TN-TB 0 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Ein herzliches Hallo liebes Board! Ich hoffe die Suche korrekt bedient zu haben, fand aber leider nichst zu meinem Thema. Mir ist vielleicht auch einfach nicht klar wie ich meine Suche formulieren soll. ;-) Folgende Situation stellt sich dar: kleines Firmennetzwerk mit 2 Servern in einem ESXi. Der alte Server 2k3 Std. läuft noch da eine Anwendung noch nicht auf dem neuen Server 2k12 R2 Std. umgezogen werden kann. Das AD wurde vom alten auf den neuen migriert, hat auch alles toll geklappt und funktioniert. Nun soll ein zweiter Account als Domänenadministrator hinzugefügt werden und die Probleme fangen an...Ich habe den Administrator (also der der sowieso da ist) kopiert und als "Obermuckl" benannt. Kurz geprüft ob auch wirklich als Mitglied der Domänen Admins gelistet - alles ok. Wenn ich mich jedoch nun als "DOMÄNE\Obermuckl" an egal welchem Server von beiden Anmelde, dann kann ich so einiges nicht tun was der Administrator jedoch kann.Das stellt sich so dar, dass ich zwar im Dateisystem jeden vorhandenen Ordner sehen kann und auch alle nötigen Berechtigungen habe, wenn ich aber Beipielsweise eine Anwendung öffnen möchte kommt ein Promt ich hätte kein Recht. Aufgefallen ist das auch erst nach einigen Tagen bei bestimmten Anwendungen. (SyncCredible, MDeamon, Mailstore usw...) Kann man entgegen meiner Annahme den Domänen Administrator nicht einfach kopieren?Gibt es da noch andere Rechte die ich völlig außer acht gelassen habe?Ist meine Herangehensweise falsch?Ich weiß im Moment keinen Rat, aber hoffe dass die Erfahrung hier am Board das Geheimnis lüften wird. Vielen Dank vorab für Eure Zeit und Unterstützung! Edith:Die Systeme sind auf dem letzten Patchlevel. Die UAC ist deaktiviert. AV Software = Trend Micro WFBS Advanced Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Das erste was du machen solltest ist die UAC wieder aktivieren. Zu deinem Problem: Dann ist der Administrator wahrscheinlich bei einigen Berechtigungen fest eingetragen. Also keine Gruppe, sondern eben nur der "Administrator". Hast du das schon mal geprüft? Hast du derartige Probleme nur bei Zusatzsoftware? Oder im System allgemein. Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 UAC und der Built-In Admin und der Windows Explorer sind halt so Spezialfälle. ;) Zitieren Link zu diesem Kommentar
TN-TB 0 Geschrieben 2. September 2016 Autor Melden Teilen Geschrieben 2. September 2016 Vielen Dank für das schnelle Feedback. Einzelberechtigungen sind im gesamten System nicht vorhanden - alles wird durch Gruppen geregelt. So wie sich der Fall (bisher) darstellt, beschränkt sich das alles auf 3rd Party Software. Meine Kollegen kennen das Phänomen wohl schon länger und haben Achselzuckend gemeint "Dann geht das wohl nicht.." Finde ich b***d, schließlich sind ja wir die Admins... :-D Zur sache mit der UAC:Die sollte ja nur auf dem 2k12 Server wirken. Sync Credible läuft jedoch auf dem 2k3 mit dem Phänomen.Ich schalte die im nächsten Wartungsfenster trotzdem mal ein und zu sehen ob sich irgenwas ändert.Was genau ist das Problem mit dem Builtin Admin?Habe ich was falsch gemacht? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Ich auch kein Freund davon es zu deaktivieren, gewisse Programme fordern das aber ein (neulich z.B. der ePO-Server von Mcafee). Das Problem bei 2012R2 ist, dass der Schieberegler UAC nicht komplett abschaltet. Dazu muss man zusätzlich noch etwas in die Registry eintragen: https://gallery.technet.microsoft.com/Registry-Key-to-Disable-UAC-45d0df25 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Wenn du den Prompt bestätigst, kannst du dann die Anwendung öffnen? Zitieren Link zu diesem Kommentar
TN-TB 0 Geschrieben 2. September 2016 Autor Melden Teilen Geschrieben 2. September 2016 Wenn du den Prompt bestätigst, kannst du dann die Anwendung öffnen? Ich habe mich falsch ausgedrückt: Ich erhalte keinen Prompt der mich irgendwie interagieren lässt. Nur eine Meldung, dass der Zugriff verweigert wird. (Checkbox mit rotem "x") Ich auch kein Freund davon es zu deaktivieren, gewisse Programme fordern das aber ein (neulich z.B. der ePO-Server von Mcafee). Das Problem bei 2012R2 ist, dass der Schieberegler UAC nicht komplett abschaltet. Dazu muss man zusätzlich noch etwas in die Registry eintragen: https://gallery.technet.microsoft.com/Registry-Key-to-Disable-UAC-45d0df25 Diesem Hinweis werde ich in jedem fall folgen. Danke! Habe ich richtig verstanden, dass es besser ist die UAC aktiv zu lassen weil es sonst Probleme mit dem Explorer gibt? (oder eben alternativ etwas wie den Total Commander verwenden) Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Ich würde dann mal den Hersteller der Software kontaktieren und fragen, auf welche Verzeichnisse, DBs o.ä die Software Zugriff benötigt. Anschließend das Berechtigungskonzept überarbeiten und den RID500 überall entfernen, wo er nicht hin gehört. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 2. September 2016 Melden Teilen Geschrieben 2. September 2016 Hier hatten wir schon einmal das Thema und von Nils sehr gut erklärt - https://www.mcseboard.de/topic/199792-frage-zu-komischen-effekten-unter-windows-server-2012r2-ursache-uac/ LG Günther Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 3. September 2016 Melden Teilen Geschrieben 3. September 2016 Ich habe mich falsch ausgedrückt: Ich erhalte keinen Prompt der mich irgendwie interagieren lässt. Nur eine Meldung, dass der Zugriff verweigert wird. (Checkbox mit rotem "x") Dann hat dein "Problem" aber nichts mit der UAC zu tun. Neben NTFS-ACL Rechten und UAC (= eigentlich das sog. MIC Level) hat Windows 2012 noch einige weitere Security- bzw. Berechtigungssysteme eingebaut, z.B. - privileges - userrights - dynamic access control (DAC) - share rights Ich vermute, dass deine Anwendung ein Privilege (z.B. "act as the operating system", "chnage the system time", "backup files" etc.) verlangt, das der kopierte Obermuckl nicht besitzt. Privileges und Userrights werden über die Securityeinstellungen in den Policies gesetzt (Locale GPO oder Domain GPO -> Windows Settings -> Security Settings -> User Rights Assignement). Schau da rein und du wirst einige Einstellungen finden, die nur der ursprüngliche Administrator bzw. die lokalen Administratoren der Maschine haben, aber nicht dein Obermuckl. Den Obermuckl kannst du ergänzen, bzw. den lokalen Administratoren hinzufügen. Welches Privilege genau fehlt, musst du wohl ausprobieren. Priviliges werden nicht automatisch angepasst, wenn du den AdminAccount kopierst. Soweit die technische Antwort (hoffentlich). Securitytechnisch sollte man mit keinem Account arbeiten, der unnötigerweise erhöhte, kritische Privileges besitzt. bzw. für Anwendungen, die nicht genau erklären können, warum sie mit erhöhten Privileges gestartet werden müssen, sollte man eine Alternative suchen. Aber wen interessiert schon Security, sobald's was kostet? Sei es nur Hirnschmalz. blub Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 4. September 2016 Melden Teilen Geschrieben 4. September 2016 WIe geschrieben: Bei 2012R2 muss zusätzlich EnableLUA auf "0" gesetzt werden, sonst ist UAC nicht vollständig deaktiviert. Das merkt man dann, wenn Programme (Installer) meinen, sie hätten keine Adminrechte... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.