none
Server 2012 Domäne - Domänen Administrator Gruppe funktioniert nicht korrekt RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    Wir haben eine neue Server 2012 Gesamtstruktur installiert, funktioniert soweit einwandfrei bis auf folgende Punkte

    1.) Auf einem Server 2012 Fileserver mit NTFS Berechtigungsstruktur hat man als Mitglied der Domänen-Admins Gruppe keinen Zugriff auf die Ordner wenn man diese lokal verwalten will...

    Ein Bespiel Ordner wäre z.b. "Ordner Test" System -> Vollzugriff, Gruppe Domänen-Admins->Vollzugriff, Zugriffsgruppe der User->Ändern...

    Wenn man nun lokal am Server mit seinem Admin Account angemeldet ist und die Berechtigungen eines Ordners modfizieren will bekommt man Zugriff verweigert...wenn man seinen Admin Account als User direkt zum Ordner hinzufügt, funktioniert der Zugriff

    2.) Der nächste Punkt der uns aufgefallen ist ist z.b. beim SQL Server...wenn man die Domänen-Admins Gruppe hinzufügt das diese SA ist kann ich via Management Studio mit einem Domain Admin Account nicht connecten, im SQL Server muss auch wieder der Admin User explizit eingetragen werden dann funktioniert es.

    Unter Server 2008r2 funktioniert dies alles normal nun die Frage ob unter Server 2012 die Funktionalität der Domain Admins Gruppe fehlerhaft ist?

    danke

    lg

    Harald

    Dienstag, 18. August 2015 06:33
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi Harald,

    1.) das liegt an der UAC (Benutzerkontensteuerung). Daher sind nur DER lokale Administrator sowie DER Domänenadministrator auch tatsächlich Administratoren. Alle anderen Benutzer sind, auch wenn sie Mitglied der Gruppe "Administratoren" bzw. "Domänen-Admins" sind, für das System erst einmal nur Benutzer, die sich bei Bedarf über eine Anhebungsaufforderung (diese tolle Nachfrage "diese Änderung erfordert Administratorrechte") entsprechend höhere Rechte verschaffen können.

    Wenn Du also auf diese Ordner als lokaler Admin bzw. "unechter" DomAdmin Zugriff haben willst, kommst Du nicht umhin, den Benutzer selbst auch den NTFS-ACL hinzuzufügen. Dies betrifft jedoch NICHT die Freigabe-ACL, dort musst Du den nicht separat hinzufügen.

    2.) Kann ich so nicht bestätigen, das klappt bei uns auch mit 2012 R2/SQL 2014 wunderbar - wobei ich das nicht mit der DomAdmin-Gruppe mache, sondern mit speziell dafür angelegten Benutzern, die aber nur indirekt über Gruppen auf SQL berechtigt werden. Sollte aber auch mit dieser Gruppe genauso funktionieren.

    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 18. August 2015 07:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 18.08.2015 schrieb Harald Augustin:

    Unter Server 2008r2 funktioniert dies alles normal nun die Frage ob unter Server 2012 die Funktionalität der Domain Admins Gruppe fehlerhaft ist?

    Im Idealfall arbeitet man überhaupt nicht mit dem Domänenadmin. Der ist für die Administration der Domäne und nicht für Fileserver und SQL Server.
    Ich vermute, dass dir UAC dazwischenfunkt. Das ist beim Explorer auch nicht wirklich "sinnvoll" zu unterbinden. Einfacher ist es meist ein File-Tool zu nutzen, welches korrekt mit UAC umgehen kann.

    Bye
    Norbert

    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 18. August 2015 07:44
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 18.08.2015 um 08:33 schrieb Harald Augustin:
    > 1.) Auf einem Server 2012 Fileserver mit NTFS Berechtigungsstruktur
    > hat man als Mitglied der Domänen-Admins Gruppe keinen Zugriff auf die
    > Ordner wenn man diese lokal verwalten will...
     
    Richtig. So funktionert UAC. Du arbeitest mit einem Access Token, in dem
    du nicht Mitglied Administratoren bist. Erst durch die Elevation, wird
    das "richtige/orginal" Token verwendet.
     
    Benutzer die es dürfen, dürfen es ja, ohne Tokenwechsel.
     
    > 2.) Der nächste Punkt der uns aufgefallen ist ist z.b. beim SQL
    > Server...wenn man die Domänen-Admins Gruppe hinzufügt
     
    UAC.
     
    Understanding and Configuring User Account Control in Windows Vista
    | with UAC enabled, members of the local Administrators group run with
    | the same access token as standard users. Only when a member of the
    | local Administrators group gives approval can a process use the
    | administrator’s full access token.
     Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 18. August 2015 16:29
    |