Dateiberechtigung - Builtin Administratorengruppe

[kirus22 10]

Hallo zusammen,

 

ich habe hier m.E. ein merkwürdiges verhalten im AD, und zwar gibt es 2 Standorte, für diese Standorte wurden zwei neue Administratoren Gruppen erstellt (Administratoren-A und Administratoren-B ). Die Standard Gruppe Administratoren (Builtin) gibt’s es auch noch.

 

Jetzt möchte ich gerne die Sicherheitseigenschaften einer Datei/Ordner ändern. Und zwar möchte ich der Gruppe Administratoren (Builtin) Rechte auf diese Datei/Ordner geben, ich finde sie aber nicht!? Es werden mir nur die Gruppen Administratoren-A und Administratoren-B  angezeigt. Hat jemand eine Idee warum das so ist?

 

Es handelt sich um eine Gesamtstruktur, ohne Subdomains etc. Die Gesamt- und Domainfunktionsebene ist W2k3.

 

Gruß Kirus22

bearbeitet 13. Januar 2014 von kirus22

[RobertWi 81]

Moin,

 

das ist nicht "merkwürdig", das ist normal. Hast Du Dich nie gefragt, was mit den lokalen Gruppen passiert, sobald Du einen Member-Server zu einem DC machst?

 

Die AD "builtin"-Gruppen sind nichts anderes, als die lokalen Gruppen eines Member-Servers - nur für die DC. Kann man gut sehen, weil die SID bei den builtin/administrators identisch zu den Lokalen Admins auf einem Member-Server oder einer Workstation ist (S-1-5-32-544, ein sog. Well-known security identifier). Und, so wie bei jeder lokalen Gruppe lässt sich die Gruppe daher nur auf dem lokalen Rechner benutzen. In diesem Fall auf den DCs.

 

Probier es aus: Nimm einen Memberserver und such im Berechtigungsassistenten über "Erweiterte Suche" direkt im Container AD/builtin. Du wirst die Gruppe "Administratoren" nicht finden. Danach mach das gleiche auf irgendeinem DC: Und da gibt es die Gruppe "plötzlich".

 

Der einzige Unterschied ist, dass die echten lokalen Gruppen "maschinenlokal" sind, also nur auf der einen Maschine benutzt werden können. Die "builtin"-Gruppen dagegen sind DC-lokal, können auf allen DC benutzt werden.