none
Domain Admin kann nicht ins Netlogon schreiben RRS feed

  • Frage

  • Hi,
    wir haben eine AD Domäne auf 2003 Level mit drei DCs (1x 2003, 2x 2008R2).
    Da wir mehrere Admins sind, haben wir überlegt, das es wohl Sinn macht das jeder seinen eigenen Domain Admin hat.

    Wir haben deshalb mehere Domain Admins gebaut und diese auch in die organisationsadmins mit aufgenommen.
    Nun ist uns aufgefallen, das diese zusätzlichen Admins nicht in das \\domain.local\netlogon Verzeichnis schreiben können.

    Was machen wir dort falsch?

    Gruß

    Florian

    Dienstag, 28. Juni 2011 09:15

Antworten

  • Hi

    Am 28.06.2011 11:15, schrieb Florian Schalk:

    Nun ist uns aufgefallen, das diese zusätzlichen Admins nicht in das
    \\domain.local\netlogon <file://\\domain.local\netlogon> Verzeichnis
    schreiben können.

    Über den UNC Pfad gelten zuerst die Freigabeberechtigungen, diese sind
    für Administratoren konfiguriert. Ihr habt UAC aktiv und seit im Moment
    des Zugriffs keine Administratoren.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 28. Juni 2011 18:36

Alle Antworten

  • > Nun ist uns aufgefallen, das diese zusätzlichen Admins nicht in das
    > \\domain.local\netlogon <file://\\domain.local\netlogon> Verzeichnis
    > schreiben können.
     
    Und was passiert, wenn Ihr Euch die Netlogon-Freigabe direkt von jedem
    der 3 DCs zuordnet? Welche Gruppenmitgliedschaften haben die "Domain
    Admins"? Welche Rechte sind auf den Netlogon-Freigaben auf jedem der DCs
    gesetzt?
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Dienstag, 28. Juni 2011 11:25
  • Moin Martin,

    Wenn ich das noch richtig in Erinnerung habe, versteckt sich das netlogon unter dem Pfad:

    C:\Windows\SYSVOL\sysvol\nrc.de\scripts

    Auch dort kann ich nichts ändern oder neu anlegen.

     

    Die Zugriffsrechte darauf sind:

        Domain-Admins, ersteller-Besitzer und System  Vollzugriff
        Auth.Benutzer, Server Operatoren: Nur lesen

    'Mein' Admin ist Mitglied der Gruppen

       Domanen-Benutzer
       Domänen-Admins
       Organisations-Admins

    Die Gruppen Domaänen-Admins und Organisations-Admins sind wiederum Mitglied von

       Abgelehnte RODC-Kennwort...
       Adminsitratoren   Built-In

     

    Gruß

    Florian

     

    Dienstag, 28. Juni 2011 12:17
  • Paßt soweit "eigentlich". Ganz blöde Frage: Was genau kriegst Du für ne
    Meldung, wenn Du ein Verzeichnis oder eine Datei erstellen willst?
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Dienstag, 28. Juni 2011 14:04
  • Auf dem 2008R2 Server bekomme ich dei Meldung:

         Sie benötigen Berechtigungen zur Durchführung dieses Vorgangs.

         Wiederholen    Abbrechen

     

    Gruß

    Florian

    Dienstag, 28. Juni 2011 15:40
  • Und was sagt icacls zu den Rechten auf dem Scripts-Ordner?
    Und was sagt "whoami /groups"?
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Dienstag, 28. Juni 2011 15:44
  • Hi

    Am 28.06.2011 11:15, schrieb Florian Schalk:

    Nun ist uns aufgefallen, das diese zusätzlichen Admins nicht in das
    \\domain.local\netlogon <file://\\domain.local\netlogon> Verzeichnis
    schreiben können.

    Über den UNC Pfad gelten zuerst die Freigabeberechtigungen, diese sind
    für Administratoren konfiguriert. Ihr habt UAC aktiv und seit im Moment
    des Zugriffs keine Administratoren.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Dienstag, 28. Juni 2011 18:36
  • UAC abschalten und schon gehts.

    Hätte mir auch auffallen können, das es auf dem 2003 Server ja geht, aber nicht unter 2008.

    Vielen Dank

    Florian

    Mittwoch, 29. Juni 2011 10:31
  • > Hätte mir auch auffallen können, das es auf dem 2003 Server ja geht,
    > aber nicht unter 2008.
     
    Aaah ok: "LocalAccountTokenFilterPolicy=0" oder die
    Freigabeberechtigungen anpassen... UAC abschalten ist nicht der richtige
    Weg.
     
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Mittwoch, 29. Juni 2011 11:43