jimmyone 15 Geschrieben 27. Juni 2019 Melden Teilen Geschrieben 27. Juni 2019 (bearbeitet) Hallo Zusammen, ich habe in meiner DEV oder Demo Umgebung einen Windows Server 2019 Standard installiert. Nun habe ich etwas bemerkt, was ich persönlich so nicht kenne. Lokaler Admin: Im Test für einen zukünftigen Fileserver habe ich ein Testvolume aus unserem Storage angebunden. Im Anschluss habe ich einen Ordner erstellt und habe simuliert, das es sich dabei um das persönliche Verzeichnis eines Mitarbeiters handelt. In this case: Me. Berechtigungen sind folgende: Zitat Lokale Administratorengruppe: Vollzugriff Mein Domänenbenutzer: Ändern System: Vollzugriff. Als Besitzer ist die lokale Administratorengruppe hinterlegt. Im Anschluss habe ich eine Freigabe erzeugt und dann mit meinem Domänen Benutzer den Zugriff und das Handling getestet. Bis hier hin ein normales Verhalten und keine Probleme. Da aber nicht jeder über den lokalen Admin verfügt, sondern es durchaus Gruppen gibt wie die Domänen-Admins oder wie bei uns die Fileserver Admins habe ich diese Gruppen jeweils den lokalen Administratoren hinzugefügt. Naturgemäß war durch den Join zur Domäne die Gruppe Domänen-Admins bereits vorhanden. Nach erneuter Anmeldung an den Server als Mitghlied einer der beiden Gruppen, ob Fileserver Admins oder Domänen-Admins ist egal, hat dieser Benutzer keinen Zugriff auf die Ordner und auch nicht auf seine Eigenschaften. Der Reiter Sicherheit meldet, das keine Lesende Berechtigung vorliegt. Seltsam an der Sache ist, das der angemeldete Benutzer aber Mitglied der loaklen Administratoren Gruppe ist, durch Zugehörigkeit zu einer anderen Gruppe und somit Zugriff haben müsste. Wenn ich nun Zugriff auf den Ordner nehmen will, wird eine Meldung eingeblendet, die mich auffordert "Weiter" zu klicken um hier mit Administratorenrechten zu arbeiten. Klicke ich dann auf Weiter komme ich an den Ordner und seine Inhalte dran. Allerdings wird der Registerkarte Sicherheit mein Benutzer dann als Vollzugriff hinzugefügt. Dieses Verhalten stelle ich so für mich erstmalig fest. Auf meinem aktuellen Fileserver (W2K12) ist das so nicht der Fall. Wenn ich mich dort als Mitglieder einer der beiden Gruppen anmelde ist der Zugriff gewährt ohne Rückfrage und das hinzufügen des Benutzers. Kennt ihr das beschriebene Verhalten? Wir planen den Umstieg von Server 2012 weil Ende 2020 unser Supportvertrag für diese Betriebssystemgeneration ausläuft. Dann liegt natürlich die Idee nahe dies mit dem aktuellen Release zu machen. Mit Server 2016 habe ich das o.a. Verhalten nicht überprüft. Das System hat Stand: 10.0.17763 Grüße Jimmyone bearbeitet 27. Juni 2019 von jimmyone Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 27. Juni 2019 Melden Teilen Geschrieben 27. Juni 2019 Hi und herzliche Willkommen bei der UAC. ;) Siehe: https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß Jan 1 Zitieren Link zu diesem Kommentar
jimmyone 15 Geschrieben 27. Juni 2019 Autor Melden Teilen Geschrieben 27. Juni 2019 Hi testperson, erst mal vielen Dank für die Beteiligung an dem Anliegen. Aber die UAC gabs doch 2012 auch schon. Und der Fileserver 2012 verhält sich nicht so wie oben beschrieben. Das wundert mich ein wenig. Ich analysiere das nochmal weiter, was wir auf dem 2012 anders gemacht haben. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 27. Juni 2019 Melden Teilen Geschrieben 27. Juni 2019 vor 3 Minuten schrieb jimmyone: Ich analysiere das nochmal weiter, was wir auf dem 2012 anders gemacht haben. Evtl. die UAC ausgeschaltet / angepasst und / oder mit dem Built-In Admin gearbeitet? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 27. Juni 2019 Melden Teilen Geschrieben 27. Juni 2019 Never ending story - das elevated Token... Da hat entweder MS was falsch erklärt - oder (meine Vermutung) die meisten Admins verstehen nicht, was ein Token ist und warum es restricted sein könnte 1 Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 11. Juli 2019 Melden Teilen Geschrieben 11. Juli 2019 (bearbeitet) Normal ist das aber eigentlich nicht, dass man keine Berechtigung auf Files hat. Weil es wird in diesem Fall ja nicht dem Administrator selbst die Berechtigung gegeben, sondern einer Gruppe. Wenn der Admin in dieser Gruppe ist, muss er auch ohne UAC-Freigabe Zugriff bekommen. UAC braucht er ja nur, wenn BuilIn Admin-Rights notwendig sind. Das Verhalten gibt es eigentlich nur, wenn der Admin bzw. die Gruppe in der er steckt eigentlich keine Berechtigung hat, man diese aber mittels dem BuiltIn Admin erzwingen will. Zumindest war das sicher bis 2012R2 noch so. Ich würde mal eine eigene File-Zugriff-Gruppe erstellen und die Admin-Gruppen wie Domain-Admins da reinpacken oder die ADM-User selbst. Dann dieser Gruppe File-Zugriff geben. Wens dann immer noch nicht geht, muss irgendwo was falsch an Berechtigungen vergeben worden sein (Freigabe oder NTFS). Allerdings ist das Verhalten von Freigaben unter 2019 wohl etwas anders geworden. Gibt wohl allerlei SideEffects mit Admin-Accounts wenn ma sich so durchs Internet liest. Ob das Verhalten gewollt oder Bugs sind die mittlerweile gepatched sind, kann ich nicht sagen. Bin jeweils immer noch auf 2012R2 (weil mich Cortana und Telemetrie-Krempel auf Servern mit Desktop Experience nervt - Mehr Zeugs drinn als in einem W10 LTSC) bearbeitet 11. Juli 2019 von Weingeist Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.