CoolBlue 10 Geschrieben 17. Februar 2014 Melden Teilen Geschrieben 17. Februar 2014 (bearbeitet) Hallo, aktuell habe ich Probleme mit den NTFS Permissions bei Freigaben auf einem 2012 R2 Server. Folgende Umgebung: Windows 2008 SBS Server soll auf Windows 2012 migriert werden. Ich habe einen Windows 2012 R2 in die Domäne integriert und selbst zum AD hochgestuft. Gleichzeitig soll dieser Server Dateiserver sein. Mit in der Umgebung sind noch ein zweiter 2012 Server mit Exchange 2013 und ein 2008R2 Server als RDS/XenApp Server. Dazu zahlreiche Windows 7 Clients Zum eigentlichen Problem: Neue Freigabe: F:\Austausch Neue Ressourcen Gruppe: DL_Share_Austausch Die Ressourcen Gruppe "DL_Share_Austausch" enthält die Gruppen "G_Administratoren" und "G_Benutzer" In der globalen Gruppe "G_Benutzer" sind alle Benutzer des Unternehmens oder weitere globale Gruppen. Kein Benutzer erhält auf die Freigabe Zugriff von Windows 7 aus. Über den RDS Server mit Win2008R2 geht der Zugriff. Durchgeführte Tests: 1) Gruppe "Domänen-Benutzer" dem Ordner Austausch hinzugefügt > Geht! 2) Gruppe "Jeder" dem Ordner Austausch hinzugefügt > Geht! 3) Einen Benutzer dem Ordner Austausch hinzugefügt > Geht! 4) Einen Benutzer der Ressourcen Gruppe DL_Share_Austausch hinzugefügt > Geht nicht! 5) Die globale Gruppe "G_Benutzer" direkt dem Ordner Austausch hinzugefügt > Geht nicht! 6) Eine alte globale Gruppe aus der Zeit des SBS2008 Servers dem Order Austausch hinzugefügt > Geht! 7) Tests der effektiven Berechtigung mit einer ausgewählten Datei in dem Ordner ergaben bei allen Kombis immer "Grün". Dennoch wurde der Zugriff verweigert. Irgendwie scheint es hier ein Problem mit neuen Gruppen zu geben die mit dem Windows 2012 Server erstellt wurden. Interessanterweise habe ich auf dem Server vor ein paar Wochen bereits eine Freigabe "Media" erstellt und mit einer neuen Gruppe namens "DL_Share_Media" freigegen. Diese funktionierte von Anfang an und sofort. Was hat sich plötzlich geändert? ----- Update: Ich glaub ich hab den Fehler endlich selbst gefunden. Alle Windows User müssen sich neu anmelden um zu wissen das sie einer neuen Sicherheitsgruppen hinzugefügt wurden. Kann mir jemand erklären warum das so ist und ob das schon immer so wahr? Ich mein der Server sollte doch kontrollieren ob der Benutzer Zugriff auf ein Objekt hat und nicht der Client. Oder wird dies im Kerberos Ticket festgehalten um zusätzlichen Netzwerkverkehr zu minimieren? bearbeitet 17. Februar 2014 von CoolBlue Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 17. Februar 2014 Melden Teilen Geschrieben 17. Februar 2014 Alle Windows User müssen sich neu anmelden um zu wissen das sie einer neuen Sicherheitsgruppen hinzugefügt wurden. Kann mir jemand erklären warum das so ist und ob das schon immer so wahr? Ich mein der Server sollte doch kontrollieren ob der Benutzer Zugriff auf ein Objekt hat und nicht der Client. Oder wird dies im Kerberos Ticket festgehalten um zusätzlichen Netzwerkverkehr zu minimieren? Ja. Im Kerberos Ticket werden die Gruppen gespeichert, in denen ein User ist. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 17. Februar 2014 Melden Teilen Geschrieben 17. Februar 2014 Ich würde auf allen DC's mal DCDIAG ausführen. Ein Blick in die Eventlogs kann auch nicht schaden. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 17. Februar 2014 Melden Teilen Geschrieben 17. Februar 2014 Auszug aus: http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Bei der Anmeldung ans System erhält jeder Benutzer ein “Access Token”, das u.a. seinen eigenen SID und die SIDs aller Gruppen enthält, in denen er Mitglied ist. Dieses Access Token bildet dann seinen Berechtigungsausweis für alle Zugriffe. Da es nur bei der Anmeldung erzeugt wird, sind alle Änderungen an Gruppenmitgliedschaften, die während der laufenden Arbeitssitzung erfolgen, wirkungslos. Erst bei der nächsten Anmeldung wird ein neues Access Token erzeugt, das die dann gültigen Mitgliedschaften umfasst. Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 17. Februar 2014 Melden Teilen Geschrieben 17. Februar 2014 Hi, vielleicht habe ich hier ein Verständnisproblem, aber wir nutzen noch einen Server 2003 als konfigurierten Cluster-Fileserver und AD im 2003er Modus. Und wenn ich Usern eine globale Security Group zuweise, dann geht das in der Regel nach knapp einer Stunde on the fly, ohne neue Anmeldung. Oder aber, der User gibt mir nicht das feedback, dass er sich neu angemeldet hat. Grüße Alex Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.