none
Domänen Admins kein Zugriff aufs Dateisystem / Windows Server 2008 RRS feed

  • Frage

  • Sehr geehrte Damen und Herren,

    ich habe ein Problem bei dem ich wirklich ratlos bin... Vielleicht könnt ihr helfen?

    Erstelle ich mit einem Domänenkonto welches der Gruppe Domänen Admins zugehörig ist ein Verzeichnis auf einem 2003 Server und begrenze die Dateisystemrechte soweit, das nur die Gruppe Domänen Admins zugriffsberechtigt ist, habe ich weiterhin (so soll’s schließlich sein) vollen Zugriff auf das Verzeichnis.

    Die gleiche Vorgehensweise auf einem 2008er Server (dabei ist es egal welchen ich in unserer Domäne wähle) führt beim Zugriff zu der Fehlermeldung „Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner, Klicken Sie auf Fortsetzen um dauerhaft Zugriff auf diesen Ordner zu erhalten".
    Ein ausgeführtes GPRESULT auf dem Server bestätigt aber die Zugehörigkeit zur Gruppe der Domänen Admins. Ebenso sind die Domänen Admins Mitglied der lokalen Administratoren Gruppe.
    Ich habe bereits einen Testserver in eine AD Organisationseinheit verschoben und dort die Vererbung der Gruppenrichtlinien deaktiviert. Auch die Default Domain Policy habe ich bereits automatisch neuschreiben lassen. Ebenso habe ich Testweise die “ Verstärkten Sicherheitseinstellungen des Internetexplorers“ deaktiviert. Leider brachte alles nicht den gewünschten Erfolg.

    Habt ihr noch eine Idee?

     

    Grüße und vielen Dank im voraus.

    Marc

    Donnerstag, 8. September 2011 08:38

Antworten

  • Habe jetzt mal die UAC deaktiviert... und... GEHT.

    Vielen Dank für deine Mühe!

    • Als Antwort markiert Marc Urban Donnerstag, 8. September 2011 13:33
    Donnerstag, 8. September 2011 13:33

Alle Antworten

  • * Marc Urban (Thu, 8 Sep 2011 08:38:49 +0000)

    Die gleiche Vorgehensweise auf einem 2008er Server (dabei ist es egal
    welchen ich in unserer Domäne wähle) führt beim Zugriff zu der
    Fehlermeldung [...]

    Aha. Welcherart Zugriff denn (lokal, entfernt)?

    Ein ausgeführtes GPRESULT auf dem Server bestätigt aber die Zugehörigkeit zur Gruppe der Domänen Admins.

    Wie wär's denn mit whoami?

    Ich habe bereits einen Testserver in eine AD Organisationseinheit
    verschoben und dort die Vererbung der Gruppenrichtlinien deaktiviert.

    Irgendwie habe ich den Eindruck, daß du im "falschen Film bist". Was haben denn Gruppenrichtlinien mit Dateisystemberechtigungen zu tun?

    Habt ihr noch eine Idee?

    Wie wär's denn mit "Effective Permissions"? Daß ist doch das allererste, was man prüft.

    Thorsten

    Donnerstag, 8. September 2011 09:16
  • Hi Thorsten,

    das Verzeichnis lege ich lokal auf dem 2008er Server an, entferne alle Zugriffsberechtigungen außer die Gruppe der Domänen Admins.

    Whoami /Groups bestätigt das ich mit meinem Konto der Gruppe der Domänen Admins angehöre.

     

    Folgendes konnte ich in der Zwischenzeit noch feststellen:

    Richte ich lokal auf ein auf einem 2008er Server ein Testverzeichnis ein auf das nur Domänen Admins Zugriff haben, habe ich als Domänen Admin keinen lokalen Zugriff. Dieses Problem habe ich auf allen 2008er Servern in meiner Domäne.

    Greife ich jedoch von einem beliebigen 2008er Server mit einem Domänen-Admin Konto auf das erstellte Testverzeichnis remote zu, habe ich Zugriff.

    Daher dachte ich es greift vielleicht fälschlicherweise eine lokale Policy der Servers die den Zugriff von Domänen Admins lokal sperrt?

    Lasse ich mir die Effektiven Berechtigungen der Gruppe Domänen Admins anzeigen haben diese Vollzugriff.

    Donnerstag, 8. September 2011 09:53
  • * Marc Urban (Thu, 8 Sep 2011 09:53:32 +0000)

    das Verzeichnis lege ich lokal auf dem 2008er Server an, entferne alle
    Zugriffsberechtigungen außer die Gruppe der Domänen Admins.

    Whoami /Groups bestätigt das ich mit meinem Konto der Gruppe der
    Domänen Admins angehöre.

    Richte ich lokal auf ein auf einem 2008er Server ein Testverzeichnis
    ein auf das nur Domänen Admins Zugriff haben, habe ich als Domänen
    Admin keinen lokalen Zugriff. Dieses Problem habe ich auf allen 2008er
    Servern in meiner Domäne.

    Greife ich jedoch von einem beliebigen 2008er Server mit einem
    Domänen-Admin Konto auf das erstellte Testverzeichnis remote zu, habe
    ich Zugriff.

    Daher dachte ich es greift vielleicht fälschlicherweise eine lokale
    Policy der Servers die den Zugriff von Domänen Admins lokal sperrt?

    Dann wäre der Zugriff ja unabhängig von den Berechtigungen gesperrt.

    Wenn's eine lokale Richtlinie ist, dann sollte derjenige davon wissen, der den Windows 2008 installiert hat. Wenn's eine Domaenen-Richtlinie ist, dann solltest du auch davon wissen und sie müßte auch für die 2003-
    Server gelten.

    Lasse ich mir die Effektiven Berechtigungen der Gruppe Domänen Admins
    anzeigen haben diese Vollzugriff.

    Falscher Ansatz: du mußt dir die effektive Berechtigung für den Anwender anzeigen lassen.

    Ansonsten kommt mir nur noch UAC und Process Monitor in den Sinn. UAC wäre atypisch für das Verhalten.

    Donnerstag, 8. September 2011 10:26
  • Hi Thorsten,

    es gab diverse Personalwechsel und die ehemaligen Ansprechpartner die für die Serververwaltung zuständig waren sind nun nichtmehr ansprechbar. Eine entsprechende Domänenrichtlinie kann ich nicht sein, diese habe ich bereits überprüft.

    Es könnte höchstens eine lokale Richtlinie sein. Nur weiß ich dort nicht wo ich suchen soll.

     

    Mit den effektiven Berechtigungen, sorry fehler von mir.

    Wenn ich mir lokal die Effektiven Berechtigungen des Domänen Admins auf diesen Testordner anzeigen lasse hat dieser Vollzugriff auf den Ordner. Also klappt die zuordnung zur Gruppe Domänenadmins ohne Probleme.

    Dennoch habe ich lokal keinen Zugriff.

    Donnerstag, 8. September 2011 13:26
  • Habe jetzt mal die UAC deaktiviert... und... GEHT.

    Vielen Dank für deine Mühe!

    • Als Antwort markiert Marc Urban Donnerstag, 8. September 2011 13:33
    Donnerstag, 8. September 2011 13:33