Zugriff auf Ordner über Gruppenmitgliedschaft Domänen-Admins

bl0cks1z3
Goto Top
Hallo Admins,

ich habe gerade einen neuen Windows Server 2019 installiert und der soll als Dateiserver laufen. Ich habe noch nicht mit Windows 2019 Server gearbeitet.

Ich habe die Aufgabe bekommen auf eine Ordnerstruktur die vorgegebene Berechtigungen einzurichten.

Ich habe mich an dem Server mit einem Account angemeldet, der Mitglied der Gruppe Domänen-Admins ist. Das ist auch die primäre Gruppe des Accounts. Die Domänen-Admins sind auch Mitglied der lokalen Gruppe der Administratoren auf dem 2019er Memberserver.

Ich habe nun ein Verzeichnis innerhalb einer Freigabe angelegt (direkt auf dem Server, nicht über die Freigabe) und habe Einschränkungen über NTFS eingellt:

Administratoren -> Voll
SYSTEM -> Voll
XYZ -> ...

Wenn ich nun auf das Verzeichnis klicke, bekomme ich folgende Meldung

"Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner" "Klicken Sie auf "Fortsetzen", um dauerhaft Zugriff auf diesen Ordner zu erhalten".

Klicke ich hier auf "Fortsetzen" wird der Account des Benutzers mit dem ich mich angemeldet habe automatisch mit "Vollzugriff" in die Sicherheitseinstellungen des Ordners eingefügt.

Das möchte ich aber garnicht. Der Account sollte doch schon Vollzugriff über die Gruppenberechtigungen haben.

Was ist das Problem?

Content-Key: 549178

Url: https://administrator.de/contentid/549178

Ausgedruckt am: 01.07.2022 um 15:07 Uhr

Mitglied: SlainteMhath
SlainteMhath 19.02.2020 um 11:18:42 Uhr
Goto Top
Moin,

1. Das mit dem Domain-Admin zu tun ist overkill! Least-Privileges ist dein Stichwort...
2. Leg eine Server-Lokale "File-Admins" Gruppe an, pack da einen AD-User rein und gib der Rechte auf das Verzeichnis, dann kommen keine Rückfragen mehr.

Hintergrund: alle "eingebauten" Admin-User und -Gruppen. werden vom OS gesondert gesichert behandelt.

lg,
Slainte
Mitglied: erikro
erikro 19.02.2020 um 12:26:52 Uhr
Goto Top
Moin,

das ist das gewollte Verhalten des UAC. Direkt am Server greifen die Rechte nicht, wenn du als Admin angemeldet bist. Greifst du vom Client auf die Ordner über's Netz als Admin zu, dann geht's.

hth

Erik