lupo45 10 Geschrieben 7. Dezember 2005 Melden Teilen Geschrieben 7. Dezember 2005 Hallo zusammen, ich habe hier eine Konstellation, die doch eigentlich, wenn ich die Konzepte richtig verstanden und im Hinterkopf habe nicht sein dürfte: Domain A und Domain B, beides 2k-Domains, beide getrustet, in Domain B steht ein 2k-Member-Server, der in der ACL einer NTFS-Ressource einen Eintrag einer Local-Domain-Group von Domain A hat!!! :shock: Also, wenn Domain A eine Local-Domain-Group hat sollte die doch in keiner anderen Domain sichtbar bzw. aufzulösen sein (auch dann nicht wenn ich an einer Domain-B-Maschine mit einem Domain-Admin von Domain A angemeldet bin). Ich kann diese Gruppe manuell jedenfalls in keiner anderen NTFS-ACL dieser Maschine eintragen, da ich natürlich nur Global-Domain-Groups von Domain A aufgelöst kriege, und umgekehrt kann ich logischerweise in diese komische ACL auch keine anderen Local-Domain-Groups von Domain A reinpacken... :rolleyes: Wie kann es sein, daß eine Local-Domain-Group nun in einer NTFS-ACL dieser Maschine aus Domain B auftaucht?? :suspect: Das einzige was auffällig an dieser NTFS-Ressource ist, daß ich diese mit Robocopy von dem alten Server, der noch in Domain A stand, inklusive aller NTFS-Rechte rüberkopiert hatte. Kann es also sein, daß Robocopy über irgendeinen API-Call einfach ohne Rücksicht auf die Systematik konsequent alle SID-Einträge rüberschiebt? Daß diese SID aufgelöst wird kann ich mir dann nur so erklären, daß der User mit dem ich mich angemeldet habe ein Domain-Admin aus Domain A ist (aus B nicht, aber dafür lokaler Admin auf dem neuen Server). Und mein User aus Domain B ist dort zwar kein Admin, dafür aber auf der Maschine und in Domain A. Ich könnte mich testweise natürlich mal mit'nem lokalen User da anmelden und schauen, ob er die SID dann noch aufgelöst kriegt... :D Find ich echt merkwürdig...was meinen denn bitte die MCSE'ler und sonstige Spezis hier an Board so dazu? :rolleyes: Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 7. Dezember 2005 Melden Teilen Geschrieben 7. Dezember 2005 :shock: Bist Du Dir sicher, dass das wirklich eine LocalDomainGroup der Trusted domain ist ? Mit welchem Account lief denn der robocopy-Job ? Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 7. Dezember 2005 Autor Melden Teilen Geschrieben 7. Dezember 2005 :shock: Bist Du Dir sicher, dass das wirklich eine LocalDomainGroup der Trusted domain ist ? 110%!!! Ich habe mir das in der MMC Users and Computers nochmal genau angeschaut, auch mit 2 Kollegen zusammen...es ist wirklich eine LocalDomainGroup Mit welchem Account lief denn der robocopy-Job ? Mit einem Domain-Admin-Account der Domain A, der in der lokalen Admin-Gruppe des neuen Server aus Domain B eingetragen ist. Aber wenn du mich so fragst...ich weiss grad net mehr auf welcher Maschine ich den Befehl ausgeführt habe, meine mich aber zu erinnern, daß ich es auch auf dem neuen Server ausgeführt habe. Müsste ich morgen nochmal genau anschauen. Wobei das aber keinen Unterschied machen sollte, denn die Domain-A-LocalGroup konnte ich auch nicht irgendwo anders hinzufügen, wenn ich mit meinem Account von einer Domain-A-Maschine per Freigabe auf diesen Server aus Domain B per Ordner-Eigenschaften/Sicherheit das testweise machen wollte. Hatte um auf Nummer Sicher zu gehen auch mit Copy-Paste gearbeitet: die Gruppe wird nicht gefunden... Ich kapier's einfach nicht... :suspect: Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 8. Dezember 2005 Autor Melden Teilen Geschrieben 8. Dezember 2005 So, ich hab's grad nochmal getestet: Datei erstellt auf Maschine in Domain A, ACL so angepasst, daß eine LocalDomainGroup von Domain A drinne ist. Dann Robocopy mit Parameter /SEC angeschmissen, um die Datei auf den Server von Domain B zu kopieren ==> die LocalDomainGroup von A ist in der ACL vom Server aus Domain B drin!! :shock: Über Dateieigenschaften/Sicherheit lässt sich die nicht hinzugefügen, mit Robocopy gehts. Wenn das mal nicht ein lustiger Bug ist?! :D Zitieren Link zu diesem Kommentar
ati975 10 Geschrieben 8. Dezember 2005 Melden Teilen Geschrieben 8. Dezember 2005 Hallo, das kling ja höchst interessant. Wie sieht es denn mit dem Zugriff aus? Kannst du mit der LocalDomainGroup von A auf die kopierte Datei auf Server B zugreifen? Zitieren Link zu diesem Kommentar
zahni 565 Geschrieben 8. Dezember 2005 Melden Teilen Geschrieben 8. Dezember 2005 Ich vermute, dass Robocopy einfach die SID's kopiert. Alles andere wäre zu aufwendig. Warum das aufgelöst wird ? K.A. -Zahni Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 9. Dezember 2005 Autor Melden Teilen Geschrieben 9. Dezember 2005 Wie sieht es denn mit dem Zugriff aus? Kannst du mit der LocalDomainGroup von A auf die kopierte Datei auf Server B zugreifen? kein Zugriff möglich, trotz auflösbarem ACL-Eintrag mit Leserechte :suspect: Zitieren Link zu diesem Kommentar
ati975 10 Geschrieben 9. Dezember 2005 Melden Teilen Geschrieben 9. Dezember 2005 Dann ist ja wenigstens die Sicherheit gewährleistet. Aber wenn öfters was kopiert wird, könnte die Rechteverwaltung irgendwann unübersichtlich/undurchsichtig werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.