ella963 0 Geschrieben 26. Mai 2014 Melden Teilen Geschrieben 26. Mai 2014 Hallo! Ich hoffe ich bin hier richtig und es kann mir vielleicht jemand weiterhelfen. Ich habe einen 2008 R2 Fileserver und einen 2012 R2 Fileserver. Das Thema das mich beschäftigt sind die Berechtigungen. Es gibt eine AD Administratoren Gruppe die bei den Servern zu den lokalen Administratoren hinzugefügt ist. Ich lege mit einem User dieser Gruppe die Ordnerstruktur an, soweit gibt es auch keine Probleme. Das Problem das ich habe ist, sobald ein anderer User (der ebenfalls in der Administratorengruppe ist) nun einen Ordner öffnen möchte, kommt eine Meldung das der User keine Berechtigung hat den Ordner zu öffnen. Man kann Continue klicken um permanenten Access für den Ordner zu erhalten. Dann passiert folgendes, der User der sich auf diese Art Zugriff holt wird bei den Berechtigungen mit Voll Zugriff eingetragen (obwohl er sich in der Administratoren Gruppe befindet, welche ebenfalls Voll Zugriff hat). Dieses Verhalten haben wir bei 2008 R2 und 2012 R2 feststellen können. Wenn ich die UAC deaktiviere, funktioniert das alles ohne Probleme. Dann werden keine Berechtigungen eingetragen und ich habe trotzdem Zugriff auf die Ordner. Ist das die einzige Lösung oder gibt es da noch einen anderen Weg damit die Berechtigung nicht extra eingetragen wird? Kann es vorkommen das in solch einem Fall die AD-Gruppe die in der lokalen Administratoren Gruppe ist nicht "durchgesehen" wird? Danke für Euren Input! lg ella Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 26. Mai 2014 Melden Teilen Geschrieben 26. Mai 2014 Moin, das Verhalten ist (leider) normal. Und es ist, wie du schon richtig bemerkst, hochgradig unsinnig. Der Hintergrund ist tatsächlich die UAC. Ist diese aktiv, dann hat das User-Token keine Mitgliedschaft in administrativen Gruppen. Leider kann ausgerechnet der Explorer nicht richtig damit umgehen, daher gibt es keinen Weg, die (eigentlich ja vorhandenen) Admin-Berechtigungen an den Explorer weiterzugeben. Zur Berechtigungsverwaltung auf Windows-Servern empfehle ich daher entweder einen anderen Dateimanager oder den "Mercedes": SetACL Studio. [setACL Studio - Intuitive Permission and ACL Management • Helge Klein]http://helgeklein.com/setacl-studio/ Zum Weiterlesen: [benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net]http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/ Gruß, Nils Zitieren Link zu diesem Kommentar
Ralphnorbert 0 Geschrieben 26. Mai 2014 Melden Teilen Geschrieben 26. Mai 2014 (bearbeitet) Sorry, vergesst das. Bin bei dem falschen Beitrag gelandet!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! bearbeitet 26. Mai 2014 von Ralphnorbert Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 27. Mai 2014 Melden Teilen Geschrieben 27. Mai 2014 wobei "intuitiv" und SetACL in einem Satz schon ein Widerspruch ist .. Zitieren Link zu diesem Kommentar
NorbertFe 2.100 Geschrieben 27. Mai 2014 Melden Teilen Geschrieben 27. Mai 2014 Er schrub ja Set-ACL Studio. ;) Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 27. Mai 2014 Melden Teilen Geschrieben 27. Mai 2014 Moin, wobei "intuitiv" und SetACL in einem Satz schon ein Widerspruch ist .. zumindest ich habe auch keinen Satz mit diesen Wörtern geschrieben. :P Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.375 Geschrieben 27. Mai 2014 Melden Teilen Geschrieben 27. Mai 2014 Hm nun - wenn man sich mit dem restricted Token mal genau auseinandersetzt, dann ist das Verhalten weder unsinnig noch unerwartet. "Administrators - deny only" sei das Stichwort... Falsche ACLs im Stammordner führen zu dem hier beschriebenen Verhalten, und wenn man das nicht möchte, sollte man sich halt mal mit der Vererbung (besser dem "Erben" von Rechten) genauer auseinandersetzen. Anders formuliert: Verwende niemals "Administrators", um Zugriff auf etwas zuzulassen, wenn UAC aktiviert ist. Verwende welche Gruppe auch immer Du in Deinem AD dafür ohnehin schon hast. Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 28. Mai 2014 Melden Teilen Geschrieben 28. Mai 2014 Moin, Hm nun - wenn man sich mit dem restricted Token mal genau auseinandersetzt, dann ist das Verhalten weder unsinnig noch unerwartet. ich beziehe mich nicht auf die Funktionsweise von UAC. Die ist OK, und als Sicherheitsbaustein verfechte ich sie seit, naja, der ersten Stunde. Ich meinte hier das Verhalten des Explorers, und das ist einfach unsinnig. Er bietet einem an, auf einen geschützten Ordner zuzugreifen, ändert dann aber im Hintergrund die ACL, ohne darauf hinzuweisen. Und das alles nur, weil Microsoft keinen UAC-kompatiblen Dateimanager bauen wollte. Ich habe schon in vielen großen Unternehmen entsetzte Blicke geerntet, als ich dort zeigte, was die Admins, ohne es zu wissen, mit ihren Berechtigungen angerichtet haben. An einem alternativen Dateimanager oder einer Lösung wie SetACL Studio geht aus meiner Sicht auf einem Windows-Dateiserver mit UAC kein Weg vorbei. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.375 Geschrieben 29. Mai 2014 Melden Teilen Geschrieben 29. Mai 2014 ich beziehe mich nicht auf die Funktionsweise von UAC. Die ist OK, und als Sicherheitsbaustein verfechte ich sie seit, naja, der ersten Stunde. Ich meinte hier das Verhalten des Explorers, und das ist einfach unsinnig. Er bietet einem an, auf einen geschützten Ordner zuzugreifen, ändert dann aber im Hintergrund die ACL, ohne darauf hinzuweisen. Ok, da hammer aneinander vorbei geredet. Mit der UAC-Inkompatibilität des Explorer hast Du leider recht. Wenn man sich nicht mit "elevatet unelevated factory" rumschlagen will, dann ist der Explorer bei aktivierter UAC - und wenn man die "Administratoren" verwendet und nicht anderweitig delegiert hat - als Dateimanager unbrauchbar. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.