7
Windows 7 User erhalten nicht die zugewiesenen Berechtigungen der ihnen zugewiesenen Gruppen
Hallo liebe Community!
Dies wird soetwas wie die Fortsetzung von Anmeldung von beliebigen (neuen) Domänenusern an Windows 7 Clients nur mit temporärem Profil, auf Windows 10 PCs kein Problem!
Aktueller Stand:
- Domäne mit AD läuft auf Windows Server 2016 Standard
- Clients teilweise Windows 7 (noch, werden bald umgestellt), teilweise Windows 10
- Die User sind bestimmten Sicherheitsgruppen zugewiesen. Diese Gruppen sind auf dem Fileserver auf unterschiedliche Freigaben berechtigt.
- Es gibt zwei Freigaben, die allgemein für "Domänen-Benutzer" berechtigt sind: Ändern "temp" (zum Austausch von Daten, wird am WE gelöscht) und Lesen "Vorlagen".
- Es existiert eine GPO: Diese Freigaben als feste Netzwerklaufwerke an alle Domänen-User verteilen. Zugriffskontrolle wird dann über die berechtigten Sicherheitsgruppen per Freigabe geregelt.
Die Windows 10 User sehen alle Freigaben und können problemlos auf die Laufwerke zugreifen, für die ihre Gruppen berechtigt sind, mit den passenden Berechtigungsstufen. Also lesend und schreibend oder nur lesend.
Problem:
Die Windows 7 User sehen ausschließlich die beiden Freigaben für alle Domänen-User. Die Anmeldung dauert sehr lange (vermutlich, da vergeblich versucht wird die anderen Laufwerke zu erreichen).
Es ist nach der Anmeldung nicht möglich manuell die Laufwerke, auf denen der User über seine Gruppe berechtigt ist, zu mappen. (Zugriff verweigert)
Die effektiven Berechtigungen sind laut Fileserver für die Gruppen i.O. UND ebenfalls für einen User dieser Gruppe, der jedoch tatsächlich nicht zugreifen kann.
1. Laufwerk wird bei der Anmeldung nicht gemappt
2. Manuelles mapping: Es wird nach Benutzer und Kennwort gefragt
3. Nach der Eingabe der obigen: "Zugriff verweigert" .
Das User-Profil ist NEU. Das gleiche tritt auch mit anderen nagelneu angelegten Profilen auf. Es gibt keine GPOs, die Zugriffsrechte einschränken. Es gibt keine NTFS-Rechte, die etwas verbieten.
WENN man einen solchen Test-User nimmt, der auf Windows 7 die Laufwerke nicht mappen kann, und ihn auf einer Windows 10-Maschine anmeldet, funktioniert der Zugriff.
Ich sehe einfach nicht, was hier die Ursache für die fehlenden Berechtigungen ist - vor allem, da es Client-OS-Abhängig ist.
Hat da irgendjemand eine Idee oder weiß, was ich noch nachschauen kann?
Dies wird soetwas wie die Fortsetzung von Anmeldung von beliebigen (neuen) Domänenusern an Windows 7 Clients nur mit temporärem Profil, auf Windows 10 PCs kein Problem!
Aktueller Stand:
- Domäne mit AD läuft auf Windows Server 2016 Standard
- Clients teilweise Windows 7 (noch, werden bald umgestellt), teilweise Windows 10
- Die User sind bestimmten Sicherheitsgruppen zugewiesen. Diese Gruppen sind auf dem Fileserver auf unterschiedliche Freigaben berechtigt.
- Es gibt zwei Freigaben, die allgemein für "Domänen-Benutzer" berechtigt sind: Ändern "temp" (zum Austausch von Daten, wird am WE gelöscht) und Lesen "Vorlagen".
- Es existiert eine GPO: Diese Freigaben als feste Netzwerklaufwerke an alle Domänen-User verteilen. Zugriffskontrolle wird dann über die berechtigten Sicherheitsgruppen per Freigabe geregelt.
Die Windows 10 User sehen alle Freigaben und können problemlos auf die Laufwerke zugreifen, für die ihre Gruppen berechtigt sind, mit den passenden Berechtigungsstufen. Also lesend und schreibend oder nur lesend.
Problem:
Die Windows 7 User sehen ausschließlich die beiden Freigaben für alle Domänen-User. Die Anmeldung dauert sehr lange (vermutlich, da vergeblich versucht wird die anderen Laufwerke zu erreichen).
Es ist nach der Anmeldung nicht möglich manuell die Laufwerke, auf denen der User über seine Gruppe berechtigt ist, zu mappen. (Zugriff verweigert)
Die effektiven Berechtigungen sind laut Fileserver für die Gruppen i.O. UND ebenfalls für einen User dieser Gruppe, der jedoch tatsächlich nicht zugreifen kann.
1. Laufwerk wird bei der Anmeldung nicht gemappt
2. Manuelles mapping: Es wird nach Benutzer und Kennwort gefragt
3. Nach der Eingabe der obigen: "Zugriff verweigert" .
Das User-Profil ist NEU. Das gleiche tritt auch mit anderen nagelneu angelegten Profilen auf. Es gibt keine GPOs, die Zugriffsrechte einschränken. Es gibt keine NTFS-Rechte, die etwas verbieten.
WENN man einen solchen Test-User nimmt, der auf Windows 7 die Laufwerke nicht mappen kann, und ihn auf einer Windows 10-Maschine anmeldet, funktioniert der Zugriff.
Ich sehe einfach nicht, was hier die Ursache für die fehlenden Berechtigungen ist - vor allem, da es Client-OS-Abhängig ist.
Hat da irgendjemand eine Idee oder weiß, was ich noch nachschauen kann?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 340621
Url: https://administrator.de/contentid/340621
Ausgedruckt am: 19.11.2024 um 04:11 Uhr
7 Kommentare
Neuester Kommentar
Hi,
was ist das für ein Fileserver, welches OS?
Da Du den Test bereits mit diesen Benutzern unter Win10 absolviert hast, würde ich auch davon ausgehen, dass es rein mit den Berechtigungen nichts zu tun haben kann.
Was steht in den Eventlogs der Win7-Kisten?
Schon mal mit Wireshark gelauscht, was da zwischen den Win7-Kisten und dem Fileserver kommuniziert wird?
SMB-Versionen ?
E.
Edit:
Hast Du die Win7-Kisten seit der Umstellung auf Win2016 AD schonmal neu der Domäne hinzugefügt? (Austritt, Boot, Eintritt, Boot)
was ist das für ein Fileserver, welches OS?
Da Du den Test bereits mit diesen Benutzern unter Win10 absolviert hast, würde ich auch davon ausgehen, dass es rein mit den Berechtigungen nichts zu tun haben kann.
Was steht in den Eventlogs der Win7-Kisten?
Schon mal mit Wireshark gelauscht, was da zwischen den Win7-Kisten und dem Fileserver kommuniziert wird?
SMB-Versionen ?
E.
Edit:
Hast Du die Win7-Kisten seit der Umstellung auf Win2016 AD schonmal neu der Domäne hinzugefügt? (Austritt, Boot, Eintritt, Boot)
1
Ich habe meine Frage gerade selbst gelöst:
Für alle anderen Freigaben hatte ich ausgewählt, dass der Zugriff verschlüsselt erfolgen soll.
Das kann Windows 7 offenbar nicht.
Wieder ein Grund mehr Windows 7 in die Tonne zu treten.
Für alle anderen Freigaben hatte ich ausgewählt, dass der Zugriff verschlüsselt erfolgen soll.
Das kann Windows 7 offenbar nicht.
Wieder ein Grund mehr Windows 7 in die Tonne zu treten.
Für alle anderen Freigaben hatte ich ausgewählt, dass der Zugriff verschlüsselt erfolgen soll.
Damit wäre dann meine Frage beantwortet: Es ist ein Win2016?Das kann Windows 7 offenbar nicht.
Nein, das kann es nicht. Weil es kein SMB 3 kennt.
Jupp, es ist Windows Server 2016.
... ich hätte es ja gut gefunden, wenn in der Beschreibung der Hinweis zu finden gewesen wäre: "Nur ab Windows..." oder "nicht unterstützt bis Windows 7" oder so.
Aber wenn wir gerade schon so plaudern (nein, ich werde keinen neuen Thread öffnen) habe ich im Eventviewer noch etwas gefunden bei den Windows 10 Kisten, was ich gar nicht bemerkt hatte:
Hast Du spontan eine Idee, wieso die Umleitung von "Documents" nicht funktioniert, die von Bilder, Musik und Videos aber schon?
Die Fehlermeldung dazu finde ich unglücklich, da der Ordner, der angeblich nicht erstellt werden kann, existiert und darin bereits die Ordner Music & Co liegen:
(Servername und Username ersetzt)
... ich hätte es ja gut gefunden, wenn in der Beschreibung der Hinweis zu finden gewesen wäre: "Nur ab Windows..." oder "nicht unterstützt bis Windows 7" oder so.
Aber wenn wir gerade schon so plaudern (nein, ich werde keinen neuen Thread öffnen) habe ich im Eventviewer noch etwas gefunden bei den Windows 10 Kisten, was ich gar nicht bemerkt hatte:
Hast Du spontan eine Idee, wieso die Umleitung von "Documents" nicht funktioniert, die von Bilder, Musik und Videos aber schon?
Die Fehlermeldung dazu finde ich unglücklich, da der Ordner, der angeblich nicht erstellt werden kann, existiert und darin bereits die Ordner Music & Co liegen:
Fehler bei der Richtlinienanwendung und beim Umleiten des Ordners "Documents" nach "\\SERVERNAME\Home$\USER\".
Umleitungsoptionen=0x80001211.
Der folgende Fehler ist aufgetreten: "Der Ordner "\\SERVERNAME\Home$\USER" kann nicht erstellt werden.".
Fehlerdetails: "Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.
".
Prüfe mal, ob der betreffende Benutzer im NTFS der Besitzer seines Home-Stammordners ist. (\\SERVERNAME\Home$\USER). Falls nein, mach ihn mal zum Besitzer. Dann nochmal anmelden lassen.
Benutzer zum Besitzer gemacht: Das war es nicht.
Ich habe die Regeln etwas entwirrt und dabei Profil und Stammordner auseinander gefummelt.
Viele Fehlermeldungen aus dem Eventlog sind weg.
Wenn ich den Rechner neu starte, dann dauert das Anmelden lange. Es wird nur ein temporäres Profil verwendet und im Eventlog steht:
Wenn ich den User einmal abmelde und wieder anmelde, funktioniert alles super. Ich glaub' ich sollte ins Wochenende. Das wird heute nichts mehr...
Ich habe die Regeln etwas entwirrt und dabei Profil und Stammordner auseinander gefummelt.
Viele Fehlermeldungen aus dem Eventlog sind weg.
Wenn ich den Rechner neu starte, dann dauert das Anmelden lange. Es wird nur ein temporäres Profil verwendet und im Eventlog steht:
Das Serverexemplar des Roamingprofils wurde nicht gefunden. Sie werden mit einem lokalen Benutzerprofil angemeldet. Änderungen an dem Profil werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte.
Details - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.Wenn ich den User einmal abmelde und wieder anmelde, funktioniert alles super. Ich glaub' ich sollte ins Wochenende. Das wird heute nichts mehr...
Nach dem Posting den Rechner noch 5 oder 6 mal neu gestartet:
Der Rechner startete ganz normal, Fehlermeldungen waren nicht mehr zu sehen.
Ach, manchmal ist das alles etwas mysteriös.
Der Rechner startete ganz normal, Fehlermeldungen waren nicht mehr zu sehen.
Ach, manchmal ist das alles etwas mysteriös.
