Mrichard28 10 Geschrieben 5. Oktober 2007 Melden Teilen Geschrieben 5. Oktober 2007 Hallo zusammen, hoffe das mit hier jemand weiterhelfen kann. Und zwar geht es um folgendes Szenario. WindowsNT4.0 Domäne: bestehend aus einem Domänencontroller WindowsNT4.0 Server (SRV1) und einem Member-Server Windows2003 Server (SRV2) nur als File- und Printserver. Im gleichen Netzwerk befindet sich ein neuer Server (SRV3) und auf diesem wurde eine neue Domäne mit ActiveDirectory eingerichtet. Nun habe ich den Member-Server (SRV2) aus der NT4-Domäne herausgenommen und zur neuen (W2k3K) Domäne hinzugefügt was soweit eigentlich auch funktioniert hat. Nun ist es allerdings so, dass ich irgendwie mit den Freigabe- bzw. Sicherheitsberechtigungen Probleme habe. Und zwar muss ich auf einem Ordner die Freigabeberechtigungen für Jeder und bei den Sicherheitsberechtigungen auch auf Jeder einstellen, damit Benutzer auf diesen Ordner zugreifen können. Eigentlich möchte ich bei den Freigabeberechtigungen von mir aus Jeder stehen lassen, aber bei den Sicherheitsberechtigungen eben andere einstellen. Nur wenn ich das mache kann ich von einer Workstation aus darauf nicht zugreifen. Hab ich bei der Umstellung was falsch gemacht bzw. warum kann ich auf diesem Server (SRV2) nicht die Berechtigungen setzen wie auf dem neuen Server SRV3? Kann mir hierzu jemand bitte weiterhelfen? Danke. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Oktober 2007 Melden Teilen Geschrieben 5. Oktober 2007 Welche NTFS-Berechtigungen sind denn gesetzt ? Und mit welchem Benutzer versuchst Du zuzugreifen ? Einem, der sich an dem NT-Server anmeldet oder einer, der sich an der 2003er Domäne anmeldet ? Hast Du auf dem Server als DNS-Server den neuen Server eingetragen ? Zitieren Link zu diesem Kommentar
Mrichard28 10 Geschrieben 5. Oktober 2007 Autor Melden Teilen Geschrieben 5. Oktober 2007 Hallo, also melde mich an einer Workstation welche schon in der neuen Domäne ist an. Auf dem Server SRV2 ist als DNS-Server der Domänen-Controller SRV3 eingetragen. Bei den Berechtigungen ist es auch so, dass es nicht nur Probleme mit bestehenden Verzeichnissen gibt bei welchen ich Berechtigungen anpassen möchte, sonder auch bei neuen. Und zwar sieht das so aus, dass ich z.B. einen neuen Ordner erstelle. Diesen Ordner gebe ich frei mit der Berechtigung JEDER Vollzugriff. Dann wechsle ich auf die Sicherheitsberechtigungen und möchte hier z.b. nur einer Benutzergruppe die Zugriffsberechtigungen erteilen bzw. sogar den Domänen-Admins. Jeweils mit Vollzugriff. Möchte ich anschließend als Mitglied der entsprechenden Benutzergruppe auf diese Freigabe zugreifen erscheint mir die Meldung "Zugriff verweigert". Ich kann erst darauf zugreifen, wenn ich diesem Verzeichnis die Sicherheitsberechtigung JEDER zuweiße. Wenn ich nun z.B. ein neues Verzeichnis auf dem Domänen-Controller (SRV3) anlege und hier dieses Verzeichnis Freigebe so wie ich es auf dem SRV2 tun möchte, funktioniert das auch. Allerdings ist mit aufgefallen, dass schon bevor ich irgendwelche Sicherheitsberechtigungen zuweiße auf dem SRV2 andere definiert sind als auf dem SRV3. Auf dem SRV2 sind das z.B.: Administratoren (Srv2\Administratoren) Benutzer (Srv2\Benutzer) Ersteller-Besitzer System auf dem SRV3 (Domänen-Controller) Administratoren (Domänenname\Administratoren) Domänen-Benutzer Ich hab auch schon alle Berechtigungen unter erweiterte Sicherheitsberechtigungen entzogen und neu zugewiesen was allerdings auch nichts gebracht hat und von den Berechtigungen habe ich die gleichen gesetzt wie auf dem Domänen-Controller SRV3. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Oktober 2007 Melden Teilen Geschrieben 5. Oktober 2007 Sind das Gruppen, die zuweisen möchtest, die Du selbst erzeugt hast ? Wenn ja, wo hast Du sie erzeugt ? So wie die Berechtigungen jetzt aussehen ist das völlig in Ordnung. Server 3 ist ein DC, Server 2 ein Member. Server 2 hat eine eigene Benutzerdatenbank, in der es verschiedene Gruppen und Benutzer gibt. Per Default werden beim Joinen den lokalen Administratoren die globale Domänengruppe Domänen-Admins zugefügt und der lokalen Gruppe Benutzer die globale Domänengruppe Domänen-Benutzer. Wenn Du also auf einen Ordner zugreifst, der die Berechtigung hat, wie Du beschrieben hast, dann kann der Benutzer zugreifen, vorausgesetzt, er ist an der Domäne und nicht an seiner lokalen Benutzerdatenbank (auch XP hat eine eigene Benutzerdatenbank) authentifiziert worden. Überprüfe also, ob den lokalen Gruppen die Domänengruppen zugefügt wurden und melde Dich an einer Workstation mit einem Domänenkonto an. Wenn Du Gruppen erzeugen willst, dann mache das auf dem DC und weise diesen Gruppen auf dem Member Berechtigungen zu. Wichtig ist auch, dass wenn Du die Gruppenzugehörigkeiten verändert hast, nachdem sich ein User angemeldet hat, muss der User sich einmal ab- und wieder anmelden ... Zitieren Link zu diesem Kommentar
Mrichard28 10 Geschrieben 5. Oktober 2007 Autor Melden Teilen Geschrieben 5. Oktober 2007 Es sind Gruppen und Benutzer welche auf dem DC (SRV3) erstellt worden sind die ich den Verzeichnissen zuordnen möchte. Die globale Domänengruppe Domänen-Admins und globale Domänengruppe Domänen-Benutzer sind der jeweiligen lokalen Gruppe zugeordnet. An der Workstation melde ich mich an der Domäne an. Was mich halt verwundert ist das er bei den Freigabeberechtigungen immer JEDER benötigt. Teile ich z.B. einem neuen Verzeichnis die Freigabeberechtigung JEDER mit Vollzugriff zu und bei den Sicherheitsberechtigungen stelle ich z.B. die Domänen-Benutzer ein, kann ich als normaler Benutzer auf dieses Verzeichnis zugreifen. Wenn ich anstelle der Freigabeberechtigung JEDER die Domänen-Benutzer mit Vollzugriff konfiguriere und die Sicherheitsberechtigungen belasse, habe ich keinen Zugriff mehr. Wenn ich dasselbe allerdings auf dem DC durchführe und auch hier JEDER aus der Freigabeberechtigung herausnehme und durch Domänen-Benutzer mit Vollzugriff ersetze und bei den Sicherheitsberechtigungen auch die Domänen-Benutzer hinzufüge tut es ja auch. Und das was ich da auf dem SRV2 machen möchte hat ja vorher auch funktioniert als er noch Mitglied der alten Domäne war und in anderen Netzwerken funktioniert das was ich da machen möchte ja auch. :confused: Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Oktober 2007 Melden Teilen Geschrieben 5. Oktober 2007 Das wundert mich auch ... Wenn in der Freigabe auf dem SRV 2 Benutzer (lokal) auf Vollzugriff eingestellt wird (die Domänenbenutzer sind Mitglieder der lokalen Benutzergruppe) und in den NTFS-Berechtigungen diese Berechtigung auch gesetzt ist, dann müssen die Domänenbenutzer zugreifen können. Was passiert genau ? Wenn solch eine Berechtigung ohne Jeder gesetzt ist und Du gibst auf dem Client \\SRV2 ein, kannst Du dann die Freigaben sehen ? Wenn ja und Du klickst dann doppelt auf eine Freigabe, in der nicht Jeder berechtigt ist, wirst Du dann sofort verweigert ? Schau in diesem Fall mal auf dem SRV 2 mit FSMGMT.MSC, ob der Benutzer als Gast authentifiziert wurde (unter Sitzungen ganz rechts) ... Zitieren Link zu diesem Kommentar
Mrichard28 10 Geschrieben 8. Oktober 2007 Autor Melden Teilen Geschrieben 8. Oktober 2007 Hallo, danke für die Antworten. Aber irgendwie steig ich bei diesem Server nicht so ganz dahinter mit den Freigabeberechtigungen und Sicherheitsberechtigungen. Wenn ich was auf dem SRV3 anlege und entsprechende Berechtigungen gebe funktioniert das ganze, wenn ich das auf dem SRV2 mache dann nicht mehr. So habe ich z.B. soeben in einem Verzeichnis die Freigabeberechtigungen Domänen-Admins und Domänen-Benutzer hinzugefügt miz Vollzugriff und dasselbe bei den Sicherheitsberechtigungen. Nun ist es so, dass ein Benutzer darauf zugreifen kann, der andere wiederum nicht obwohl beide in der Gruppe Domänen-Benutzer stehen. Wenn ich nun hier wieder Jeder eintrage kann dieser vorher gesperrte Benutzer wieder darauf zugreifen. Besteht die Möglichkeit das der Server noch irgendeinen Müll aus der NT4.0 Domäne mit sich herumschleppt oder wie kommt sowas? Bringt es was, wenn ich den SRV2 nochmals aus der neuen Domäne herausnehme und anschließend wieder hinzufüge oder soll ich gleich die Daten in ein Verzeichnis auf SRV3 kopieren hier freigeben und den SRV2 neu installieren? :( Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Oktober 2007 Melden Teilen Geschrieben 8. Oktober 2007 Warum beantwortest Du die Fragen nicht ? Zitieren Link zu diesem Kommentar
Mrichard28 10 Geschrieben 8. Oktober 2007 Autor Melden Teilen Geschrieben 8. Oktober 2007 Hallo, sorry. Also ich seh die Freigabe wenn ich von einem PC aus auf den UNC-Pfad zugreife. Das komische ist, dass ein Benutzer der Domänen-Benutzer auf dieses Verzeichnis zugreifen kann und ein andere wiederum nicht, obwohl beide in derselben Gruppe sind und diese Gruppe eigentlich Vollzugriff hat bei den Sicherheitsberechtigungen und bei den Freigabeberechtigungen. Dieses Phänomen tritt z.B. auch auf, wenn ich auf ein Verzeichnis zugreifen möchte welches sich unterhalb dieser Freigabe befindet und ich hier sogar die Veerbung extra unterbrochen habe. Ein Benutzer kann darauf zugreifen, der andere nicht obwohl beide in derselben Gruppe sind. Was mir halt aufgefallen ist, ist das ich auf dem SRV2 wenn ich z.B. wie schon beschrieben zusätzliche Benutzer oder Gruppen aufgeführt habe im Gegensatz bei einem neuen Ordner auf SRV3. Als Beispiel die Gruppe Benutzer/SRV2. Hier sind z.B. die Domänen-Benutzer mit aufgeführt. Hoffe Dir fürs erste mit Deinen Fragen weitergeholfen zu haben und vielleicht helfen auch meine neuesten Angaben was. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Oktober 2007 Melden Teilen Geschrieben 9. Oktober 2007 Die Frage war : Wenn Du die Freigabe/NTFS-Ordner NICHT für Jeder berechtigst, kann dann ein Benutzer sich problemlos mit \\SRV2 mit dem SRV2 verbinden oder wird er hier schon verweigert ? Und wenn er dann auf eine Freigabe zugreift, in der weder auf Freigabe- noch auf NTFS-Ebene Jeder-Berechtigung vergeben ist, wird er sofort verweigert ? Wenn er verweigert wird, als was ist er authentifiziert worden (FSMGMT.MSC) ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.