Berechtigungsprobleme nach Migration Server 2003 auf Server 2008 R2

[halfmannh 10]

Hallo,

wir virtualisieren aktuell unsere komplette Serverlandschaft und haben nun ein Problem mit den Berechtigungen auf dem Fileserver.

 

1.) Domäne wurde von 2003 auf 2008 gestuft

 

2.) BestPracticeAnalyzer, DCDIAG, etc ohne Fehler

 

3.) Legen wir nun auf einem Server als Domänen-Admin einen Ordner an, enthält dieser folgende Berechtigungen :

ERSTELLER-BESITZER

SYSTEM

admin-hh ( Mitglied Domänen-Admins )

Administratoren ( lokal )

Benutzer ( lokal )

 

Anschliessend heben wir die Vererbung auf und entfernen die Gruppe ERSTELLER-BESITZER und den Domänen-Admin, dafür ergänzen wir die Gruppe Domänen-Admins mit Vollzugriff.

 

Wollen wir nun in den Ordner wechseln kommt eine Warnmeldung das die Berechtigungen hierzu nicht ausreichen. Mit >Forftahren< wird dann der Domänen-Admin wieder in die Berechtigungen eingefügt und kann dann auf den Ordner zugreifen.

 

Unser Supportpartner ist momentan etwas ratlos, eventuell weiss ja hier jemand weiter.

 

 

Gruß und Danke

 

H. Halfmann

[iDiddi 27]

Its not a bug, its a feature (UAC). Lege besser einen eigenen Admin an

 

EDIT: Ach quatsch! Bin noch nicht ganz wach, glaub ich. Welches Konto wird denn verwendet? Der Built-In-Admin oder ein eigens erstellter Benutzer mit Admin-Rechten? Die UAC wirkt ja standardmäßig gar nicht auf dem Built-In-Admin. Also gehe ich davon aus, dass Du einen eigenen angelegt hast. Auf diesem wirkt dann die UAC und sorgt für eine Herabstufung zum normalen Benutzer.

 

Ich hoffe, dass war jetzt eine korrektere Antwort :)

bearbeitet 9. September 2011 von iDiddi
Falsche Aussage

[iDiddi 27]

Schau auch mal hier:

 

faq-o-matic.net » UAC: Den Explorer mit Admin-Rechten starten

[halfmannh 10]

Hallo,

die Gruppe der Domänen-Admins ist Mitglied der Builtin-Administratoren, sollte also "eigentlich" kein Problem darstellen.

 

Wenn ich den Explorer im Admin Modus starte habe ich daher leider das identische Verhalten.

 

Trotzdem Danke für die Info :)

 

Gruß

 

Holger

[iDiddi 27]

Wenn ich den Explorer im Admin Modus starte habe ich daher leider das identische Verhalten.

Ja richtig, da der Explorer immer im Benutzer-Modus gestartet wird, wenn UAC aktiv ist. Da kannst Du Ihn noch so viel als Admin ausführen ;) . Lies Dir den Artikel von Nils, den ich Dir gepostet haben, mal genau durch.

[NilsK 2.971]

Moin,

 

doch, doch - das ist Behaviour by design. Es ist die UAC, die das Verhalten bewirkt.

 

faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen

 

Berechtigungen sollte man, wenn es komplexer wird, nicht über den Explorer verwalten. Ich empfehle dazu ein spezialisiertes Tool wie SetACL oder dessen Luxusversion SetACL Studio.

faq-o-matic.net » SetACL Studio ist verfügbar

 

Im Übrigen braucht man, wenn die lokale Administrator-Gruppe bereits berechtigt ist, die Domänen-Admins nicht mehr hinzuzufügen. Die sind nämlich Mitglied der lokalen Administratoren ...

 

faq-o-matic.net » Windows-Gruppen richtig nutzen

 

Gruß, Nils

[NorbertFe 2.105]

Die sind nämlich Mitglied der lokalen Administratoren ...

 

Leider, leider wahr. :( Derjenige der die Entscheidung mal getroffen hat, den könnt ich immer noch... ;)

 

Bye

Norbert

[iDiddi 27]

@halfmannh:

 

Na siehste. Da hast Du's jetzt sogar von Ihm persönlich bestätigt bekommen :D ;)

 

@NilsK:

 

Danke Nils :)

[halfmannh 10]

Hallo,

 

es war/ist wie mehrfach erwähnt tatsächlich "nur" die UAC :(.

 

Habe dank der kompetenten Antworten mal ein paar verschärfte Takte mit unserem Dienstleister geredet :mad:.

 

Gruß und Danke

[iDiddi 27]

Danke für Deine Rückmeldung :)

 

Hoffe, Du hast die nicht zu hart ran genommen. Ist ja auch nicht immer logisch, was MS sich da manchmal ausdenkt ;)