Windows 7 User erhalten nicht die zugewiesenen Berechtigungen der ihnen zugewiesenen Gruppen
Hallo liebe Community!
Dies wird soetwas wie die Fortsetzung von Anmeldung von beliebigen (neuen) Domänenusern an Windows 7 Clients nur mit temporärem Profil, auf Windows 10 PCs kein Problem!
Aktueller Stand:
- Domäne mit AD läuft auf Windows Server 2016 Standard
- Clients teilweise Windows 7 (noch, werden bald umgestellt), teilweise Windows 10
- Die User sind bestimmten Sicherheitsgruppen zugewiesen. Diese Gruppen sind auf dem Fileserver auf unterschiedliche Freigaben berechtigt.
- Es gibt zwei Freigaben, die allgemein für "Domänen-Benutzer" berechtigt sind: Ändern "temp" (zum Austausch von Daten, wird am WE gelöscht) und Lesen "Vorlagen".
- Es existiert eine GPO: Diese Freigaben als feste Netzwerklaufwerke an alle Domänen-User verteilen. Zugriffskontrolle wird dann über die berechtigten Sicherheitsgruppen per Freigabe geregelt.
Die Windows 10 User sehen alle Freigaben und können problemlos auf die Laufwerke zugreifen, für die ihre Gruppen berechtigt sind, mit den passenden Berechtigungsstufen. Also lesend und schreibend oder nur lesend.
Problem:
Die Windows 7 User sehen ausschließlich die beiden Freigaben für alle Domänen-User. Die Anmeldung dauert sehr lange (vermutlich, da vergeblich versucht wird die anderen Laufwerke zu erreichen).
Es ist nach der Anmeldung nicht möglich manuell die Laufwerke, auf denen der User über seine Gruppe berechtigt ist, zu mappen. (Zugriff verweigert)
Die effektiven Berechtigungen sind laut Fileserver für die Gruppen i.O. UND ebenfalls für einen User dieser Gruppe, der jedoch tatsächlich nicht zugreifen kann.
1. Laufwerk wird bei der Anmeldung nicht gemappt
2. Manuelles mapping: Es wird nach Benutzer und Kennwort gefragt
3. Nach der Eingabe der obigen: "Zugriff verweigert" .
Das User-Profil ist NEU. Das gleiche tritt auch mit anderen nagelneu angelegten Profilen auf. Es gibt keine GPOs, die Zugriffsrechte einschränken. Es gibt keine NTFS-Rechte, die etwas verbieten.
WENN man einen solchen Test-User nimmt, der auf Windows 7 die Laufwerke nicht mappen kann, und ihn auf einer Windows 10-Maschine anmeldet, funktioniert der Zugriff.
Ich sehe einfach nicht, was hier die Ursache für die fehlenden Berechtigungen ist - vor allem, da es Client-OS-Abhängig ist.
Hat da irgendjemand eine Idee oder weiß, was ich noch nachschauen kann?
Dies wird soetwas wie die Fortsetzung von Anmeldung von beliebigen (neuen) Domänenusern an Windows 7 Clients nur mit temporärem Profil, auf Windows 10 PCs kein Problem!
Aktueller Stand:
- Domäne mit AD läuft auf Windows Server 2016 Standard
- Clients teilweise Windows 7 (noch, werden bald umgestellt), teilweise Windows 10
- Die User sind bestimmten Sicherheitsgruppen zugewiesen. Diese Gruppen sind auf dem Fileserver auf unterschiedliche Freigaben berechtigt.
- Es gibt zwei Freigaben, die allgemein für "Domänen-Benutzer" berechtigt sind: Ändern "temp" (zum Austausch von Daten, wird am WE gelöscht) und Lesen "Vorlagen".
- Es existiert eine GPO: Diese Freigaben als feste Netzwerklaufwerke an alle Domänen-User verteilen. Zugriffskontrolle wird dann über die berechtigten Sicherheitsgruppen per Freigabe geregelt.
Die Windows 10 User sehen alle Freigaben und können problemlos auf die Laufwerke zugreifen, für die ihre Gruppen berechtigt sind, mit den passenden Berechtigungsstufen. Also lesend und schreibend oder nur lesend.
Problem:
Die Windows 7 User sehen ausschließlich die beiden Freigaben für alle Domänen-User. Die Anmeldung dauert sehr lange (vermutlich, da vergeblich versucht wird die anderen Laufwerke zu erreichen).
Es ist nach der Anmeldung nicht möglich manuell die Laufwerke, auf denen der User über seine Gruppe berechtigt ist, zu mappen. (Zugriff verweigert)
Die effektiven Berechtigungen sind laut Fileserver für die Gruppen i.O. UND ebenfalls für einen User dieser Gruppe, der jedoch tatsächlich nicht zugreifen kann.
1. Laufwerk wird bei der Anmeldung nicht gemappt
2. Manuelles mapping: Es wird nach Benutzer und Kennwort gefragt
3. Nach der Eingabe der obigen: "Zugriff verweigert" .
Das User-Profil ist NEU. Das gleiche tritt auch mit anderen nagelneu angelegten Profilen auf. Es gibt keine GPOs, die Zugriffsrechte einschränken. Es gibt keine NTFS-Rechte, die etwas verbieten.
WENN man einen solchen Test-User nimmt, der auf Windows 7 die Laufwerke nicht mappen kann, und ihn auf einer Windows 10-Maschine anmeldet, funktioniert der Zugriff.
Ich sehe einfach nicht, was hier die Ursache für die fehlenden Berechtigungen ist - vor allem, da es Client-OS-Abhängig ist.
Hat da irgendjemand eine Idee oder weiß, was ich noch nachschauen kann?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 340621
Url: https://administrator.de/forum/windows-7-user-erhalten-nicht-die-zugewiesenen-berechtigungen-der-ihnen-zugewiesenen-gruppen-340621.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
7 Kommentare
Neuester Kommentar
Hi,
was ist das für ein Fileserver, welches OS?
Da Du den Test bereits mit diesen Benutzern unter Win10 absolviert hast, würde ich auch davon ausgehen, dass es rein mit den Berechtigungen nichts zu tun haben kann.
Was steht in den Eventlogs der Win7-Kisten?
Schon mal mit Wireshark gelauscht, was da zwischen den Win7-Kisten und dem Fileserver kommuniziert wird?
SMB-Versionen ?
E.
Edit:
Hast Du die Win7-Kisten seit der Umstellung auf Win2016 AD schonmal neu der Domäne hinzugefügt? (Austritt, Boot, Eintritt, Boot)
was ist das für ein Fileserver, welches OS?
Da Du den Test bereits mit diesen Benutzern unter Win10 absolviert hast, würde ich auch davon ausgehen, dass es rein mit den Berechtigungen nichts zu tun haben kann.
Was steht in den Eventlogs der Win7-Kisten?
Schon mal mit Wireshark gelauscht, was da zwischen den Win7-Kisten und dem Fileserver kommuniziert wird?
SMB-Versionen ?
E.
Edit:
Hast Du die Win7-Kisten seit der Umstellung auf Win2016 AD schonmal neu der Domäne hinzugefügt? (Austritt, Boot, Eintritt, Boot)