Domänen Admin kein Zugriff auf Ordner am Fileserver

[toxictuna 10]

Guten Morgen Board

 

Irgnedwas muss ich am neuen Fileserver falsch gemacht haben. Auch wenn ich schon zig Fileserver gebaut habe, muss ich dieses mal irgendwas verbockt haben.

Vielleicht ist das eins dieser Folgen die meine Kollegen immer ansprechen wenn man über 30 ist. Das man scheinbar Dinge beginnt zu vergessen. :D

 

Aber nun zum eigentlichen Problem. Habe hier einen W2k8 R2 Server mit Fileserver Rolle.

Wenn ich mit einem neu angelegten Domänen Admin versuche einen Ordner am FileServer zu öffnen bekomme ich folgende Meldung:

 

 

Domänen Admins haben Full Control. Klicke ich auf "Continue" wird der Admin User im Reiter "Security" hinzugefügt und ich kann ihn auch öffnen.

 

Jedoch will ich doch nicht jedes Adminobjekt quer durch die Dateistruktur eingetragen haben. Was hab ich vergessen oder falsch gemacht?

 

Danke für die Hilfe

[Stefan W 14]

Hallo,

was sagen die effektiven Berechtigungen bei einem der betroffenen Ordner?

 

Hast du eventuell ein "Verweigern" auf eine Gruppe in der der Domadmin evtl. Mitglied ist?

lg

[toxictuna 10]

Das ist ja das interessante. Wenn ich meinen Admin rauslösche und dann die Rechte auswerte habe ich Vollzugriff. Also bekomme ich die Rechte via Gruppe.

Aber die Dialogbox wird immer angezeigt wenn ich zugreifen will.

 

Die Vererbungen auf Berechtigungen sind aufgebrochen. Rechte haben Domain Admins auf jedes Verzeichnis.

[Stefan W 14]

Um etwas zurück zu gehen.

Seit wann ist dieses Problem, hat es vorher funktioniert, was war das letzte was am Fileserver geändert wurde?

lg

[ara 10]

UAC ausschalten

[Stefan W 14]

UAC ausschalten

Hi, das ist maximal ein Workaround und sollte keine Lösung im eigentlichen Sinn sein.

 

Gehst du über die Freigabe \\server\share hin oder lokal?

lg

[toxictuna 10]

Der Server ist neu. Also wurde erst neu deployed. Fileserver ist war somit Jungfräulich. War von beginn an.

 

An UAC habe ich auch gedacht. Es muss aber auch mit entsprechenden Einstellungen klappen. Bei anderen Kunden läuft das ja auch. Hatte das noch nie.

 

Gehe lokal aufs Laufwerk.

[Stefan W 14]

Anderer Ansatz:

Wer ist der Besitzer der Ordner?

[Renator 10]

Na ok. Du versuchst lokal auf den Ordner zu kommen. Somit sind es die Sicherheitseinstellungen auf Dateiebene.

 

Nun dann schaue dir die Sicherheitseinstellungen von dem Ordner einmal an. Wer ist alles drin und welche Gruppen mit welchen Rechten. Vererbt wird ja nichts sagst du. Dann kuck dir noch, wie der Vorposter sagt, den Besitzer an.

 

So nun schaust du, ob deine Domänen-Admin, Mitglied irgendeiner in oben genannten Fällen Mitglied ist.

 

Zum Schluss solltest du noch prüfen, ob du WIRKLICH als Domänen-Admin am Server angemeldet bist und nicht als lokaler Admin.

 

Viel mehr Möglichkeiten gibt es nicht... außer vielleicht ein ernsthaftes NTFS Problem. Neuer Server? Kein Problem: Checkdisk drüber laufen lassen!

[NilsK 2.971]

Moin,

 

der Hinweis mit UAC war völlig korrekt.

 

faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen

 

Will man UAC nicht abschalten, so empfiehlt sich ein alternativer Dateimanager (z.B. Total Commander). Mit dem Explorer wird man bei aktivierter UAC auf einem Fileserver nicht viel Freude haben.

 

Gruß, Nils

[Renator 10]

Moin,

 

der Hinweis mit UAC war völlig korrekt.

 

Gruß, Nils

 

Du hast wohl Recht. Admin Rechte sind nicht gleich Administrator - Account. Alternativ zu einem "fremden" Explorer, sollte es doch auch funktionieren die explorer.exe als "Adminstrator" zu starten?!

[NorbertFe 2.104]

Versuchs mal. ;) dann kannst du dir die Antwort selbst geben.

 

Bye

Norbert

[toxictuna 10]

UAC hatte ich als erstes im Verdacht.

Jetzt das grosse ABER UAC steht auf "Never Notify" also müsste es ja deaktivert sein.

 

Alles andere will auch keine UAC Geschichte.

 

Zur Owner sache. Owner dieser Ordner ist ein anderer Domain Admin.

 

Was mich immer noch stuzig macht, dass ich Filerechte mässig die vollen Rechte habe aber wenn ich den Ordner öffnen will

Promted der diese Meldung. Und unglaublich störend finde ich das er den Benutzer einträgt mit den identischen Rechten

die er bereits über die Gruppe erhält-

bearbeitet 12. Juli 2012 von toxictuna

[toxictuna 10]

Lang lang ist her....

 

Aber wir hatten endlich Zeit diesen Fehler genauer zu untersuchen.

Und falls irgendjemand diesen Thread über SuFu findet soll er auch unsere Lösung finden.

 

Wir mussten den folgenden Schlüssel ändern:

HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E0207520C2}\RunAs in bspw. _RunAs

 

Die ganzen Infos findet ihr hier ausführlich

[NilsK 2.971]

Moin,

 

also war es doch UAC.

 

Allgemein sollte man Dateiserver ab Windows 2008 nicht über den Explorer verwalten, sondern über einen anderen Dateimanager. Das galt prinzipiell auch schon vorher, ist durch UAC aber wichtig geworden. Für Berechtigungsverwaltung empfiehlt es sich sogar, ein spezialisiertes Werkzeug wie SetACL Studio zu nehmen.

 

Gruß, Nils