Antiprofi 10 Geschrieben 30. Juni 2005 Melden Teilen Geschrieben 30. Juni 2005 Hallo, wir haben ein kleines Rechte Problem auf unserem DC. Da auf dem Domaincontroller (wir sind ne kleine Firma) noch der Fileserver, Mailserver, DNS, DHCP und viele weitere Sachen laufen, haben wir nun ein kleines Problem mit unseren rechten. Wir haben einen DomainAdmin-Account der auf dem Server läuft, und unter diesem Account den Filer eingerichtet, samt Verzeichnisse mit Freigaben. Jetzt haben wir das Problem wir kommen nicht mehr in den grössten Teil der Verzeichnisse rein. Zugriff verweigert. Ich hab gesehen, das unser Account aus der Gruppe der DomainAdmins draussen ist und nur noch ITAdmin, DEAdmin usw. ist. Wie kann ich dennoch auf die Verzeichnisse zugreifen, ohne das eine Hochstufung erfolgen muss? Danke schon mal im Voraus. Gruss Zitieren Link zu diesem Kommentar
macabros 10 Geschrieben 30. Juni 2005 Melden Teilen Geschrieben 30. Juni 2005 Hi, hast du dich schonmal mit Rechtevergaben befasst? Ich frag mich was die DomainAdmin Gruppe damit zu tun hat?! Wenn du User Zugriff auf bestimmte Freigaben geben willst dann erstell eine neue Gruppe z.B. Vertrieb. Gib Vertrieb nun in den Betreffenden Ordner -> Reiter Sicherheitseinstellungen "ändern" Rechte -> klick auf erweitert setz hacken in "... für alle unterordner übernehmen..." Bitte nehme keine User in dei DomainAdmin Gruppe auf greez MacabroS Zitieren Link zu diesem Kommentar
mapulativ 10 Geschrieben 30. Juni 2005 Melden Teilen Geschrieben 30. Juni 2005 Hi, so ganz verstehe ich das Problem noch nicht. Kannst Du als Admin oder überhaupt niemand mehr zugreifen. Du kannst doch den DomainAdmin wieder zum Mitglied dieser Gruppe machen?! Und ich muß macabros Recht geben. Die Mitgliedschaft in der Gruppe der DomainAdmins sollte recht restriktiv behandelt werden. Dann können solche Probleme nämlich nicht so ohne weiteres entstehen, denn irgend jemand muß den Account ja aus der Gruppe entfernt haben! Gruß, Mapulativ Zitieren Link zu diesem Kommentar
Antiprofi 10 Geschrieben 30. Juni 2005 Autor Melden Teilen Geschrieben 30. Juni 2005 Oh ich glaube ich hab mein Problem nicht genau erklärt. Ich wurde vor ein Problem gestellt, ... Auf dem Server gibt es ein Unterverzeichnis mit dem Namen xyz, da runter hat jeder Mitarbeiter einen eigenen Ordner den nur er einsehen kann. Unter Sicherheitseinstellung war nur der Mitarbeitername sowie der DomainAdmin Name vertreten. So ist es nun auch. Der Mitarbeiter hat weiterhin einblick in seinen privaten Ordner doch ich komme nicht mehr rein! Ich nehm natürlich keinen User in eine Gruppe auf. Ich war mit meinem AdminAccount in der DomainAdmin Gruppe in der bin ich nicht mehr, und seit dem komme ich nicht mehr auf die privaten Ordner. Was aber vorher funktionierte. Ich möchte wieder Zugriff haben. Egal was ich mache ich bekomme Zugriff verweigert. Seit dem mein AdminAccount aus der Gruppe DomainAdmins geflogen ist. Bei uns hat kein User Admin Rechte. Ich denke, wenn mein AdminAccount wieder hoch gestuft wird, dann hab ich auch wieder Zugriff. Zitieren Link zu diesem Kommentar
mapulativ 10 Geschrieben 30. Juni 2005 Melden Teilen Geschrieben 30. Juni 2005 Also ich muß das mal sortieren: Ein privater Ordner auf den der jeweilige Mitarbeiter und der Account! (nicht die Gruppe, wie Du schreibst) DomainAdmin Zugriff hat. Wenn sonst keine Berechtigungen gesetzt waren, heißt das, dass Du mit diesem Account zugegriffen hast. Das hat doch erstmal nichts mit der Gruppe der DomainAdmins zu tun. Oder haust Du da was durcheinander. Ich könnte mir eher vorstellen, dass Dein Admin-Account Mitglied der Gruppe! DomainAdmins war, die Zugriff auf das entsprechende Verzeichnis hatte. Wenn Du da rausgeflogen bist, ist es richtig, dass Du da nicht mehr zugreifen kannst. Allerdings wirft das 2 Fragen auf? 1. Wieso bist du raus? und 2. Warum machst Du Dich nicht wieder zum Mitglied? Gruß, Mapulativ Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 30. Juni 2005 Melden Teilen Geschrieben 30. Juni 2005 Ganz grundsätzlich: Private Ordner sind private Ordner, und darauf sollte ein Admin nicht einfach so zugreifen dürfen (Datenschutz, Privatsphäre). In sauber konfigurierten Umgebungen ist das von Dir geschilderte Problem kein Problem, sondern gewollte Zugriffspolitik. In Notfällen (Mitarbeiter mit der Kasse verschwunden, Mitarbeiter hat Passwort vergessen etc.) gibt es für Admins die Möglichkeit, den Besitz über den/die betreffenden Ordner zu übernehmen, um die Daten zu retten. Anschliessend kann der Besitz wieder den betroffenen Angestellten zugewiesen und der Zugriff des Admins eingeschränkt werden. Zitieren Link zu diesem Kommentar
mapulativ 10 Geschrieben 30. Juni 2005 Melden Teilen Geschrieben 30. Juni 2005 @dmetzger: Klaro, grundsätzlich hast Du Recht :-). Die Praxis zeigt aber, dass es oft, sagen wir mal "bequemer" ist, Zugriff auch auf diese Daten zu haben. Dann liegt es unabhängig von Grundsätzen und empfohlenen Vorgehensweisen halt an der Arbeitsauffasung und Einstellung eines Sysadmins wie und ob er mit solchen Daten umgeht. In diesem speziellen Fall muß man halt hinterfragen, was sich hinter einem "privaten" Ordner verbirgt, wie privat diese Daten sind. Gruß, Mapulativ Zitieren Link zu diesem Kommentar
Antiprofi 10 Geschrieben 30. Juni 2005 Autor Melden Teilen Geschrieben 30. Juni 2005 Im Prinzip geht es mir nicht um den Inhalt. Sondern ich muss diese Ordner umziehen auf einen anderen Ordner. Als Beispiel. \ordnername (Zugriff1, Zugriff2) \ma1 (User ma1, AdminAccount) \ma2 (User ma2, AdminAccount) \ma3 ... \ma4 ... \ma5 ... Zitieren Link zu diesem Kommentar
Das Urmel 10 Geschrieben 30. Juni 2005 Melden Teilen Geschrieben 30. Juni 2005 Wenn du nicht in der entsprechenden Gruppe bist, dann kannst du das nicht. Melde dich mit einem Account an, der in der DomAdmin Gruppe ist. Ansonsten wirst du nichts ausrichten können. Zitieren Link zu diesem Kommentar
Antiprofi 10 Geschrieben 30. Juni 2005 Autor Melden Teilen Geschrieben 30. Juni 2005 Wenn du nicht in der entsprechenden Gruppe bist, dann kannst du das nicht.Melde dich mit einem Account an, der in der DomAdmin Gruppe ist. Ansonsten wirst du nichts ausrichten können. Okay danke, das war meine Frage - ob es da noch einen Weg gibt. Gut muss ich über die Chefetage gehen. ;) Danke. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.