Dieses Forum ist geschlossen. Vielen Dank für Ihre Beiträge.

Remove From My Forums

DACL Problem

Frage
0

Anmelden

Moin moin,

ich habe einen TMG2010 als virtuelle Maschine installiert. Wenn man den BPA laufen lässt, meckert dieser, dass man die Logs nicht auf der Systempartition ablegen sollte. Also habe ich der VM eine weitere Festplatte gegeben und in der TMG Verwaltung eingestellt, dass die Logs bitte auf Laufwerk E gespeichert werden sollen.

Nun meckert leider der BPA: "The Discretionary Access Control List (DACL) in the security descriptor of the logging folder e:\logs does not grant full access to both the Network Service and System accounts"

Im Tree Report sehe ich, dass die SID S-1-5-20 davon betroffen ist. Also der Netzwerkdienst.

Weise ich nun manuell per Windows Explorer dem Laufwerk bzw. Ordner e:\logs volle Rechte für den User "Netzwerdienste"zu, dann verschwindet diese Einstellung wieder, da der TMG offensichtlich die Rechte wieder löscht. Ich gehe davon aus, dass hier die sog. DACL greift.

Meine Frage ist nun, was muss ich tun, damit der Netzwerkdienst volle Rechte für das Verzeichniss e:\logs bekommt?

--

Gruß

-slaYer977-

Dienstag, 3. Mai 2011 19:55

Alle Antworten

0

Anmelden

moin slayer,

schauma hier, vlt. hilft dir der artikel?!:

http://blogs.technet.com/b/isablog/archive/2008/09/08/isa-administrative-roles-ntfs-and-registry-permissions.aspx
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Dienstag, 3. Mai 2011 19:58
0

Anmelden

HI Jens,

den Artikel habe ich mir bereits angeschaut, bevor ich meine frage hier gestellt habe.

Aber der Artikel hilft mir irgendwie nicht weiter, oder ich hab was übersehen.

Durch den Artikel habe ich verstanden, das der TMG Richtlinien usw. auf dem Windows System überwacht.

Aber mir ist trotzdem nicht klar, wie ich mein Problem lösen kann.

Vielleicht verstehe ich es, wenn Ihr mir hier eine Schritt für Schritt Anleitung Stichwortartig aufmalt?

Das wäre super.

Danke.

--

Gruß

-slaYer977-

Dienstag, 3. Mai 2011 20:23
0

Anmelden

HI,

aus Performance Gruenden solltest Du das Log Verzeichnis genauso wie das Malware Temp Storage Verzeichnis nicht auf das System Drive legen, das macht aber nur in hoch ausgelasteten TMG/ISA Umgebungen Sinn. In der Regel bringt das nicht wirklich etwas und die Logfiles sind ja auch so eingestellt, dass diese die Platte nicht vollaufen lassen koennen. Das ganze gilt fuer das Malware Inspection Temp Verzeichnis!
Zum Logfile verschieben schau mal:
http://tmgblog.richardhicks.com/2011/04/11/relocating-sql-database-files-on-forefront-tmg-2010/
Zum Thema DACL:
http://msdn.microsoft.com/en-us/library/aa446683(v=vs.85).aspx
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Dienstag, 3. Mai 2011 21:34
0

Anmelden

Hallo,

ich habe versucht das ganze noch mal Nachzustellen.

Sprich TMG als virtuelles System installiert mit nur zunächst Laufwerk C.

BPA laufen lassen --> Der empfiehlt das Logging auf ein anderes Laufwerk zu machen.

Anschließend Laufwerk E der VM hinzugefügt und das Logging auf dieses Laufwerk umgestellt.

BPA laufen lassen --> meckert, dass SYSTEM und NETZWERK keinen Zugriff auf Laufwerk E haben.

1. Frage:

Hab SYSTEM und Netzwerk volle Zugriffsrechte auf das Laufwerk vergeben. Nach einem Neustart sind diese Rechte aber wieder weg.

Was muss ich machen, damit diese Rechte bleiben???

2. Frage:

Merkwürdig ist:

BPA hab ich noch mal laufen lassen --> BPA sagt nun ständig, das Logging läuft wieder auf Laufwerk C.

In der TMG Verwaltung ist aber Laufwerk E eingestellt.

Und nu? Wer lügt? der BPA oder die TMG Verwaltung?

--

Gruß

-slaYer977-

Montag, 23. Mai 2011 09:14
0

Anmelden

Hi,

2) im Normalfall immer der BPA, da dieser zeitweilig mit historischen Daten arbeitet :-)
Konkret nachsehen kannst Du im AD-LDS Store:
http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Storage-101.html
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Montag, 23. Mai 2011 09:42
0

Anmelden

Hallo Marc,

vielen Dank für die Antwort.

Kannst Du ggf. auch was zu Punkt 1 sagen?

Das würde mich noch mehr interessieren, wie man das lösen kann.

Danke

--

Gruß

-slaYer977-

Dienstag, 24. Mai 2011 20:42
0

Anmelden

Hi,

zu 1): Gute Frage. Muesste ich in den naechsten Monaten mal nachstellen :-). Hoert sich so wie der AdminSD Holder im AD an. Wo / wie mann das beinflussen kann, gute Frage. Da habe ich erst mal keine Idee. Ich hatte bisher nie Probleme, das Laufwerk umzustellen. Mache ich zwar nicht bei jeder TMG/ISA Installation aber ab und an schon und da gab es keine Probleme. Hast Du Dein System evtl. mit em SCW gehaertet?
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Mittwoch, 25. Mai 2011 04:47