Jump to content

Berechtigungen pers. Adminaccounts auf Fileserver W2K12


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

bräuchte bitte wieder mal wen, der mitdenkt :p

 

Umgebung: Windows 2003 AD, Fileserver mit Windows 2012.

Bisher haben alle Administratoren mit "dem" Domänenadministrator gearbeitet, was wir jetzt abändern wollen (ISO 27001).

Habe also für jeden Admin einen personalisierten Adminaccount erstellt und diesen in die Gruppe der Domänen-Administratoren gepackt.

Ich melde mich jetzt mit meinem personalisierten Admin-Account auf dem Fileserver an und bin somit ja auf dem Server auch Administrator (Lokale Administratoren enthalten die Domänen-Admins, bei denen ich ja Mitglied bin). Nachdem das neue Profil erstellt wurde klicke ich auf irgend ein Verzeichnis des Fileservers, auf welches zunächst alle Domänen-Benutzer Zugriff haben, alles funktioniert wunderbar.

 

Jetzt klicke ich auf ein Unterverzeichnis, bei dem die Vererbung aufgebrochen ist, weil eben dort nur bestimmte Gruppen den Zugriff haben sollen.Die lokalen Administratoren (und somit über die Mitgliedschaft meines Admin-Accounts in den Domänen-Admins auch ich...) sind natürlich dort auch explizit berechtigt.

Sofort bekomme ich die Meldung "You don´t currently have permission to access this folder. Click Continue to permanently get access to this folder" (?!?!)

Ich klicke auf "Continue", der Fileserver "überlegt" eine Weile und ich kann auf das Verzeichnis zugreifen. Kontrolle: das kurze "Überlegen" des Fileservers hat stattgefunden, weil er jetzt hergegangen ist und meinen personalisierten Admin-Account auf alle Unterordner mit Vollzugriff berechtigt hat, was man im "Security"-Tab auslesen kann.

Das will ich aber nicht, weil wir auf unserem Fileserver grundsätzlich nur Gruppen berechtigen (es gab da in der Vergangenheit x alte SIDs, die von gelöschten Benutzern übrig geblieben sind und die Kiste ausgebremst haben, weswegen wir NUR NOCH auf Gruppen berechtigen).

 

Weitere Recherchen haben dann ergeben, daß er bei weiteren Unterordnern, bei denen die Vererbung aufgebrochen war, halt macht und mich dort nicht explizit einträgt. Wenn ich also tiefer runterklicke, stoße ich immer wieder mal auf Verzeichnisse, bei denen ich oben besagte Meldung wieder bekomme und mich "freischiessen" muss.

 

Habe meinen Adminaccount zum Gegentest noch einmal explizit in die Gruppe der lokalen Admins eingetragen (ist ja eh doppelt gemoppelt), auch nach Neuanmeldung keine Änderung... gleiches Verhalten.

 

Wo habe ich hier den Denkfehler? Oder ist das by design so? Warum bin ich trotz Eintrag in die lokalen Admins nur "ein bisschen" Administrator und werde dann bei jedem Verzeichnis, auf das ich mich explizit "freischiesse" dann doch berechtigt und (leider) auch explizit eingetragen?

Oder ist das ein Standardverhalten, damit man eben im Nachhinein feststellen kann, welcher Adminaccount wo zugegriffen hat? - Wäre ja witzlos, ich kann das ja als Admin wieder entfernen...

 

Hat das von Euch schonmal jemand gehabt?

 

Danke & Grüsse im Voraus!!

 

Schroeder750

 

Link zu diesem Kommentar

Hi Norbert,

 

Danke für den Tip, das war es natürlich... :)  Hätte ich Nasenbär auch selbst mal drauf kommen können :suspect:

Wir haben uns eine policy erstellt, die die UAC auf allen 2012er-Servern deaktiviert. Alles andere wäre ein ewiges Gebastel gewesen, weil wir auch gerade dabei sind, geplante Tasks, die momentan unterm Administrator laufen, auf eben die personalisierten Accounts umzustellen. Die wären uns sonst regelmäßig vor die Wand gelaufen.

Policy, UAC deaktiviert, alles ist gut :p

 

Danke & Grüsse

 

Volker

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...