Windows Server 2012 R2 standard - nach Domänen-Migration keine Rechte mehr auf Ordner bzw. Dateien
Hallo!
Mein Problem ist relativ komplex...
Die Daten eines Fileservers mussten bei einem OS-Wechsel von Server 2003 auf Server 2012 auf einen neuen Server umziehen.
Die Kopie der Daten wurde unter beibehalten der NTFS-Berechtigungen innerhalb der gleichen Domäne (ABC) per TotalCommander durchgeführt.
Anschließend wurde der neue 2012er-Server per ADMT von Microsoft in eine neue Domäne (XYZ) gebracht.
Danach hatte der XYZ-Domänen-Admin als auch der lokale Admin des Servers keine Berechtigung auf die kopierten Daten.
Nur die Daten mit einer Everyone-Berechtigung waren zugänglich.
Tipps bezüglich des UAC-Bugs von Server 2012 wurden berücksichtigt und die UAC in der Registry deaktiviert - aber das Problem liegt wohl eher am Domänenwechsel.
Ein Test mit dem ABC-Domänenadmin (lokal als Admin hinzugefügt - die alte Domäne ist noch verfügbar) war logischerweise auch erfolgreich - dieser hat (weiterhin) Zugriff auf alle Dateien.
Nun stellt sich die Frage, wie man die Berechtigungs-Struktur so hinbiegen kann, dass die Ordner- und Datei-Berechtigungen erhalten bleiben,
aber sowohl die XYZ-Domänenadmins als auch der lokale Serveradmin den Zugriff auf die Dateien wiederbekommt?
Ansätze mit SetACL und TakeOver habe ich schon beim googeln gesehen, aber ehrlich gesagt sind mir die Wege mit Powershell nicht wirklich vertraut.
Ich hoffe sehr, dass jemand hier einen Lösungsweg aufzeigen kann.
Vielen Dank fürs Mithelfen auf jeden Fall schon einmal im voraus.
Gruß,
HoyGroDo
Mein Problem ist relativ komplex...
Die Daten eines Fileservers mussten bei einem OS-Wechsel von Server 2003 auf Server 2012 auf einen neuen Server umziehen.
Die Kopie der Daten wurde unter beibehalten der NTFS-Berechtigungen innerhalb der gleichen Domäne (ABC) per TotalCommander durchgeführt.
Anschließend wurde der neue 2012er-Server per ADMT von Microsoft in eine neue Domäne (XYZ) gebracht.
Danach hatte der XYZ-Domänen-Admin als auch der lokale Admin des Servers keine Berechtigung auf die kopierten Daten.
Nur die Daten mit einer Everyone-Berechtigung waren zugänglich.
Tipps bezüglich des UAC-Bugs von Server 2012 wurden berücksichtigt und die UAC in der Registry deaktiviert - aber das Problem liegt wohl eher am Domänenwechsel.
Ein Test mit dem ABC-Domänenadmin (lokal als Admin hinzugefügt - die alte Domäne ist noch verfügbar) war logischerweise auch erfolgreich - dieser hat (weiterhin) Zugriff auf alle Dateien.
Nun stellt sich die Frage, wie man die Berechtigungs-Struktur so hinbiegen kann, dass die Ordner- und Datei-Berechtigungen erhalten bleiben,
aber sowohl die XYZ-Domänenadmins als auch der lokale Serveradmin den Zugriff auf die Dateien wiederbekommt?
Ansätze mit SetACL und TakeOver habe ich schon beim googeln gesehen, aber ehrlich gesagt sind mir die Wege mit Powershell nicht wirklich vertraut.
Ich hoffe sehr, dass jemand hier einen Lösungsweg aufzeigen kann.
Vielen Dank fürs Mithelfen auf jeden Fall schon einmal im voraus.
Gruß,
HoyGroDo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 274141
Url: https://administrator.de/forum/windows-server-2012-r2-standard-nach-domaenen-migration-keine-rechte-mehr-auf-ordner-bzw-dateien-274141.html
Ausgedruckt am: 25.12.2024 um 15:12 Uhr
3 Kommentare
Neuester Kommentar
Hi,
Dass der XYZ-Domänen-Admin jetzt keine Rechte hat, kann gut sein, wenn nicht über die lokale Gruppe "Administratoren" berechtigt wurde.
Du erwähnst zwar die Migration des Servers mit ADMT aber nicht die der Benutzer und Gruppen? Hast Du diese auch mit ADMT migriert oder hast Du in der XYZ neue, gleichnamige Benutzer angelegt?
Zwischen den Domänen besteht noch eine Vertrauenstellung? Falls ja - können den Benutzer von ABC noch auf die Daten des Servers zugreifen?
E.
Danach hatte der XYZ-Domänen-Admin als auch der lokale Admin des Servers keine Berechtigung auf die kopierten Daten. Nur die Daten mit einer Everyone-Berechtigung waren zugänglich.
Du weißt aber sicher, dass der lokale Admin vorher Rechte darauf hatte?Dass der XYZ-Domänen-Admin jetzt keine Rechte hat, kann gut sein, wenn nicht über die lokale Gruppe "Administratoren" berechtigt wurde.
Du erwähnst zwar die Migration des Servers mit ADMT aber nicht die der Benutzer und Gruppen? Hast Du diese auch mit ADMT migriert oder hast Du in der XYZ neue, gleichnamige Benutzer angelegt?
Zwischen den Domänen besteht noch eine Vertrauenstellung? Falls ja - können den Benutzer von ABC noch auf die Daten des Servers zugreifen?
E.
Der "Fehler" scheint mir zu sein, dass der lokale Administrator berechtigt wurde und nicht die Gruppe "Administratoren".
Steht denn SYSTEM in den ACL? Mit Vollzugriff?
Falls ja:
Dann eine CMD im SYSTEM-Kontext starten. z.B. mit PsExec
In dieser CMD mittels cacls die ACLs bearbeiten.
Das geht natürlich auch unter einem anderen Benutzer, der z.Z. noch Vollzugriff auf die Ordner und Dateien hat.
E.
Steht denn SYSTEM in den ACL? Mit Vollzugriff?
Falls ja:
Dann eine CMD im SYSTEM-Kontext starten. z.B. mit PsExec
psexec /s cmd
cacls Ordnerpfad /T /E /G VORDEFINIERT\Administratoren:F
Das geht natürlich auch unter einem anderen Benutzer, der z.Z. noch Vollzugriff auf die Ordner und Dateien hat.
E.