phatair 39 Geschrieben 29. Oktober 2015 Melden Teilen Geschrieben 29. Oktober 2015 Hallo zusammen, ich habe folgendes Problem. Wir haben einen Server 2012 auf dem eine versteckte Freigabe angelegt ist (Admin-Share$). Diese Share hat als "Freigabeberechtigung" eine Gruppe definiert mit Vollzugriff. Die gleiche Gruppe ist auch in den NTFS Berechtigungen mit ändern Rechten angelegt. Der Zugriff auf die Freigabe funktioniert mit den Usern, die in dieser Gruppe enthalten sind ohne Probleme. Wenn ich allerdings mit einem User auf die Freigabe zugreifen möchte, der nicht in dieser Gruppe ist, erhalte ich eine Fehlermeldung. Die Fehlermeldung sagt aus, dass ich keine Berechtigung habe diese Freigabe einzusehen und ich soll mich an die Administratoren wenden. Wenn ich versuche auf die C$ Freigabe des gleichen Servers zuzugreifen (mit dem gleichen User) erhalte ich ein Fenster in dem ich meine Anmeldedaten eintragen kann und dann bekomme ich auch Zugriff auf die Freigabe. Was habe ich bei meiner Freigabe falsch gemacht? Ich möchte eine Freigabe die nur für Admins Zugriff bietet aber auf die ich auch zugreifen kann, wenn ich mit einem anderen User angemeldet bin (das dann eben die Aufforderung einer Authentifzierung erscheint, wie bei C$) Für Hilfe wäre ich sehr dankbar. Gruß Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 29. Oktober 2015 Melden Teilen Geschrieben 29. Oktober 2015 Spontan aus dem Gedächtnis: Das klappt nur mit administrativen Freigaben. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 30. Oktober 2015 Autor Melden Teilen Geschrieben 30. Oktober 2015 Hi Martin, danke für deine Antwort. Ich bin nach längerem Suchen auch zu dem Entschluss gekommen, dass es wohl nicht so einfach möglich ist. Macht ja auch irgendwie Sinn - dafür setzt man ja auch die Berechtigung um Zugriffe zu verhindern. Wäre für meinen Fall zwar schön gewesen aber dann gehe ich hier halt nicht über die Freigabe, sondern über die administrative Freigabe. Gruß Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 2. November 2015 Melden Teilen Geschrieben 2. November 2015 Die Admin-Freigaben haben keine ACL, daher kommt dort die Nachfrage. "Normale" Freigaben haben das aber :) Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 2. November 2015 Melden Teilen Geschrieben 2. November 2015 Moin, ich bin anderer Meinung. Die administrative Freigabe hat als Share-Berechtigung "Jeder: Vollzugriff" (sieht man, wenn man aus einem Admin-CMD "net share c$" aufruft). Der tatsächliche Zugriff wird dann "dahinter" durch das System eingeschränkt. Deine Freigabe hingegen hat schon auf der Share-Ebene eine Beschränkung auf die Gruppe, der der User nicht angehört. Wenn du dort auch "Jeder: Vollzugriff" setzt und den Zugriff dann nur über NTFS regelst (was, nebenbei gesagt, ohnehin Best Practice ist), dann sollte sich der Zugriff so verhalten, wie es dir vorschwebt. Vielleicht liege ich auch falsch, ich hab gerade keine Zeit, das zu testen. Aber so würde ich es jetzt erwarten. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 3. November 2015 Melden Teilen Geschrieben 3. November 2015 Nils, Du hast Recht, was die Ausgabe von "net share c$" angeht - aber das scheint ein Bug in net.exe zu sein. Larry Ostermann sagt nämlich was anderes: http://blogs.msdn.com/b/larryosterman/archive/2005/05/26/422188.aspx- und dem würde ich eher zustimmen. Über die GUI erfährt man jedenfalls "Freigabeberechtigungen für administrative Freigaben können nicht konfiguriert werden". Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 3. November 2015 Melden Teilen Geschrieben 3. November 2015 Moin, hm, gut, kann sein. Bei Gelegenheit würde ich aber meine eigentliche Vermutung mal durchtesten, nämlich dass die Kombination von Freigabe- und NTFS-Berechtigungen hier das unerwünschte Verhalten erzeugt. Eigentlich sollte Windows nämlich nach einer Anmeldung fragen, wenn der zugreifende User keine Berechtigung (also auch kein "Verweigern") hat. Hab ich jetzt aber grad keinen Nerv zu. ;) Gruß, Nils Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 4. November 2015 Autor Melden Teilen Geschrieben 4. November 2015 (bearbeitet) Hi NilsK, genau diese Konfiguration hatte ich eigentlich auch getestet. Eine Freigabe erstellt - die Freigabeberechtigung auf "jeder" Vollzugriff gesetzt und die NTFS Berechtigung mit der Gruppe versehen. Trotzdem habe ich immer die Meldung erhalten - "Kein Zugriff" und erhalte keine Möglichkeit zur Authentifzierung mit einem anderen User (wie bei der Admin Freigabe). Aber wie gesagt, ich mache das nun über die Admin Freigabe, falls ich auf das Verzeichnis zugreifen muss und mit einem User angemeldet bin der dort keinen Zugriff hat. bearbeitet 4. November 2015 von phatair Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 4. November 2015 Melden Teilen Geschrieben 4. November 2015 genau diese Konfiguration hatte ich eigentlich auch getestet. Eine Freigabe erstellt - die Freigabeberechtigung auf "jeder" Vollzugriff gesetzt und die NTFS Berechtigung mit der Gruppe versehen. Trotzdem habe ich immer die Meldung erhalten - "Kein Zugriff" und erhalte keine Möglichkeit zur Authentifzierung mit einem anderen User (wie bei der Admin Freigabe). Du hast den betroffenen Benutzer *nach* dem hinzufügen in die Gruppe auch ganz sicher einmal ab- und wieder angemeldet? Ohne Ab- und Anmeldung kann das nicht funktionieren. http://www.faq-o-matic.net/2005/06/21/warum-funktioniert-die-aenderung-einer-gruppenmitgliedschaft-nicht/ Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 4. November 2015 Autor Melden Teilen Geschrieben 4. November 2015 Hi Sunny61, nein der User ist ja gar nicht in der Gruppe, ich möchte ja mit einem User, der keinen Zugriff auf die Freigabe hat, die Freigabe anpsrechen und dann soll ein Fenster erscheinen das mir ermöglicht mich mit einem User zu authentifzieren der die korrekte Berechtigung besitzt. Klingt vielleicht komisch, aber ist so :) Hintergrund ist folgender. Ich habe eine Freigabe erstellt, auf die haben nur Admins Zugriff. Hier liegt Software, LIzenzen, Infos usw. Wenn ich nun bei einem User bin und dieser benötigt eine spezielle Software oder ich möchte eine Lizenz nachschauen, würde ich mich gerne auf die Freigabe schalten. Also gebe ich im Explorer \\SERVER\Freigabe ein. Da der User ja noch angemeldet ist, hat dieser natürlich keinen Zugriff. Jetzt würde ich mich gerne mit meinem eigenen User (der dann ja berechtigt wäre) authentifizieren. Bei der Admin Freigabe (c$) funtioniert das auch, bei meiner eigenen eben nicht. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 4. November 2015 Melden Teilen Geschrieben 4. November 2015 Hintergrund ist folgender. Ich habe eine Freigabe erstellt, auf die haben nur Admins Zugriff. Hier liegt Software, LIzenzen, Infos usw. Wenn ich nun bei einem User bin und dieser benötigt eine spezielle Software oder ich möchte eine Lizenz nachschauen, würde ich mich gerne auf die Freigabe schalten. Also gebe ich im Explorer \\SERVER\Freigabe ein. Da der User ja noch angemeldet ist, hat dieser natürlich keinen Zugriff. Jetzt würde ich mich gerne mit meinem eigenen User (der dann ja berechtigt wäre) authentifizieren. Bei der Admin Freigabe (c$) funtioniert das auch, bei meiner eigenen eben nicht. Schneller, sicherer und einfächer wäre der schnelle Benutzerwechsel und/oder per RDP sich direkt auf den Server verbinden und die nötigen Informationen holen. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 4. November 2015 Autor Melden Teilen Geschrieben 4. November 2015 Moin, ich guck mir diesen Thread schon öfters an, mir erschliesst sich aber der Sinn nicht wirklich mit dem Zugriff für die Gruppe ohne händische Authenfizierung und der Einzeluser mit händischer Authenfizierung, meiner Intuition nach ist das ein von hinten durch die Brust ins Auge. Ob man die Sache einmal neu denkt? Bei "mir" sind ausser dem Administrator keine User in den ACLs eingetragen, nur Gruppen. Hi lefg, ich glaube ich drücke mich vielleicht unglücklich aus. Bei mir sind auch keine User berechtigt, nur der Administrator und sonst nur Gruppen. Auch möchte ich keine "Gruppe ohne händische Authenfizierung und der Einzeluser mit händischer Authenfizierung" sondern nur ein Fenster für die Authentifizierung beim Zugriff auf die Freigabe. Ganz einfach so, wie bei der Admin Freigabe C$. Dort ist auch kein User berechtigt oder ähnliches. Greife ich als Domänen Admin oder als Administrator auf die Freigabe C$ zu, erhalte ich sofort Zugriff. Greife ich als normaler Domänen Benutzer auf C$ zu, erhlate ich ein Fenster für die Authentifzierung. Ich möchte kein "von hinten durch die Brust ins Auge" Lösung :) Schneller, sicherer und einfächer wäre der schnelle Benutzerwechsel und/oder per RDP sich direkt auf den Server verbinden und die nötigen Informationen holen. Gebe ich dir Recht Sunny - manchmal hat man so seine Angewohnheiten und mich hat es einfach gewundert, warum das nicht geht. Aber sicherer wäre es über RDP sicherlich, ob schneller und einfach ist Geschmackssache. Werde mich einfach umgewöhnen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. November 2015 Melden Teilen Geschrieben 4. November 2015 Moin, ich hab es inzwischen kapiert, die Kritik war so nicht zutreffend., habe meinen vorherigen Post deshalb gelöscht. Zitieren Link zu diesem Kommentar
Beste Lösung Sunny61 806 Geschrieben 4. November 2015 Beste Lösung Melden Teilen Geschrieben 4. November 2015 Gebe ich dir Recht Sunny - manchmal hat man so seine Angewohnheiten und mich hat es einfach gewundert, warum das nicht geht. Aber sicherer wäre es über RDP sicherlich, ob schneller und einfach ist Geschmackssache. Werde mich einfach umgewöhnen. Bezüglich RDP muss man sich IMHO nur etwas umgewöhnen: Windows-Taste + R drücken, mstsc [ENTER] > Name des Servers eintragen, oder auch einen angelegten SPN verwenden, da kann man sich ja einen schönen kurzen anlegen. Benutzername und PW eingeben, fertig. Als Alternative kannst Du auf der Commandline das hier versuchen: net use \\deinServer "passwort" /user:deinedom\der Admin "passwort" weglassen, dann musst Du es eintippen. Aber ob das schneller geht und sicherer ist? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.