3
Windows Server 2012 R2 standard - nach Domänen-Migration keine Rechte mehr auf Ordner bzw. Dateien
Hallo!
Mein Problem ist relativ komplex...
Die Daten eines Fileservers mussten bei einem OS-Wechsel von Server 2003 auf Server 2012 auf einen neuen Server umziehen.
Die Kopie der Daten wurde unter beibehalten der NTFS-Berechtigungen innerhalb der gleichen Domäne (ABC) per TotalCommander durchgeführt.
Anschließend wurde der neue 2012er-Server per ADMT von Microsoft in eine neue Domäne (XYZ) gebracht.
Danach hatte der XYZ-Domänen-Admin als auch der lokale Admin des Servers keine Berechtigung auf die kopierten Daten.
Nur die Daten mit einer Everyone-Berechtigung waren zugänglich.
Tipps bezüglich des UAC-Bugs von Server 2012 wurden berücksichtigt und die UAC in der Registry deaktiviert - aber das Problem liegt wohl eher am Domänenwechsel.
Ein Test mit dem ABC-Domänenadmin (lokal als Admin hinzugefügt - die alte Domäne ist noch verfügbar) war logischerweise auch erfolgreich - dieser hat (weiterhin) Zugriff auf alle Dateien.
Nun stellt sich die Frage, wie man die Berechtigungs-Struktur so hinbiegen kann, dass die Ordner- und Datei-Berechtigungen erhalten bleiben,
aber sowohl die XYZ-Domänenadmins als auch der lokale Serveradmin den Zugriff auf die Dateien wiederbekommt?
Ansätze mit SetACL und TakeOver habe ich schon beim googeln gesehen, aber ehrlich gesagt sind mir die Wege mit Powershell nicht wirklich vertraut.
Ich hoffe sehr, dass jemand hier einen Lösungsweg aufzeigen kann.
Vielen Dank fürs Mithelfen auf jeden Fall schon einmal im voraus.
Gruß,
HoyGroDo
Mein Problem ist relativ komplex...
Die Daten eines Fileservers mussten bei einem OS-Wechsel von Server 2003 auf Server 2012 auf einen neuen Server umziehen.
Die Kopie der Daten wurde unter beibehalten der NTFS-Berechtigungen innerhalb der gleichen Domäne (ABC) per TotalCommander durchgeführt.
Anschließend wurde der neue 2012er-Server per ADMT von Microsoft in eine neue Domäne (XYZ) gebracht.
Danach hatte der XYZ-Domänen-Admin als auch der lokale Admin des Servers keine Berechtigung auf die kopierten Daten.
Nur die Daten mit einer Everyone-Berechtigung waren zugänglich.
Tipps bezüglich des UAC-Bugs von Server 2012 wurden berücksichtigt und die UAC in der Registry deaktiviert - aber das Problem liegt wohl eher am Domänenwechsel.
Ein Test mit dem ABC-Domänenadmin (lokal als Admin hinzugefügt - die alte Domäne ist noch verfügbar) war logischerweise auch erfolgreich - dieser hat (weiterhin) Zugriff auf alle Dateien.
Nun stellt sich die Frage, wie man die Berechtigungs-Struktur so hinbiegen kann, dass die Ordner- und Datei-Berechtigungen erhalten bleiben,
aber sowohl die XYZ-Domänenadmins als auch der lokale Serveradmin den Zugriff auf die Dateien wiederbekommt?
Ansätze mit SetACL und TakeOver habe ich schon beim googeln gesehen, aber ehrlich gesagt sind mir die Wege mit Powershell nicht wirklich vertraut.
Ich hoffe sehr, dass jemand hier einen Lösungsweg aufzeigen kann.
Vielen Dank fürs Mithelfen auf jeden Fall schon einmal im voraus.
Gruß,
HoyGroDo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274141
Url: https://administrator.de/contentid/274141
Printed on: April 28, 2024 at 16:04 o'clock
3 Comments
Latest comment
Hi,
Dass der XYZ-Domänen-Admin jetzt keine Rechte hat, kann gut sein, wenn nicht über die lokale Gruppe "Administratoren" berechtigt wurde.
Du erwähnst zwar die Migration des Servers mit ADMT aber nicht die der Benutzer und Gruppen? Hast Du diese auch mit ADMT migriert oder hast Du in der XYZ neue, gleichnamige Benutzer angelegt?
Zwischen den Domänen besteht noch eine Vertrauenstellung? Falls ja - können den Benutzer von ABC noch auf die Daten des Servers zugreifen?
E.
Danach hatte der XYZ-Domänen-Admin als auch der lokale Admin des Servers keine Berechtigung auf die kopierten Daten. Nur die Daten mit einer Everyone-Berechtigung waren zugänglich.
Du weißt aber sicher, dass der lokale Admin vorher Rechte darauf hatte?Dass der XYZ-Domänen-Admin jetzt keine Rechte hat, kann gut sein, wenn nicht über die lokale Gruppe "Administratoren" berechtigt wurde.
Du erwähnst zwar die Migration des Servers mit ADMT aber nicht die der Benutzer und Gruppen? Hast Du diese auch mit ADMT migriert oder hast Du in der XYZ neue, gleichnamige Benutzer angelegt?
Zwischen den Domänen besteht noch eine Vertrauenstellung? Falls ja - können den Benutzer von ABC noch auf die Daten des Servers zugreifen?
E.
Hallo,
ja der lokale Admin hatte Rechte darauf, aber der Server ist ja nun ein anderer.
Der XYZ-Admin ist in der lokalen Administrator-Gruppe, das scheint aber keine Auswirkungen zu haben.
Die Domänen-Benutzer sind alle ebenfalls per ADMT migriert worden - deren Zugriffe funktionieren auch noch.
Der ABC-Admin ist allerdings nicht migriert worden,da es zum einen bereits einen XYZ-Admin gab und ein Umbenennen nicht in Frage am, da die alte XYZ-Domäne noch existiert - inkl. noch produktiver Server und Clients. Wir sind halt mittendrin in der Umstellung.
ABC-Benutzer hätten weiterhin Zugriff auf die Daten, die sind aber alle schon umgestellt.
Somit bleibt meiner Meinung nach nur der Weg, den neuen XYZ-Admins Rechte auf die Daten einzurichten, ohne jedoch die bereits bestehenden Rechte abzuändern.
Due Frage ist nur - wie sieht dieser Weg aus?
Gruß,
HoyGroDo
ja der lokale Admin hatte Rechte darauf, aber der Server ist ja nun ein anderer.
Der XYZ-Admin ist in der lokalen Administrator-Gruppe, das scheint aber keine Auswirkungen zu haben.
Die Domänen-Benutzer sind alle ebenfalls per ADMT migriert worden - deren Zugriffe funktionieren auch noch.
Der ABC-Admin ist allerdings nicht migriert worden,da es zum einen bereits einen XYZ-Admin gab und ein Umbenennen nicht in Frage am, da die alte XYZ-Domäne noch existiert - inkl. noch produktiver Server und Clients. Wir sind halt mittendrin in der Umstellung.
ABC-Benutzer hätten weiterhin Zugriff auf die Daten, die sind aber alle schon umgestellt.
Somit bleibt meiner Meinung nach nur der Weg, den neuen XYZ-Admins Rechte auf die Daten einzurichten, ohne jedoch die bereits bestehenden Rechte abzuändern.
Due Frage ist nur - wie sieht dieser Weg aus?
Gruß,
HoyGroDo
Der "Fehler" scheint mir zu sein, dass der lokale Administrator berechtigt wurde und nicht die Gruppe "Administratoren".
Steht denn SYSTEM in den ACL? Mit Vollzugriff?
Falls ja:
Dann eine CMD im SYSTEM-Kontext starten. z.B. mit PsExec
In dieser CMD mittels cacls die ACLs bearbeiten.
Das geht natürlich auch unter einem anderen Benutzer, der z.Z. noch Vollzugriff auf die Ordner und Dateien hat.
E.
Steht denn SYSTEM in den ACL? Mit Vollzugriff?
Falls ja:
Dann eine CMD im SYSTEM-Kontext starten. z.B. mit PsExec
psexec /s cmdcacls Ordnerpfad /T /E /G VORDEFINIERT\Administratoren:FDas geht natürlich auch unter einem anderen Benutzer, der z.Z. noch Vollzugriff auf die Ordner und Dateien hat.
E.
