Administrator hat plötzlich keine Rechte mehr!

[Superstruppi 13]

Hallo!

 

Wir haben zwei Server: Einen SBS Server + einen Terminalserver. Beides 2003.

 

Melde ich mich am Terminalserver als Administrator der Domäne an, funktioniert erstmal alles, es erscheint keine Fehlermeldung, etc. Beim Zugriff auf spezielle Verzeichnisse jedoch, erhalte ich die Fehlermeldung "Zugriff verweigert".

 

In den Sicherheitseinstellungen ist der Administrator jedoch eingetragen. Nur, wenn dem Ordner Rechte für die Gruppe Domänen-Benutzer erteilt wird, geht der Zugriff. Vom Terminalserver aus kann ich auch nicht mal die Sicherheitseinstellungen einsehen.

 

Und es hat ja auch schon funktioniert. Erst seit ca. 1 Woche haben wir das Problem. Änderungen wurden meines Wissens keine durchgeführt...

 

FRAGE: Wie ist das möglich? Den Eventlogs ist nichts zu entnehmen.

Ich kenn mich nicht mehr aus!

 

 

Hat vielleicht jemand eine Idee?

[IThome 10]

Ist die globale Gruppe der Domänen-Admins noch Mitglied der lokalen Gruppe Administratoren ?

[Superstruppi 13]

ja, ist sie

[IThome 10]

Du schreibst, dass die Berechtigung dem Administrator zugewiesen ist, welchem Administrator ? Was genau steht in den Berechtigungen ?

[Superstruppi 13]

die einträge passen.

 

Domänenadministratoren haben vollrecht, ebenso wie SYSTEM und eine eigene gruppe "Büro". Anwender in dieser gruppe können alles einsehen, nur der Administrator nicht, obwohl der Administrator auch in der Gruppe "Büro" enthalten ist.

 

In den erweiterten Einstellungen sind auch keine Rechte verweigert ersichtlich. Besitzer des Ordners sind die Administratoren.

[IThome 10]

Führe auf der Partition mal CHKDSK /F durch ...

Du meinst auch den Administrator der Domäne und nicht den Administrator des Terminalservers ?

[Superstruppi 13]

ja, ich meine den admin der domäne. dieser ist auch in der gruppe lokaler administratoren am terminalserver enthalten.

 

Edit: Chkdsk hat keine Fehler gefunden auf dem betroffenen LW gefunden.

[XP-Fan 220]

obwohl der Administrator auch in der Gruppe "Büro" enthalten ist.

 

Wie siehts denn aus wenn du den Admin einzeln dazunimmst ?

 

Notfalls Besitzübernahme machen.

[Superstruppi 13]

habe den Administrator zur Liste mit Vollzugriff nochmal separat hinzugefügt. Besitz habe ich auch von "Adminstratoren" auf "Administrator" geändert. Keine Änderung.

 

 

Es scheint so, als wäre am Terminalserver der Aministrator nicht als solcher angemeldet. Ist er aber. Neustarts haben wir auch schon probiert. Alle ohne Erfolg. Beim Zugriff auf zB. Server\c$ erscheint ein Eingabefenster für Benutzername u. Passwort. Nach Eingabe von Administrator u. PW gehts trotzdem nicht. Fehler: Zugriff verweigert.

[XP-Fan 220]

Hallo,

 

hast du an den Freigaben mal die User überprüft ?

Selbiges für die NTFS Berechtigungen.

Sollte ein User deny / nicht eingetragen in einem von Beidem haben gehts nicht.

 

GPO änderungen gemacht ? Policies für TS ?

[IThome 10]

Hast Du Meldungen in der Ereignisanzeige des TS ? Treten die Probleme ausschliesslich beim Benutzer Administrator der Domäne auf oder auch beim lokalen Administrator ? In welchen Gruppen befindet sich dieser Benutzer noch ?

[Superstruppi 13]

Hallo,

 

Sollte ein User deny / nicht eingetragen in einem von Beidem haben gehts nicht.

 

 

Keine Freigaben, alles NTFS-Zugriffe via Netzlaufwerk.

Ich verstehe deinen oberen satz nicht. wie meinst du das?

 

gpo habe ich auch nichts geändert. das wär das nächste, was ich mir anschauen würde. aber wie modelliere ich das am besten - naja, ich check das mal.

[IThome 10]

Keine Freigaben, alles NTFS-Zugriffe via Netzlaufwerk.

und wie greifst Du auf ein Netzlaufwerk zu, nicht über eine Freigabe ? Aber mit dem Domänen-Admin auf den Adminshare des DCs sollte spätestens nach Angabe der entsprechenden Benutzerdaten klappen ...

[XP-Fan 220]

Hallo,

 

sehe ich das richtig das du am TS die Netzlaufwerke verbunden hast und dann da die Rechte per NTFS eingerichtet hast ?

 

 

 

 

Was ich meinte:

Du hast die Möglichkeit bei Freigaben Berechtigungen zu erteilen.

Wenn du hier nicht gerade jeder drinstehen hast ( was du auch nicht solltest ) kannst du hier

mit einem Zugriffsverbot Benutzer aussperren.

Selbiges gilt auch für die NTFS Berechtigungen auf den Verzeichnissen.

Zugriff haben nur User /Gruppen welche auch definiert sind.

[IThome 10]

Und ebenso gilt, dass die am meisten restriktive Berechtigung die effektive Berechtigung ist. Deswegen sollte man auf Freigaben keine restriktiven Berechtigungen vergeben, sondern nur auf NTFS-Ebene. Mit Jeder Vollzugriff auf Freigabe-Ebene (und nur da) musst Du also nur noch im NTFS-Bereich schauen, da diese Berechtigungen nur restriktiver sein können ...