Remove From My Forums

[W2K16] Domain Admin: Zugriff verweigert

Frage
0

Anmelden
Servus Community,

ich habe hier ein seltsames Verhalten auf einem W2K16 Member Server, wo der Domänen Administrator auf große Teile eines Laufwerks keinen Zugriff mehr hat, der Server selbst aber einwandfrei funktioniert. Auf C:\ ist ein Verzeichnis, in dem Scripte abgelegt sind, die über den Taskscheduler ausgeführt werden, diese Scripte können nicht mehr editiert werden, in dem Ordner kann nur noch ein neuer Ordner angelegt werden, weitere Möglichkeiten bietet das Kontextmenü nicht mehr an:

Das gleiche passiert auf C:\, ist aber nicht grundsätzlich so. Im Verzeichnis orgiles (Das Beispiel im Screenshot) kann ich zB ein neues Verzeichnis anlegen und in diesem dann auch eine Textdatei, das Kontextmenü ist vollständig:

Was auch komisch ist, dass mit beim Löschen oder Umbenennen im Kontextmenü vorhandener Verzeichnisse ein Icon für einen UAC Dialog angezeigt wird:

Nicht so aber bei dem soeben angelegten Testverzeichnis. Auf anderen Partitionen zeigt sich diese Verhalten nicht, ein Virenscanner oder dergleichen ist nicht installiert.

Ich habe mir Process Monitor überprüft, ob die betroffenen Daten (Sowohl Dateien, wie auch Ordner) noch von einer anderen Anwendung geöffnet sind aber dem war nicht so. Ich kann die Ordner dann auch ohne UAC Dialog löschen, obwohl im KOntextmenü ein UAC Dialog angezeigt wird (zB den Ordner Treiber), was auch nicht für einen Prozess spricht, der da noch darauf zugreift.

Ich vermute das Problem auf den Zugriffsrechten aber eine Überprüfung der effektiven Rechte zeigt erwartungsgemäß den Vollzugriff auf die Daten an, der in den Sicherheitseinstellungen auch eingestellt ist:

Wenn ich die Rechte des Ordner orgfiles zB ändern möchte, scheitert das mit der Fehlermeldung, dass die Zugriffsrechte auf diesen Container nicht ausreichend sind:

Hat Jemand eine Idee, was hier schief gelaufen ist?

Thx & Bye Tom
- Bearbeitet Thomas Pronto Wildgruber Dienstag, 4. Juni 2019 12:03
Dienstag, 4. Juni 2019 12:00

Antworten

|

Zitieren

Antworten

0

Anmelden
Wie oben angezeigt, wird für den Ordner ein Besitzer angezeigt.
Du bist als Admin aber jemand anderer als der Besitzer und deshalb fehlen dir die Rechte.

a) Melde dich als der Eigner an
b) Ändere den Eigner auf dich ab
- Als Antwort markiert Thomas Pronto Wildgruber Donnerstag, 6. Juni 2019 09:31
Mittwoch, 5. Juni 2019 14:33

Antworten

|

Zitieren
0

Anmelden
Eine Gruppe kann kein Eigner sein, es muss ein Profil in der Gruppe sein.
- Als Antwort markiert Thomas Pronto Wildgruber Donnerstag, 6. Juni 2019 09:31
Donnerstag, 6. Juni 2019 06:47

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
Wie oben angezeigt, wird für den Ordner ein Besitzer angezeigt.
Du bist als Admin aber jemand anderer als der Besitzer und deshalb fehlen dir die Rechte.

a) Melde dich als der Eigner an
b) Ändere den Eigner auf dich ab
- Als Antwort markiert Thomas Pronto Wildgruber Donnerstag, 6. Juni 2019 09:31
Mittwoch, 5. Juni 2019 14:33

Antworten

|

Zitieren
0

Anmelden

Servus Bfuerchau,

>Du bist als Admin aber jemand anderer als der Besitzer[...]

Wie kommst du darauf, der Besitzer ist doch der Domänenadministrator und als dieser bin ich auch angemeldet!? Die Rechte sind auch so eingestellt, dass die Gruppe der Administratoren Vollzugriff hat, mir werden bei der Überprüfung der effektiven Rechte ja auch Vollzugriff Rechte angezeigt...

...aber ich habe mittlerweile einen anderen Verdacht, im betroffenen Verzeichnis liegt auch eine REG-Datei, die wahrscheinlich mit reg.exe export dahin gespeichert. Der exportierte Schlüssel kommt aus HK_Local_Machine, vielleicht hat reg.exe da beim Export was verbogen. Besitzer und Vollzugriff liegt auch hier beim Administrator aber das wäre der einzige Unterschied zu den anderen Verzeichnissen, die sich normal verhalten...

Thx & Bye Tom

Mittwoch, 5. Juni 2019 16:39

Antworten

|

Zitieren
0

Anmelden

Ich sehe da 2 verschiedene Besitzer bei "orgfiles" und "orgfile\scripts" in den Bildern.
Einer ist Domain-Admin (du), der andere ist Local-Admin!

Prüfe das doch noch mal.

Beim Export wird für die Datei der aktuelle User eingetragen, das Verzeichnis muss dafür da sein, was dann auch der eingetragene Besitzer wohl gemacht hat.

Mittwoch, 5. Juni 2019 18:01

Antworten

|

Zitieren
0

Anmelden
Servus,

>Ich sehe da 2 verschiedene Besitzer bei "orgfiles" und "orgfile\scripts" in den Bildern.

Das stimmt [...] hm [...] ich bin da zwar auch schon drüber gestolpert, habe dem aber tatsächlich keine Beachtung geschenkt, weil ich dahinter die lokale Gruppe der Administratoren vermutete und da sollte der Domain Admin automatisch Mitglied sein aber du hast Recht, ich überprüfe das morgen nochmal genauer.

Thx & Bye Tom
- Bearbeitet Thomas Pronto Wildgruber Donnerstag, 6. Juni 2019 09:30
Mittwoch, 5. Juni 2019 18:52

Antworten

|

Zitieren
0

Anmelden
Eine Gruppe kann kein Eigner sein, es muss ein Profil in der Gruppe sein.
- Als Antwort markiert Thomas Pronto Wildgruber Donnerstag, 6. Juni 2019 09:31
Donnerstag, 6. Juni 2019 06:47

Antworten

|

Zitieren
0

Anmelden
Servus Bfuerchau,

>Eine Gruppe kann kein Eigner sein, es muss ein Profil in der Gruppe sein.

Also das war vermutlich ein Problem, es hat aber immer noch nicht funktioniert, nachdem ich als Domänenadministrator den Besitz übernommen habe. Der Domänenadmin war aber auch nicht in den Sicherheitseinstellungen vorhanden, nur SYSTEM, Benutzer und eben diese ominöse lokale Gruppe der Administratoren waren dort eingestellt. Nachdem ich auch den Domänenadmin hinzugefügt und Vollzugriff gegeben habe, konnte ich die Datei editieren.

Jetzt taucht aber eine neue Frage auf, warum es nach der Änderung des Besitzers nicht schon funktioniert hat? In der lokalen Gruppe der Administratoren ist die globale Gruppe der Domänen_Admins Mitglied und in dieser der Domänenadmin. Eigentlich hätte es reichen müssen, den Besitzer zu ändern...

BTW: Ich habe den gesamten Inhalt des Ordners orgfiles mittlerweile auch in einen neu angelegten Ordner orgfiles_neu Ordner kopiert und da werden die Sicherheitseinstellungen auch sauber vom übergeordneten Ordner (C:\) übernommen und man kann den Inhalt des Ordners wie gewünscht editieren. Es scheint also mal ein Problem mit dem Ordner orgfiles gegeben zu haben...

Thx & Bye Tom
- Bearbeitet Thomas Pronto Wildgruber Donnerstag, 6. Juni 2019 09:42
Donnerstag, 6. Juni 2019 09:29

Antworten

|

Zitieren
1

Anmelden

Und ewig grüßt die UAC und das fehlende Verständnis für Restricted und Full Token :-)
Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

Donnerstag, 6. Juni 2019 19:19

Antworten

|

Zitieren
0

Anmelden

Servus,

>Eine Gruppe kann kein Eigner sein, es muss ein Profil in der Gruppe sein.

Also ich habe das jetzt auf zwei anderen Server 2016 Domänen Member als Domänenadmin nachgebaut und der Besitzer ist jedesmal die lokale Gruppe der Administratoren:

Das scheint demnach so schon zu stimmen. Ich konnte das Problem mit den fehlenden Zugriffsrechten jedoch nicht reproduzieren, auch nicht nachdem ich mit reg.exe einen Schlüssel aus HKLM da hinein exportiert habe (was eigentlich mein Verdacht gewesen wäre) und auch nicht nachdem ich eine geplante Ausgabe ausgeführt habe, die diesen Schlüssel exportiert. Da ist wohl anderweitig irgendwann etwas kaputt gegangen...

Thx & Bye Tom

Dienstag, 11. Juni 2019 11:22

Antworten

|

Zitieren
0

Anmelden

Servus,

>Und ewig grüßt die UAC und das fehlende Verständnis für Restricted und Full Token :-)

Wie kommst du darauf, dass das was mit der UAC zu tun hat?

Bye Tom

Dienstag, 11. Juni 2019 11:27

Antworten

|

Zitieren
0

Anmelden

Weil Deine Beschreibung genau dazu paßt. UAC an, Explorer mit Standardtoken -> Berechtigungen für Administratoren ziehen nicht.
Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

Dienstag, 11. Juni 2019 15:05

Antworten

|

Zitieren
0

Anmelden

Servus,

>Weil Deine Beschreibung genau dazu paßt. UAC an, Explorer mit Standardtoken -> Berechtigungen für Administratoren ziehen nicht.

Da muss aber trotzdem irgendwo etwas schief gelaufen sein, denn bei einem anderen Server funktioniert genau das gleiche Setup ohne Probleme...

Thx & Bye Tom

Mittwoch, 12. Juni 2019 06:57

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

[W2K16] Domain Admin: Zugriff verweigert

Frage

Antworten

Alle Antworten