Magroll 10 Geschrieben 23. Oktober 2012 Melden Teilen Geschrieben 23. Oktober 2012 Hallo zusammen, ich habe hier mal wieder ein kleines Verständnisproblem. Folgende Ausgangslage : W2K8R2 Terminalserver TS01 User "administrator" = lokaler Administrator des Systems User "domadmin" = User in Gruppe der Domänenadmins Ich habe auf dem TS die Sicherheitseinstellungen der Verknüpfung zum Servermanager geändert, um zu verhindern das User Sie sehen können. Die Berechtigungen lauten jetzt : System = Vollzugriff Domänenadmins = Vollzugriff Administratoren TS01 = Vollzugriff Wenn ich mich jetzt mit dem lokalen "Administrator" anmelde ist alles normal. Wenn ich mich mit dem "domadmin" anmelde ist das Icon weiß und ich kann es nicht starten. Wenn ich auf die Sicherheitseinstellungen gehen will kommt zudem folgende Meldung : "Sie müssen administrative Rechte und die Berechtigung zur Anzeige der Sicherheitseigenschaften des Objektes besitzen." Ein Klick auf "Fortsetzen genügt um die Sicherheitseinstellungen dann angezeigt zu bekommen. Beim lokalen Admin ist das nicht so. Kann mir wer dieses Verhalten erklären? Vielen Dank und Gruß, Mag Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Oktober 2012 Melden Teilen Geschrieben 23. Oktober 2012 Moin, hat der "domadmin", dessen Gruppe denn Berechtigung auf die Anwendung, auf das Verzeichniss? Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 23. Oktober 2012 Melden Teilen Geschrieben 23. Oktober 2012 Hi, log dich mit dem lokalen Administrator ein, und schau dir die effektiven Berechtigungen des Zielbenutzers an. Eventuell pfuscht auch eine andere Berechtigung (Stichwort Verweigern) dazwischen. Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 23. Oktober 2012 Autor Melden Teilen Geschrieben 23. Oktober 2012 Hi, @lefg : Die Berechtigungen auf das Standardzielicon ("C:\Programdata\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server-Manager) lauten wie schon angegeben. System = Vollzugriff Domänenadmins = Vollzugriff Administratoren TS01 = Vollzugriff Damit wird der Standard Windows Servermanager gestartet, diesen kann ich auf direktem Wege auch ohne Probleme starten. Also ich kann das Problem umgehen, aber ich würde das Problem gerne verstehen. @Stefan W: Die effektiven Berechtigungen des Users "domadmin" sind Vollzugriff... Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 23. Oktober 2012 Autor Melden Teilen Geschrieben 23. Oktober 2012 Das ganze wird für mich noch etwas unverständlicher. Wenn ich meinen User direkt "Vollzugriff" Berechtigung auf die Verknüpfung gebe, funktioniert die Verknüpfung. Wenn ich einer neuen Testgruppe wo mein User Mitglied ist, die Berechtigung "Vollzugriff" gebe funktioniert es. Wenn ich nur der Gruppe "Domänen-Administratoren" deren Mitglied mein User ist Vollzugriff gebe, funktioniert es nicht? Gibt es da irgendeinen nachvollziehbaren Unterschied? Die Gruppe "Domänen-Administratoren" ist ja eine Standardwindowsgruppe, aber es ist doch trotzdem eine "ganz normale" Gruppe, oder nicht? Ist die Gruppe bei mir vielleicht irgendwie kaputt?! Der einzige Unterschied der mir noch einfällt, ist das die Gruppe der Domänen-admins, in der Gruppe der lokalen Administratoren auf dem Server eingetragen ist. Aber das muss doch so, oder? Gruß, Mag Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 23. Oktober 2012 Melden Teilen Geschrieben 23. Oktober 2012 Wie greiffst du drauf zu? via lokalem Datenträger, oder Netzlaufwerk? bei zweiterem Freigabeeinstellungen überprüfen. lg Der einzige Unterschied der mir noch einfällt, ist das die Gruppe der Domänen-admins, in der Gruppe der lokalen Administratoren auf dem Server eingetragen ist. Aber das muss doch so, oder? ja Wenn ich meinen User direkt "Vollzugriff" Berechtigung auf die Verknüpfung gebe, funktioniert die Verknüpfung. Vererbung evtl deaktiviert? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Oktober 2012 Melden Teilen Geschrieben 23. Oktober 2012 ....Wenn ich nur der Gruppe "Domänen-Administratoren" deren Mitglied mein User ist Vollzugriff gebe, funktioniert es nicht?.... Was sind "Domänen-Administratoren"? Die Sicherheitsgruppe der Domänen-Admins ist Mitglied in der Sicherheitsgruppe der Administratoren auf einem Domänenclient, Memberserver. Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 23. Oktober 2012 Autor Melden Teilen Geschrieben 23. Oktober 2012 Ich melde mich mit dem User via RDP am Server an und arbeite direkt auf Laufwerk C: des Servers. Die Vererbung kommt direkt von Laufwerk C: Root. Da sind die Standardberechtigungen gesetzt, da hab ich auch nirgends was geändert. Die Domänen-Admins sind Mitglieder der lokalen Administratoren, somit sollten die die Domänen-Admins auch Vollzugriff haben. Wenn ich eine Abfrage zu den Effektiven Rechten mache, hat mein User auch Vollzugriff... trotzdem dieses merkwürdige Verhalten... ThX, Mag Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 23. Oktober 2012 Autor Melden Teilen Geschrieben 23. Oktober 2012 Was sind "Domänen-Administratoren"? Sorry, ich meinte die Standardgruppe "Domänen-Admins" Gruß, Mag Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Oktober 2012 Melden Teilen Geschrieben 23. Oktober 2012 Und wie ist es mit der Berechtigung auf die .LNK? Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 23. Oktober 2012 Autor Melden Teilen Geschrieben 23. Oktober 2012 Und wie ist es mit der Berechtigung auf die .LNK? C:\Programdata\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server-Manager.lnk System = Vollzugriff Administratoren TS01 = Vollzugriff Dömanen-Admins = Mitglied der Gruppe der lokalen Administratoren Gruß, Mag Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Oktober 2012 Melden Teilen Geschrieben 23. Oktober 2012 Und wie ist es, wenn der Member direkt an der GUI des TS anmeldet? Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 23. Oktober 2012 Melden Teilen Geschrieben 23. Oktober 2012 Moin, das "Problem" nennt sich UAC. Da du lokal mit "dem" Administrator zugreifst, ist der davon nicht betroffen. faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen Gruß, Nils Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 24. Oktober 2012 Autor Melden Teilen Geschrieben 24. Oktober 2012 @NilsK : You made my day! Sehr schön ist auch der Link zu : Using Windows Explorer together with UAC | ADdict Alternativ kann man die UAC sicher auch einfach abschalten, dies versuche ich aber erstmal zu vermeiden. War schon kurz davor, den Server neu zu installieren.... Thx, Mag Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.