.
Im laufe der Zeit, also in den letzten 15 Jahren wurde von Novell auf W2K, W2K3 und jetzt halt auf W2K8 umgerüstet.
Desweiteren eine Anlage mit 17 Maschinen, davon 6 MAC's mit einem Server für die Bild- & Satztechnik, inkl. RIP-MAC und Laserbelichtungssystem.

Grund genug wohl eine Domänenlösung anzustreben!
Oder was meint ihr, lohnt sich das schon bei dieser Anzahl von Maschinen?


Um noch eine Antwort von einer offenen Frage zu beantworten, das mit den 50, 70 oder 100 User war nur ein Beispiel von mir, bzgl. des vollen Anmeldeschirmes.
Ich habe daher die Lösung gewählt, den letzten Benutzer zu deaktivieren, sodass man halt den Anmeldenamen, wie auch das Passwort eingeben muß.
Somit bleibt der Schirm frei.


Viele Grüße an Alle
Ben


P.S. ich mache diesen Thread morgen zu.