Windows Server 2008 - Ist der Administrator in Wirklichkeit ein Superadministrator?

Mitglied: Lubowitz

Lubowitz (Level 1) - Jetzt verbinden

16.10.2009 um 16:54 Uhr, 7880 Aufrufe, 4 Kommentare

Hallo zusammen,

ich bin eigentlich Entwickler und zum Administrieren unseres Servers gekommen wie das Kind zu Bade, d.h. das Folgende ist von einem ausgesprochenen Server-Laien geschrieben (lässt mich allerdings hoffen, dass mein Problem nur aus einer kleinen Dummheit resultiert und vielleicht einfach zu lösen ist).

Ich habe mit einem gerade frisch installierten Windows Server 2008 R2 Betriebssystem folgendes Problem:

Nach der Betriebssystem-Installation (als Standalone-Server, kein Domänencontroller und auch nicht Mitglied einer Domäne) habe ich ein paar Anwendungen installiert sowie Daten-Dateien von anderen Rechnern kopiert. Das habe ich unter dem Account "Administrator" gemacht. Es gab keinerlei Probleme und alles lief wie gewünscht.

Dann habe ich einen zweiten Account "XYZ" angelegt, den ich in der lokalen Account-Verwaltung konfiguriert habe wie den "Administrator", d.h. er ist insbesondere (und ausschließlich) der Gruppe "Administratoren" zugeordnet. Ich kann keine Unterschiede in den Accounts "Administrator" und "XYZ" erkennen.

Wenn ich mich nun als "XYZ" anmelde, kann ich keine der vorhandenen Dateien ändern und ich kann in den vorhandenen Ordnern keine Dateien anlegen. Ich kann jedoch neue Ordner anlegen (und in denen auch neue Dateien erstellen). Außerdem kann ich die vorhandenen Dateien löschen! (Ja, löschen, aber nicht ändern!) Desweiteren kann ich die vorhandenen Dateien kopieren und dann diese Kopien verändern.

Wenn ich mir (z.B. bei einer simplen Textdatei) unter Eigenschaften/Sicherheit die Einstellungen ansehe, finde ich (neben der Gruppe "SYSTEM" und "Benutzer" auch die Gruppe "Administratoren" mit allen Zugriffsrechten (u.a. Vollzugriff). (Wie gesagt, gehört "XYZ" zur Gruppe "Administratoren"; ich würde also Vollzugriff und Änderungsrecht erwarten, hat XYZ aber anscheinend nicht.)
Als aktueller "Besitzer" der Datei ist ebenfalls die Gruppe "Administratoren" angegeben (wirklich die GRUPPE, nicht der Benutzer "Administrator").

Das Ganze ist nicht umkehrbar, d.h.: Wenn ich als "XYZ" einen Ordner und eine Datei darin anlege, kann ich unter dem Konto "Administrator" dennoch diese Datei ändern und ich kann im angelegten Ordner neue Dateien erstellen.

Ein weiterer Unterschied ist mir aufgefallen: Wenn ich eine neue Datei als "Administrator" anlege, finde ich unter den Sicherheitseinstellungen für diese Datei die GRUPPE "Administratoren", aber nicht den Benutzer "Administrator". Lege ich eine Datei als "XYZ" an, so haben die Sicherheitseinstellungen sowohl die GRUPPE "Administratoren" als auch den Benutzer "XYZ".

D.h. "Administrator" und "XYZ" verhalten sich nicht "symmetrisch" zueinander, obwohl die Konteneinstellungen (scheinbar) völlig identisch sind.

Meine Fragen nun:

1) Hat das Konto "Administrator" intern versteckt noch mehr Rechte als ein Benutzer, welcher der Gruppe "Administratoren" angehört? Ist der "Administrator" also sozusagen eine Art Superadministrator?

2) Hab' ich möglicherweise irgendwas falsch gemacht beim Setup des OS, beim Anlegen der Konten, bei der Installation der Programme, ... ?

3) Und am wichtigsten: Wie bekomme ich das Elend der fehlenden Zugriffsberechtigungen für XYZ wieder in den Griff?


Vielen Dank für jede Hilfe und für Tips im Voraus!
Mitglied: tikayevent
16.10.2009 um 17:32 Uhr
Unter Windows 2000 und Windows Server 2003 gabs noch die Unterscheidung Domänen-Admins und Administratoren. Waren zwei verschiedene Benutzergruppen.

Eventuell bist du dadrauf reingefallen (ist mir auch schon ein paar mal passiert).
Bitte warten ..
Mitglied: Lubowitz
16.10.2009 um 17:46 Uhr
Hm, ich glaub' nicht. Sowohl der Benutzer "Administrator" als auch "XYZ" gehören zur vordefinierten Gruppe namens "Administratoren". Eine Gruppe "Domänen-Admins" oder ähnlich habe ich gar nicht.

Wie gesagt, ist der Server auch kein Domänencontroller und nicht Mitglied irgendeiner Domäne. Die Active-Directory Rolle ist gar nicht installiert (falls das relevant sein könnte für das Problem). Die einzigen installierten Rollen sind Dateidienste, Remotedesktopdienste und Hyper-V (Problem bestand allerdings schon vor der Installation von Hyper-V).
Bitte warten ..
Mitglied: DerWoWusste
16.10.2009 um 20:15 Uhr
Hallo.
Liebe Leute...setzt Euch mit der UAC (=Benutzerkontensteuerung) auseinander. Diese gibt es seit Vista/2008 Server nunmehr seit knapp 3 Jahren und dennoch ist sie nach wie vor kaum verstanden und Ursache der meisten Probleme unter Vista und 2008 (nicht MS' Schuld).
"Admin ohne elevation=User" lautet die Quintessenz. Nur der eingebaute User "Administrator" bildet die Ausnahme. Diese ist immer hochgestuft (=elevated).
Bitte warten ..
Mitglied: Lubowitz
16.10.2009 um 20:39 Uhr
Haha, kurios, gerade als Du das geantwortet hast, war ich dabei, das hier zu lesen:

http://technet.microsoft.com/en-us/library/cc709628(WS.10).aspx

Ich glaub', ich hab's jetzt kapiert. Ja, ich gebe zu, ich bin auf WinNT und 2003 Level, was Server angeht und Vista habe ich auf dem Desktop ausgelassen (bin XP-User), also "UAC" -> nie gehört bis heute.

Ich sehe also zwei Lösungen für mein "Problem":

1) Lokale Sicherheitsrichtlinie/Lokale Richtlinien/Sicherheitsoptionen:
"Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen" auf Deaktiviert setzen.

Hab' ich gemacht -> klappt! (gilt aber wohl als etwas unanständig)

2) Für meine gewünschten Dateien der Gruppe "Benutzer" Vollzugriff einräumen (da XYZ als Admin ohne elevation ja "Benutzer" ist)

Hab' ich auch gemacht -> klappt auch! (Ich werde diesen Weg gehen.)

(War mir übrigens klar, dass dies kein MS-Problem sein kann, sondern nur eine Folge meiner Unwissenheit. Ich hatte allerdings auch nach langem Googlen nichts gefunden - bis vor einer halben Stunde diesen UAC-Artikel.)

So, wieder was dazugelernt.

Vielen Dank für die Hinweise!
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Switch läuft, ist aber nicht erreichbar
gelöst AndiPeeVor 21 StundenFrageLAN, WAN, Wireless19 Kommentare

Hallo zusammen, mein Problemfall einleitend kurz umrissen: Privates Netzwerk Es funktioniert grundsätzlich, allerdings habe ich immer mal ein paar Ausfälle im WLAN-Netzwerk und bin ...

MikroTik RouterOS
Simples VLAN bringt mich zur Verzweiflung
gelöst Daniel26Vor 9 StundenFrageMikroTik RouterOS27 Kommentare

Moin, ich bin sehr neu im Mikrotik-Bereich, aber schon dabei, aufzuegeben. Wir verbauen in unserer Hardware Switche von Mikrotik. Bisher waren da Netgear-Teile drin, ...

Windows Netzwerk
Sporadisch kein Netz auf mehreren Win10-Maschinen
SolarflareVor 1 TagFrageWindows Netzwerk6 Kommentare

Hallo, ich habe seit Monaten einen eigenartigen Effekt in unserem Windows-Netz. Windows-Domäne mit ca. 100 Maschinen, alle Clients aktuelles Windows 10. Die Maschinen hängen ...

VB for Applications
Auf SQL Datenbank schreiben welche Sich im Firmennetzwerk befindet
RSST-SORVor 1 TagFrageVB for Applications12 Kommentare

Hallo Ich habe ein funktionierendes VBA Makro im EXCEL welches mit: conn.Open "driver={SQL Server};" & _ "server=RSST-OFFICEIII\RSSTSQLSERVER;database=RSSTZeiterfassung;" Daten in die Tabelle schreibt Nun würde ...

Router & Routing
AVM IPSEC Standortkopplung - (statische?) IP-Adressen im Remote-Netzwerk
gelöst NichtsnutzVor 1 TagFrageRouter & Routing8 Kommentare

Hallo ins Forum, hallo aqui, Alle Fritten-Verweigerer und Freunde der Kommandozeile mögen diese Zeilen bitte mit einem überlegenem Lächeln ignorieren: Seit Monaten arbeiten wir ...

Windows 10
SMB Performance VPN
Guhl22Vor 1 TagFrageWindows 103 Kommentare

Hallo zusammen, wir stellen bei uns in der Firma ein sehr merkwürdiges Phänomen fest. Zugriffe über VPN auf gemappte Netzlaufwerke (über vbs Logon Skript ...

E-Mail
Alternative zu horde webmail
fisch56Vor 20 StundenFrageE-Mail6 Kommentare

Hallo, ich habe das horde webmail auf meinem Server, macht allerdings Probleme. Suche daher eine Alternative. Das Postfach hat viele Unterordner, die z.B. bei ...

Outlook & Mail
Outlook Ansicht
gelöst Kisters.SolutionsVor 1 TagFrageOutlook & Mail9 Kommentare

Hallo zusammen, seit kurzem sieht der Posteingang im Outlook 2019 eines Kollegen plötzlich anders aus. Standard ist das die ungelesenen Mails mit einem blauen ...