Zugriff auf Shares mit lokalen Benutzern

agent.ten
Goto Top
Hallo zusammen,

ich habe ein vermeintlich einfaches Problem:
ich möchte auf einem Windows Server 2022 ein Share freigeben.
Der Server ist Mitglied einer Domäne, hat aber auch lokale Benutzer, die in der Gruppe "Administratoren" sind.

In den Freigabeberechtigungen wird "servername\Administratoren" aufgenommen, unter "Sicherheit" erhält die selbe lokale Gruppe Vollzugriff.

Wenn ich nun versuche, auf \\servername\share zuzugreifen, bekomme ich die Meldung
Auf \\servername\share konnte nicht zugegriffen werden. Sie haben keine Berechtigung für den Zugriff....

Wenn ich ein Netzlaufwerk verbinde und andere Anmeldedaten eingebe, also "servername\Administrator" und dessen Passwort erscheint das Anmeldefenster sofort wieder, wenn ich die gleichen Credentials nochmal eingebe, kommt die Fehlermeldung, dass das Netzlaufwerk bereits mit diesen Anmeldedaten verbunden wäre - was es aber nicht ist.

Nachdem das eigentlich eine recht einfache Anforderung ist, bin ich gerade ziemlich ratlos...

TIA!

Content-Key: 2596202324

Url: https://administrator.de/contentid/2596202324

Ausgedruckt am: 17.08.2022 um 07:08 Uhr

Mitglied: bitnarrator
bitnarrator 26.04.2022 um 00:28:02 Uhr
Goto Top
Hallo,

Wenn der Client in der Domäne ist, nutzt er die Domänencredentials. Am besten per net use mit Passwortangabe verbinden. Und wenn der Fehler mit den Anmeldedaten kommt, immer wieder neu-anmelden.

VG
bitnarrator
Mitglied: Agent.TEN
Agent.TEN 26.04.2022 um 07:16:06 Uhr
Goto Top
Hallo Bitnarrator,

vielen Dank für die schnelle Antwort.

Das habe ich bereits versucht: mit net use alle bestehenden Verbindungen getrennt, dann neu verbunden.
Der net use sagt auch der Befehl wurde erfolgreich ausgeführt, ich sehe im Explorer auch den neuen Laufwerksbuchstaben, aber sobald ich den anklicke, kommt wieder das altbekannte
Auf \\servername\share konnte nicht zugegriffen werden.
Mitglied: pantox
pantox 26.04.2022 um 08:42:27 Uhr
Goto Top
Hallo,

überprüfe mal die Freigabeberechtigungen ob dort Jeder Vollzugriff hat und lösche die lokale Gruppe da wieder raus.

Weiter mit den NTFS-Berechtigungen des Ordners der Freigabe, dort trägst du die Gruppe entsprechend deinen Zugriffswünschen ein und entfernst alles was dort eben nicht zugreifen soll (z.B. die Gruppe Benutzer). Achte zudem darauf das die Gruppe durch alle lokalen Unterordner bis zum Freigabeordner wenigstens durchschreiten kann.

BG
pantox
Mitglied: emeriks
Lösung emeriks 26.04.2022 aktualisiert um 09:39:57 Uhr
Goto Top
Hi,
diese Verhalten ist normal.

Bei Deinem ersten Versuch ohne Angabe der Anmeldedaten, hat er Dich mit Deinem Domänenkonto, mit welchem Du gerade am Client angemeldet warst, auch am Server angemeldet. Dieses Konto hat da zwar keinen Zugriff, aber trotzdem läuft da jetzt eine Benutzersitzung. Für standardmäßig 15 min.

Wenn Du es gleich danach mit Angabe der Anmeldedaten des lokalen Kontos versuchst, dann bekommst Du eine Meldung, dass Du versucht hast von einem Client zu einem Server gleichzeitig zwei Benutzertsitzungen zu starten. Weil die Sitzung des Domänenbenutzers läuft ja noch.

Ansätze:
Es gibt da einen - offenbar - Bug:
Wenn Du es mit verschiedenen Aliasen verbindest, dann geht das auch parallel mit verschiedenen Benutzern
Bsp.
1. Verbindung über \\server\freigabe mit dem Domänenkonto
2. Verbindung über \\alias\freigabe mit anderem Domänenkonto
3. Verbindung über \\ip-adresse\freigabe mit lokalem Benutzerkonto

Oder
Du trennst vor dem 2. Versuch explizit die bestehende Sitzung mit
Erst danach mit dem anderen Konto versuchen.

E.
Mitglied: Agent.TEN
Agent.TEN 26.04.2022 um 11:29:17 Uhr
Goto Top
Hallo zusammen,

danke für die Rückmeldungen.
Mein Ziel ist es gar nicht , mit unterschiedlichen Benutzern zuzugreifen, lediglich mit einem einzigen Lokalen.
Zugriff über DNS-Alias brauche ich auch nicht, sonst müsste ich auch einen neuen SPN setzen (ich habe die SPN-Zielnamenüberprüfung aktiviert).

Solange in den Freigabeberechtigungen ausschließlich die "Administratoren" mit Vollzugriff drin sind, klappt der Zugriff nicht.
Ersetze ich das durch "Jeder", dann klappt der Zugriff?!
In den NTFS-Rechten sind weiterhin die "Administratoren" mit Vollzugriff enthalten.
Mitglied: emeriks
emeriks 26.04.2022 um 11:39:34 Uhr
Goto Top
Lies doch bitte meinen Text genau!
Ich erkläre dort, warum das (höchstwahrscheinlich) so eingetreten ist, wie von Dir beschrieben. Kannst Du daraus keine Schlussfolgerung ziehen, was Du tun musst, damit es funktioniert?
Mitglied: pantox
pantox 26.04.2022 um 11:48:08 Uhr
Goto Top
Das Problem ist der Unterschied zwischen Freigabe- und NTFS-Berechtigungen. Freigabe funktioniert nicht mit lokalen Gruppen.

Hier eine ziemlich gute Zusammenfassung: https://blog.netwrix.de/2020/01/02/unterschiede-zwischen-freigabe-und-nt ...

BG
pantox
Mitglied: emeriks
emeriks 26.04.2022 um 11:56:57 Uhr
Goto Top
Zitat von @pantox:
Das Problem ist der Unterschied zwischen Freigabe- und NTFS-Berechtigungen. Freigabe funktioniert nicht mit lokalen Gruppen.
Nein, das ist falsch. Selbstverständlich funktionieren Freigabeberechtigungen auch mit lokalen Gruppen.