Lutz66 10 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 Hallo MCSEboard, folgendes Problem: In unserer Domäne hat der Administrator ( administrator@domäne.de ) alle Rechte. Natürlich, er ist Domänenadmin. Auf dem Fileserver zB sehe ich unter den Freigaben alles, wenn ich als administrator@domäne.de angemeldet bin. Da die Verwendung eines einzigen Administratorkontos mit drei Mitarbeitern problematisch ist, habe ich drei domänenadmins angelegt. adm-001 usw adm-001 ist Mitglied der Administratoren, Domänen-Admins usw. im Prinzip also in jeder Gruppe die etwas mit Admin zu tun hat..... Wenn ich mich mit adm-001 am DC anmelde, habe ich volle Rechte. AD, lokal, hier geht alles mit adm-001 Wenn ich mich mit adm-001 auf dem Fileserver anmelde, auf dem der administrator@domäne.de volle Rechte hat, kommt die Überraschung: Ich sehe zB unter den Freigaben keine Dateien. Auf anderen Computern der Domäne ist es ähnlich, ich habe nicht die gleichen lokalen Rechte wie bei einer Anmeldung als administrator@domäne.de Selbst wenn ich den adm-001 in die lokalen Administratoren Gruppen der Computer der Domäne einfüge habe ich nicht die gleichen Rechte wie der administrator@domäne.de Ich hoffe das Problem ist einigermassen Verständlich geschildert. Dank und lieben Gruß Lutz Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 Moin und willkommen an Board, leider ist es nicht ganz verständlich - zumindest für mich. Was meinst Du mit "Administrator sieht unter Freigaben alles"? Dazu: welches Betriebssystem hat der Fileserver? Meinst Du "(w2008) Verwaltung/Freigabe-und Speicherverwaltung" oder den Zugriff über das Netzwerk auf eine Freigabe? Im letzeteren Fall ist der Admin001 wohl nicht in die Freigabe oder in die NTFS-Berichtigungen eingetragen. Im ersteren Fall müsstest Du noch mehr erzählen. Michael PS: Administratoren sollten nicht in jeder Gruppe sein, die etwas mit Admin zu tun hat, aber das nur am Rande. Auch hier gild "möglichst wenig Rechte" macht möglichst wenig kapputt. Zitieren Link zu diesem Kommentar
Lutz66 10 Geschrieben 9. August 2012 Autor Melden Teilen Geschrieben 9. August 2012 Hallo Micha, alle Server sind 2008R2 "sehen alles"= Im Laufwerk Freigaben sind 20 Ordner, der administrator@domäne.de sieht 20 Ordner, der adm001 ( mitglied der lokalen administratoren und der domänen admins sieht Null ( 0 ) Ordner. Das gleich gilt für JEDEN Rechner der Domäne. Nur als administrator@domäne.de habe ich vollen Zugriff, die Mitglieder der Domänen-Admins (adm001) haben nur eingeschränkte Rechte. http://s14.directupload.net/file/d/2977/w47vc9ev_jpg.htm Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 Moin Lutz, leider verstehe ich es noch nicht: Ich sehe ja nicht, was Du siehst. Wo sieht der Administrator die 20 Ordner? Im Windows-Explorer des Dateiservers, im Windows-Explorer eines Clients über das Netzwerk, im Tool Verwaltung/Speicher-und Freigabeverwaltung des Dateiservers? Michael Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 Kannst du einmal Screenshots machen und verlinken? Kannst du einmal "net localgroup administrators" auf dem Fileserver ausführen und hier her kopieren? Zitieren Link zu diesem Kommentar
Lutz66 10 Geschrieben 9. August 2012 Autor Melden Teilen Geschrieben 9. August 2012 @Micha Im Windows-Explorer des Dateiservers @Dukel Leider kann ich nicht alles Bebildern, wir arbeiten mit Betreuten Menschen und unterliegen ziemlich strengen Auflagen im Bereich Datenschutz. C:\Users\adm-lz>net localgroup administratoren Aliasname administratoren Beschreibung Administratoren haben uneingeschränkten Vollzugriff auf den Computer bzw. die Domäne. Mitglieder ------------------------------------------------------------------------------- Administrator NAVI\adm-cr NAVI\Administrator NAVI\adm-lz NAVI\adm-mf NAVI\adm-system NAVI\Domänen-Admins Der Befehl wurde erfolgreich ausgeführt. *** Mit NAVI\Administrator habe ich also auf allen Rechnern der Domäne Vollzugriff, mit dem Domänen-Admin adm-lz nur eingeschränkte Rechte. Das Problem ist nicht nur auf dem Fileserver sondern auf allen Rechnern der Domäne. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 Siehst du auf C: alles? Siehst du Ordner, die nicht freigegeben sind? Sind die Anzeige Optionen evtl. anders (z.B. die Freigaben sind alle Versteckt und bei den anderen Admins werden Versteckte Ordner nicht angezeigt)? Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 ähh - *****er Verdacht: Wie hast Du die Freigaben versteckt? Mit Freigabename "irgendwas$" hoffentlich. (nimm mir den Verdacht nicht übel, ich kenne Dich ja nicht) by the way: Admin-lz ist doch Mitglied der Gruppe "Domänen-Admins". Dann nimm ihn als Einzelmitglied wieder aus der lokalen Gruppe der Administratoren raus, sonst gibt das kuddelmuddel. michael Zitieren Link zu diesem Kommentar
Lutz66 10 Geschrieben 9. August 2012 Autor Melden Teilen Geschrieben 9. August 2012 @Micha Mache Dich bitte mal vom Fileserver frei, er ist nur ein Beispiel. Natürlich ist der nicht perfekt konfiguriert, aber nur ein Teil des Problems. @Dunkel Die Anzeigeoptionen sind für alle gleich. Geschützte Systemdateien sind ausgeblendet und Ausgeblendete Ordner und Laufwerke werden nicht angezeigt. Ich sehe auf Laufwerk C also mit beiden Admin Konten das gleiche. Das Problem in der lokalen Ansicht zu suchen halte ich jedoch auch für überflüssig, da sich das Problem viel weiter erstreckt und nicht auf Ansichten begrenzt ist. Mir fehlen ja Rechte auf jedem Rechner in der Domäne obwohl ich als Mitgleid der Domänen-Admins angemeldet bin. NAVI/Administrator hat mehr Rechte als NAVI/adm-lz! Beide sind Mitglied der Gruppe der Domänen-Admins und der Administratoren. Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 ... ich mach mich völlig frei ... ok kein doller Witz. Auch wenn es ein globales Problem ist, kann man den Fehler finden, indem man lokal sucht. soll heißen: der Fehler taucht am Fileserver auf, also suche ich da. Wenn ich die Lösung habe, prüfe ich, ob s übertragbar ist. ok weitermachen: wie hast Du die Freigaben versteckt? m Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 Kannst du den "Administrator" kopieren und gibt es dann die selben Probleme immer noch? Zitieren Link zu diesem Kommentar
Lutz66 10 Geschrieben 9. August 2012 Autor Melden Teilen Geschrieben 9. August 2012 Jo, mit kopiertem Administrator ( Konto ) das gleiche Problem. Zitieren Link zu diesem Kommentar
Lutz66 10 Geschrieben 9. August 2012 Autor Melden Teilen Geschrieben 9. August 2012 Welche Einstellung der UAC sollte ich auf den Servern der Domäne verwenden? Könnte es damit zusammenhängen? Zitieren Link zu diesem Kommentar
Lutz66 10 Geschrieben 9. August 2012 Autor Melden Teilen Geschrieben 9. August 2012 Bei der Anmeldung an einen der Server der Domäne mit dem Administrator(@domäne.de) ist die UAC aus. Bei der Anmeldung eines Benutzers mit Domäne-Admin Rechten (adm-lz@domäne.de) ist die UAC an. Hmpf! Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 9. August 2012 Melden Teilen Geschrieben 9. August 2012 Welche Einstellung der UAC sollte ich auf den Servern der Domäne verwenden?Könnte es damit zusammenhängen? Ich hab UAC bei allen Servern aktiviert, das ist es nicht. Michael Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.