locked
Rechtevererbung zwischen lokalem Nutzerkonto und Domänenkonto? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Ich habe eine W2012-Domäne mit Clients W7. Auf einem Server liegt ein Verzeichnis X, welches bei den Clients als Netzlaufwerk K: eingebunden ist. Auf dem Server ist für dieses Verzeichnis X die Sicherheitsvererbung deaktiviert. Vollzugriff hat nur der lokale Serveradmin. Andere haben nur Leserecht. Jetzt tritt folgende Merkwürdigkeit auf:

    Wenn ein Domänenclient lokal keine Adminrechte hat, stimmen auf dem Netzlaufwerk K: die Sicherheitseinstellungen wie auf dem Server für das Verzeichnis X vorgegeben. Sobald aber ein Client LOKALE Adminrechte hat, hat er auch volle Zugriffsrechte auf dem Netzlaufwerk K: und somit werden ihm auch für das Verzeichnis X auf dem Server volle Zugriffsrechte angezeigt. Scheinbar werden die lokalen Rechte auf das Netzlaufwerk unerwünscht übertragen. Die Nutzerkontenbezeichnung zwischen Client und Server sind unterschiedlich, ebenso die Paßwörter. Das Problem läßt sich mit beliebigen Userkonten reproduzieren. Wo kann hier der Fehler liegen?

    Dienstag, 4. März 2014 11:01

Antworten

  • Question
    Anmelden
    1
    Anmelden
    > Wenn ein Domänenclient lokal keine Adminrechte hat, stimmen auf dem
    > Netzlaufwerk K: die Sicherheitseinstellungen wie auf dem Server für das
    > Verzeichnis X vorgegeben. Sobald aber ein Client LOKALE Adminrechte hat,
    > hat er auch volle Zugriffsrechte auf dem Netzlaufwerk K: und somit
    > werden ihm auch für das Verzeichnis X auf dem Server volle
     
    Das ist keine Merkwürdigkeit  - wenn Du die lokale Gruppe
    "Administratoren" des Servers berechtigt hast: Das ist immer (!)
    S-1-5-32-544, und wenn ich als User in der clientlokalen
    Administratorengruppe bin, hat die die gleiche SID und die gleichen
    Rechte. "Übertragen" wird da nix.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 11. März 2014 11:06

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Wenn sich ein lokaler Benutzer über das Netzwerk an dem Server anmelden muss, um Zugriff auf das Share zu bekommen, welches DOMÄNEN Benutzerkonto wird denn verwendet?

    Geh mal, angemeldet als lokaler Benutzer an dem Client nach Systemsteuerung\Alle Systemsteuerungselemente\Anmeldeinformationsverwaltung und schau ob dort evtl. Anmeldinformationen für den Domänenserver zwischengespeichert sind.

    Das Szenario, zumindest so wie du es hier beschreibst, ist unmöglich.

    freundliche Grüße Thomas

    Dienstag, 4. März 2014 11:18
  • Question
    Anmelden
    0
    Anmelden
    Die Anmeldung erfolgt bei den Clients immer mit einem Domänen-Konto. Das Problem tritt auf, wenn für dieses Domänenkonto LOKALE Adminrechte gegeben werden. Sobald der Domänenclient in die lokale Gruppe der Admins eingetragen wird, tritt der Effekt beim nächsten Zugriff auf das Netzlaufwerk auf. Habe auch gedacht, es ist unmöglich, aber tritt hier genau so auf.
    Dienstag, 4. März 2014 12:30
  • Question
    Anmelden
    0
    Anmelden

    Dann schau doch mal auf den Fileserver, öffne an dem Client eine bestimmte Datei, merk dir den Name und geh auf dem Fileserver in die Verwaltung der Freigaben, dort siehst du dann welcher User die Datei über´s Netzwerk geöffnet hat, wenn dort dann der Username, der an dem Client lokale Adminrechte hat drin steht können wir weiter analysieren.

    freundliche Grüße Thomas

    Dienstag, 4. März 2014 12:56
  • Question
    Anmelden
    0
    Anmelden

    Habe mit dem Clientkonto auf dem Netzlaufwerk eine PDF geöffnet. Auf dem Server steht unter  ...geöffnete Dateien  eben dieser Clientuser mit dem Öffnungsmodus lesen.

    Auf dem Client werden für diese Datei unter Sicherheitseinstellungen->effektive Berechtigungen für diesen UserVollzugriff angezeigt. Auf dem Server werden für diese Datei und für den gleichen User nur Leserechte angezeigt.

      
    Dienstag, 4. März 2014 13:15
  • Question
    Anmelden
    0
    Anmelden
    Wo vergibst du die Rechte? Per NTFS oder über die Freigabeberechtigungen?

    freundliche Grüße Thomas

    Dienstag, 4. März 2014 13:24
  • Question
    Anmelden
    0
    Anmelden
    Die Netzlaufwerke sind per DFS-Pfad über eine Gruppenrichtlinie bei den Clients eingebunden. Jeder hat für den Oberordner volle Freigabe. Die Zugriffsrechte für die Clients werden nicht über eine Freigabe sondern nur über die Sicherheitseinstellungen gesteuert.
    Dienstag, 4. März 2014 13:46
  • Question
    Anmelden
    1
    Anmelden

    Hast Du den Client oder den User als lokalen Admin hinzugefügt?

    Gruß

    Markus

    Montag, 10. März 2014 17:06
  • Question
    Anmelden
    1
    Anmelden
    > Wenn ein Domänenclient lokal keine Adminrechte hat, stimmen auf dem
    > Netzlaufwerk K: die Sicherheitseinstellungen wie auf dem Server für das
    > Verzeichnis X vorgegeben. Sobald aber ein Client LOKALE Adminrechte hat,
    > hat er auch volle Zugriffsrechte auf dem Netzlaufwerk K: und somit
    > werden ihm auch für das Verzeichnis X auf dem Server volle
     
    Das ist keine Merkwürdigkeit  - wenn Du die lokale Gruppe
    "Administratoren" des Servers berechtigt hast: Das ist immer (!)
    S-1-5-32-544, und wenn ich als User in der clientlokalen
    Administratorengruppe bin, hat die die gleiche SID und die gleichen
    Rechte. "Übertragen" wird da nix.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 11. März 2014 11:06