none
Unterschied Dateizugriffsberechtigung Benutzer/Gruppe ziwschen SRV 2008R2 und SRV 2016 ? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Forengemeinde!

    Auf einem SRV 2008R2 (DC) existiert eine Freigabe "Benutzer". Unterhalb dieser Freigabe liegen die Verzeichnisse der einzelnen Benutzer (Müller, Meyer, Kuntze). Auf diese Verzeichnisse haben jeweils der Benutzer selbst sowie die Gruppe "Administratoren" Zugriffsrechte. Ich bin am Server als Domänen-Admin angemeldet und kann auf alle Verzeichnisse zugreifen.

    Den gesamten Baum kopiere ich nun mit Robocopy unter Beibehaltung der Rechte auf einen SRV 2016 (ebenfalls ein DC). Dort bin ich ebenfalls als Domänen-Admin angemeldet, kann aber (erst mal) NICHT auf die gerade kopierten Userverzeichnisse zugreifen ("hineinsehen").

    Bei näherer Betrachtung stellt sich heraus. dass die Rechte sauber kopiert wurden, auch auf dem Server 2016 haben jeweils der zugehörige Benutzer und die die Gruppe "Administratoren" Zugriff auf den jeweiligen Ordner, als angemeldeter Domänen-Admin kann ich aber wie beschrieben den Ordner nicht einsehen.

    Wenn ich nun zusätzlich zu den vorhandenen Berechtigungen auch noch den Benutzer "Administrator" für den Ordner berechtige, ist der Zugriff wieder möglich.

    "Administrator" ist aber Mitglied von "Administratoren", darum kann ich die Logik dahinter nicht wirklich verstehen.
    Hat sich da bei Server 2016 etwas geändert?

    Vielen Dank im Voraus!

    TJ


    P.S.: Auf das übergeordnete Verzeichnis "Benutzer" hat die Gruppe "Administratoren" Vollzugriff und die Gruppe "Domänenbenutzer" die Rechte "Order durchsuchen" "Ordner auflisten" "Attribute auslesen" "Erweiterte Attribute auslesen" und "Berechtigungen lesen".
    • Bearbeitet T.J. Hooker Mittwoch, 12. April 2017 05:55
    Mittwoch, 12. April 2017 05:49
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    > Wenn ich nun zusätzlich zu den vorhandenen Berechtigungen auch noch den Benutzer "Administrator" für den Ordner berechtige, ist der Zugriff wieder möglich.
     
    Diese "Administratoren" sind S-1-5-32-544? Und UAC ist an oder aus? Wenn UAC aus ist, dann hast Du die SID "ganz normal" in Deinem Token. Wenn UAC an ist, dann hast Du sie zwar auch drin, aber nicht für "Zugriff zulassen", sondern nur für "Zugriff verweigern".
     
    • Als Antwort markiert T.J. Hooker Mittwoch, 12. April 2017 17:11
    Mittwoch, 12. April 2017 09:42
    |
  • Question
    Anmelden
    1
    Anmelden
    > Ja, die SID trifft. Dann geht 2016 (bzw. die UAC) aber doch irgendwie anders damit um als 2008R2?
     
    Da hat sich seit 2008 nichts geändert... Was sagt denn "whoami /groups" auf den beiden Servern?
     
    Wenn UAC deaktiviert ist, findest Du dort unter anderem folgende Einträge:
    VORDEFINIERT\Administratoren                                         Alias           S-1-5-32-544                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
    Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe                 Bezeichnung     S-1-16-12288
     
    Wenn UAC aktiviert ist, findest Du dagegen folgendes:
    VORDEFINIERT\Administratoren                                         Alias           S-1-5-32-544                                   Gruppen, die nur zum Ablehnen verwendet wird
    Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe             Bezeichnung     S-1-16-8192
     
    Startest Du bei aktivierter UAC eine Commandline als Admin, findest Du wieder:
    VORDEFINIERT\Administratoren                                         Alias           S-1-5-32-544                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
    Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe                 Bezeichnung     S-1-16-12288
     
    Du siehst die Unterschiede?
     
    • Als Antwort markiert T.J. Hooker Mittwoch, 12. April 2017 17:11
    Mittwoch, 12. April 2017 16:13
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 12.04.2017 schrieb T.J. Hooker:

    Wenn ich - direkt am Server - in den Ordner hinein will (Doppelklick) folgender Fehler:

    <https://social.technet.microsoft.com/Forums/getfile/1039082>

    Lies doch mal:
    https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    • Als Antwort markiert T.J. Hooker Mittwoch, 12. April 2017 17:11
    Mittwoch, 12. April 2017 16:23
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    > Den gesamten Baum kopiere ich nun mit Robocopy unter Beibehaltung der Rechte auf einen SRV 2016 (ebenfalls ein DC).
     
    Gleiche Domäne, oder?
     
    > Dort bin ich ebenfalls als Domänen-Admin angemeldet, kann aber (erst mal) NICHT auf die gerade kopierten Userverzeichnisse zugreifen ("hineinsehen").
     
    Was genau meinst Du mit "kann nicht"? Fehlermeldung?
     
    > Hat sich da bei Server 2016 etwas geändert?
     
    Nein.
     
    Mittwoch, 12. April 2017 09:07
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi!

    Vielen Dank!

    Wenn ich - direkt am Server - in den Ordner hinein will (Doppelklick) folgender Fehler:

    Will ich mir dann die Berechtigung dieses Ordner ansehen kommt:



    TJ

    Mittwoch, 12. April 2017 09:18
    |
  • Question
    Anmelden
    1
    Anmelden
    > Wenn ich nun zusätzlich zu den vorhandenen Berechtigungen auch noch den Benutzer "Administrator" für den Ordner berechtige, ist der Zugriff wieder möglich.
     
    Diese "Administratoren" sind S-1-5-32-544? Und UAC ist an oder aus? Wenn UAC aus ist, dann hast Du die SID "ganz normal" in Deinem Token. Wenn UAC an ist, dann hast Du sie zwar auch drin, aber nicht für "Zugriff zulassen", sondern nur für "Zugriff verweigern".
     
    • Als Antwort markiert T.J. Hooker Mittwoch, 12. April 2017 17:11
    Mittwoch, 12. April 2017 09:42
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo!

    Erneut: Danke!

    Ja, die SID trifft. Dann geht 2016 (bzw. die UAC) aber doch irgendwie anders damit um als 2008R2?

    TJ

    Mittwoch, 12. April 2017 11:45
    |
  • Question
    Anmelden
    1
    Anmelden
    > Ja, die SID trifft. Dann geht 2016 (bzw. die UAC) aber doch irgendwie anders damit um als 2008R2?
     
    Da hat sich seit 2008 nichts geändert... Was sagt denn "whoami /groups" auf den beiden Servern?
     
    Wenn UAC deaktiviert ist, findest Du dort unter anderem folgende Einträge:
    VORDEFINIERT\Administratoren                                         Alias           S-1-5-32-544                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
    Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe                 Bezeichnung     S-1-16-12288
     
    Wenn UAC aktiviert ist, findest Du dagegen folgendes:
    VORDEFINIERT\Administratoren                                         Alias           S-1-5-32-544                                   Gruppen, die nur zum Ablehnen verwendet wird
    Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe             Bezeichnung     S-1-16-8192
     
    Startest Du bei aktivierter UAC eine Commandline als Admin, findest Du wieder:
    VORDEFINIERT\Administratoren                                         Alias           S-1-5-32-544                                   Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe, Gruppenbesitzer
    Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe                 Bezeichnung     S-1-16-12288
     
    Du siehst die Unterschiede?
     
    • Als Antwort markiert T.J. Hooker Mittwoch, 12. April 2017 17:11
    Mittwoch, 12. April 2017 16:13
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 12.04.2017 schrieb T.J. Hooker:

    Wenn ich - direkt am Server - in den Ordner hinein will (Doppelklick) folgender Fehler:

    <https://social.technet.microsoft.com/Forums/getfile/1039082>

    Lies doch mal:
    https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    • Als Antwort markiert T.J. Hooker Mittwoch, 12. April 2017 17:11
    Mittwoch, 12. April 2017 16:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo!

    der Whoami-Befehl hat gezeigt, dass die UAC am 2008 R2 deaktiviert, am 2016er aber aktiviert ist.
    Der Artikel, den Winfried verlinkt hat, erklärt dann sehr schön, warum das Verhalten deswegen unterschiedlich ist.

    DANKE an euch beide!

    Ich habe meine Berechtigungen nun umgestellt und statt der Gruppe "Adminustratoren" den Benutzer "Administrator" berechtigt, nun ist alles wie es sein soll.

    Nochmals DANKE!

    TJ

     
    • Bearbeitet T.J. Hooker Mittwoch, 12. April 2017 17:11
    Mittwoch, 12. April 2017 17:11
    |