none
lokale Administratorengruppe wird bei Dateizugriff nicht aufgelöst. RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wenn ich bei uns, mich lokal auf einen Domäne Server anmelde (OS: 2008R2 oder 2016) und in ein freigegebenen Ordner hineinschauen möchte (als Dom-admin) bekomme ich folgenden Hinweis: 

    Sie verfügen nicht über die Berechtigung des Zugriffs auf diesen Ordner mit den Buttons Fortsetzen(admin) oder Abbrechen.

    Bild darf ich leider noch nicht einfügen.

    Schlimm daran ist, wenn ich nun auf Fortsetzen klicke, ich namentlich mit meinem ADM Konto in alle Unterordner mit Vollzugriff eingetragen werde.

    Probiere ich den gleichen Zugriff über die SMB Freigabe (\\Server\Freigabe\Ordner) so funzt das einwandfrei ohne Nachfrage und namentlichen Einträgen.

    Bei den NTFS Berechtigungen, sieht es so aus, dass die lokalen Administratoren Vollzugriff haben und die Dom-Admins Mitglied der lokalen Administratoren sind.

    Freigabe Jeder / ändern bzw. Vollzugriff (variert bei manchen Servern)

    Besitzer: lokale Administratoren

    Wenn ich nun einen lokale Testgruppe erstelle, die auf das fragliche Verzeichnis Vollzugriff hat und die Dom-Admins Mitglied sind, dann tritt das Problem auch nicht auf. Erschwerend kommt hinzu, dass dieses Problem auf allen unseren Servern reproduzierbar ist. Leider kann ich ich auch zeitlich das Problem nicht eingrenzen, weil es schon existierte bevor ich hier angefangen habe. 

    Warum nehme ich die Gruppe der lokalen Admins nicht einfach weg und ersetze sie durch Dom-Admins?

    Weil das Problem beim Erstellen der Homeshares am meisten Schmerzen bereitet und diese Ordner vom AD erstellt werden und zwar immer mit den lokalen Admins, die dort neben den User Vollzugriff haben.

    Neu aufgesetzte Server 2016 innerhalb unserer Domäne haben das selbe Phänomen.

    Eine als Referenz neu aufgesetzte 2016er Domäne hat das Problem nicht

    So wie ich dass hier geschildert habe, scheint für mich das Problem im Konstrukt der lokalen Administratoren zu liegen, welche aber irgendwie von der Domäne durchgedrückt werden. 

    Achja, ich habe meinen Testserver auch von allen GPO's befreit und hatte das Problem dennoch an den Hacken.

    Also GPO's scheiden aus

    Vielen Dank für die Mühe sich hier rein zudenken...


    • Bearbeitet Bluekobalt Mittwoch, 11. März 2020 07:45
    Dienstag, 10. März 2020 10:19
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Moin,

    das Phänomen ist User Account Control (UAC bzw. "Benutzerkontensteuerung") geschuldet. Lösungen dafür sind drei Stück:

    • über SMB agieren (hast Du ja selber schon herausgefunden ;-) )
    • Mit dem eingebauten Konto "Administrator" lokal agieren (der ist per Default aus dem UAC rausgenommen)
    • UAC deaktivieren (ganz schlechte Idee)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 10. März 2020 10:52
    |
  • Question
    Anmelden
    2
    Anmelden
    Das bislang angebotene ist eher ein Workaround als eine Lösung.

    > Sie verfügen nicht über die Berechtigung des Zugriffs auf diesen Ordner mit den Buttons Fortsetzen(admin) oder Abbrechen.

    Hat doch Evgenji schon erklärt: UAC und Member of Administrators und "Deny Only" ohne Elevation...

    > Probiere ich den gleichen Zugriff über die SMB Freigabe (\\Server\Freigabe\Ordner) so funzt das einwandfrei ohne Nachfrage und namentlichen Einträgen.

    https://lmgtfy.com/?q=filteradministratortoken - auf 0 gesetzt, dann wäre das das erwartete Ergebnis.

    > Weil das Problem beim Erstellen der Homeshares am meisten Schmerzen bereitet und diese Ordner vom AD erstellt werden und zwar immer mit den lokalen Admins, die dort neben den User Vollzugriff haben.

    Deshalb lässt man Home-Folder nicht durch ADUC erstellen, sondern durch ein Skript, das dann die erforderlichen Admin-Gruppen mit berechtigt. Und das sind dann weder Administrators noch Domain Admins.

    Eine "Lösung" in deinem Sinne gibt es nicht. Verwende niemals builtin Admin-Gruppen für die Rechte-Delegation, dann hast Du das Problem auch niemals.

    --
    Greetings/Grüße, Martin



    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Mittwoch, 11. März 2020 10:08
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Moin,

    das Phänomen ist User Account Control (UAC bzw. "Benutzerkontensteuerung") geschuldet. Lösungen dafür sind drei Stück:

    • über SMB agieren (hast Du ja selber schon herausgefunden ;-) )
    • Mit dem eingebauten Konto "Administrator" lokal agieren (der ist per Default aus dem UAC rausgenommen)
    • UAC deaktivieren (ganz schlechte Idee)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 10. März 2020 10:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    vielen Dank für Deine Antwort, was ich vergas zu erzählen, ist: Ich habe eine neutrale Domäne 2016 nachgebaut und konnte das Problem dort nicht reproduzieren. Auch aus anderen Arbeitsumgebungen kannte ich dieses Problem nicht.

    Es kann ja auch nicht sein, das die lokale (Buitin) Admin Gruppe weniger kann, als eine neutrale von mir frisch erstellte Gruppe.

    Kannst Du denn das Problem bei Dir nachstellen? Sprich, wenn Du Dich lokal an deinen Domänenserver anmeldest, hast Du die gleiche Meldung?

    Dienstag, 10. März 2020 11:01
    |
  • Question
    Anmelden
    1
    Anmelden

    Kannst Du denn das Problem bei Dir nachstellen? Sprich, wenn Du Dich lokal an deinen Domänenserver anmeldest, hast Du die gleiche Meldung?

    Das muss ich nicht. Ich kenne es seit Server 2008R2. Sobald der Admin anders heißt als "Administrator" und solange am UAC nicht gedreht wurde, gibt es dieses Phänomen.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 10. März 2020 11:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Nochmals vielen Dank,

    Du hast mit dem umbenannten Adninkonto ins Schwarze getroffen. Teste das gleich mal. Ein zurück in Administrator müsste das ja dann wieder gerade ziehen....


    Dienstag, 10. März 2020 11:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Also leider nein,

    das zurück benennen des Adminkontos war keine Lösung und nach nochmaligen lesen Deiner Antwort meintest Du das wohl auch nicht.

    Es bleibt aber die Tatsache, dass ich dieses Phänomen in einer neu aufgesetzten 2016er Domäne nicht habe.

    Auch aus anderen Arbeitsumgebungen (2008R2) war mir das nicht bekannt. 

    Wäre es wie Du beschrieben hast, hätte ich ja noch eine von mir aufgezeigte Möglichkeit, nämlich einen neue Gruppe bauen, die dann die Dom-Admins als Mitglieder hat und diese Vollzugriff auf den Ordner.

    Für mich sieht es so aus, als wurde irgendwann einmal an den Berechtigungen der lokalen Administratoren geschraubt.

    Ich suche also immer noch nach einer Lösung....

    Dienstag, 10. März 2020 11:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Niemand der eine Lösung hat?

    Das bislang angebotene ist eher ein Workaround als eine Lösung.

    Und auch nur maximal halb richtig!

    Mittwoch, 11. März 2020 07:40
    |
  • Question
    Anmelden
    2
    Anmelden
    Das bislang angebotene ist eher ein Workaround als eine Lösung.

    > Sie verfügen nicht über die Berechtigung des Zugriffs auf diesen Ordner mit den Buttons Fortsetzen(admin) oder Abbrechen.

    Hat doch Evgenji schon erklärt: UAC und Member of Administrators und "Deny Only" ohne Elevation...

    > Probiere ich den gleichen Zugriff über die SMB Freigabe (\\Server\Freigabe\Ordner) so funzt das einwandfrei ohne Nachfrage und namentlichen Einträgen.

    https://lmgtfy.com/?q=filteradministratortoken - auf 0 gesetzt, dann wäre das das erwartete Ergebnis.

    > Weil das Problem beim Erstellen der Homeshares am meisten Schmerzen bereitet und diese Ordner vom AD erstellt werden und zwar immer mit den lokalen Admins, die dort neben den User Vollzugriff haben.

    Deshalb lässt man Home-Folder nicht durch ADUC erstellen, sondern durch ein Skript, das dann die erforderlichen Admin-Gruppen mit berechtigt. Und das sind dann weder Administrators noch Domain Admins.

    Eine "Lösung" in deinem Sinne gibt es nicht. Verwende niemals builtin Admin-Gruppen für die Rechte-Delegation, dann hast Du das Problem auch niemals.

    --
    Greetings/Grüße, Martin



    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Mittwoch, 11. März 2020 10:08
    |