warbird001 10 Geschrieben 31. Oktober 2023 Melden Geschrieben 31. Oktober 2023 Guten Tag, ich habe hier das Problem das ein Benutzer(a)auf DatenVerzeichnisse zugreifen kann auf die er eigentlich keinen Zugriff haben sollte. Die Rechtevererbung auf diese DatenVerzeichnisse wurde bei Erstellung deaktiviert und die Zugriffsrechte manuell neu gesetzt. Auf das Verzeichniss haben Zugriff: "dateiadmins" "Administratoren" "system" "derbenutzer-dem-die-dateien-gehoeren" Der Benutzer(a) der auf das Verzeichniss Zugriff hat ist nicht "der-benutzer-dem-die-dateien-gehoeren" und er ist NICHT Mitglied in den Gruppen "dateiadmins" und "Administratoren". Trotzdem hatt er in den Verzeichnissen Read/Write Zugriff. Wenn ich den beiden Gruppen - "Administratoren" und "dateiadmins" - die Zugriffsrechte fuer das Verzeichniss wegnehme dann hat auch der Benutzer(a) keinen Zugang/Zugriff mehr zu den Verzeichnissen. Der Benutzer ist aber KEIN Mitglied in den beiden Gruppen. Wenn man eine Kopie des Nutzers ueber "Active Directory Benutzer und Computer" erstellt, so hat der neue erstellte Benutzer keinen Zugriff. An der Gruppenzugehoerigkeit scheint es also nicht zu liegen, die sind Identisch. OS ist Windows Server 2016 Es scheint nur dieser eine (File)Server betroffen zu sein. Auf anderen Servern scheint Benutzer(a) keine auffaelligen Rechte zu haben. In den AD GPOs und der Lokalen GPO habe ich nicht auffaelliges finden können, weiss aber auch nicht so genau wo ich da genau hinsehen muesste. Wenn ich mir auf unserem DC in einer Powershell Get-ADGroupMember Administratoren -recursiv ansehe ist der Benutzer(a) nirgendwo zu sehen. Hat jemand ne Idee wo ich noch suchen kann? Zitieren
Sunny61 816 Geschrieben 31. Oktober 2023 Melden Geschrieben 31. Oktober 2023 Als der betroffene User in einer cmd ein whoami /groups aufrufen, was wird ausgegeben? Zitieren
warbird001 10 Geschrieben 31. Oktober 2023 Autor Melden Geschrieben 31. Oktober 2023 vor 1 Stunde schrieb Sunny61: Als der betroffene User in einer cmd ein whoami /groups aufrufen, was wird ausgegeben? "Administratoren" und "dateiadmins" ist bei "whoami /groups" nicht zu sehen. Abgesehen von den Gruppen die in "Active Directory Benutzer und Computer" auch zu sehen sind, tauchen da noch ein paar Gruppen auf die ich nicht ganz genau zuordnen kann. Sowas wie: NT-AUTORITÄT\INTERAKTIV NT-AUTORITÄT\Authentifizierte Benutzer NT-AUTORITÄT\Diese Organisation LOKAL Bei diesen Gruppen steht als Typ: "Bekannte Gruppe" Wenn ich das mit meiner eigenen (non Admin) Benutzeranmeldung vergleiche.... die tauchen auch bei meiner Anmeldung auf. Zitieren
XP-Fan 224 Geschrieben 31. Oktober 2023 Melden Geschrieben 31. Oktober 2023 Hallo, definiere mal bitte genauer was du unter Zugriff verstehst. User sieht Dateien und Ordner, kann aber nicht öffnen / bearbeiten. User kann Dateien öffnen und bearbeiten. Zitieren
warbird001 10 Geschrieben 31. Oktober 2023 Autor Melden Geschrieben 31. Oktober 2023 vor 9 Minuten schrieb XP-Fan: Hallo, definiere mal bitte genauer was du unter Zugriff verstehst. User sieht Dateien und Ordner, kann aber nicht öffnen / bearbeiten. User kann Dateien öffnen und bearbeiten. Der User sieht die Dateien, kann die Dateien Öffnen , bearbeiten und auch Löschen Zitieren
XP-Fan 224 Geschrieben 31. Oktober 2023 Melden Geschrieben 31. Oktober 2023 Ist der User auf den Server in der lokalen Admin Grp drin? Ist er als Domänen Admin unterwegs? Zitieren
warbird001 10 Geschrieben 31. Oktober 2023 Autor Melden Geschrieben 31. Oktober 2023 vor 45 Minuten schrieb XP-Fan: Ist der User auf den Server in der lokalen Admin Grp drin? Ist er als Domänen Admin unterwegs? In der lokalen "Administratoren" Gruppe des Servers ist der Nutzer nicht. In der "Domänen Admin" Gruppe des AD auch nicht. Zitieren
NorbertFe 2.155 Geschrieben 31. Oktober 2023 Melden Geschrieben 31. Oktober 2023 Sind die Daten evtl. Dahinein verschoben worden? Wär nicht das erste mal, dass man dann in Verzeichnissen auf einmal andere Berechtigungen im Inhalt hat. ;) Zitieren
NilsK 2.978 Geschrieben 1. November 2023 Melden Geschrieben 1. November 2023 Moin, hat sich der Benutzer vor dem Zugriff neu angemeldet? Wenn er "nicht mehr" Mitglied einer berechtigten Gruppe ist, aber sich seit dem Entfernen aus der Gruppe nicht neu angemeldet hat, dann ist er aus Sicht des Systems immer noch Mitglied. Gruß, Nils 1 Zitieren
warbird001 10 Geschrieben 2. November 2023 Autor Melden Geschrieben 2. November 2023 Hallo Alle, vielen Dank fuer eure Hilfe. Im laufe der Suche ist mir aufgefallen das ich am Anfang etwas uebersehen habe - DFS. Der Laufwerke sind in einem DFS eingebunden und werden ueber GPO an die Benutzer verteilt. Greift der Benutzer(a) direkt auf den Server zu z.b indem er \\dateiserver\verzeichniss1 im Explorer eingibt dann stimmt alles, die Zugriffsrechte gelten dann wie erwartet. Greift Benutzer(a) aber ueber den DFS Pfad \\domain.intern\freigabe auf das gleich Verzeichniss zu dann hat er deutlich mehr Rechte als gewuenscht. Dabei macht es keinen Unterschied ob der Zugriff ueber per GPO gemountetem Laufwerk oder direkt ueber den Explorer erfolgt. Zitieren
NilsK 2.978 Geschrieben 2. November 2023 Melden Geschrieben 2. November 2023 Moin, Dann muss der DFS-Link auf eine andere Freigabe zeigen. Gruß, Nils Zitieren
cj_berlin 1.394 Geschrieben 3. November 2023 Melden Geschrieben 3. November 2023 Das kannst Du auch am Client sehen Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.