Zum Inhalt wechseln


Foto

kopierten Domänen-Administrator fehlern offenbar Rechte

Windows Server 2012 R2 Windows Server 2003 Active Directory

  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 TN-TB

TN-TB

    Newbie

  • 3 Beiträge

 

Geschrieben 02. September 2016 - 12:16

Ein herzliches Hallo liebes Board!

 

Ich hoffe die Suche korrekt bedient zu haben, fand aber leider nichst zu meinem Thema.

Mir ist vielleicht auch einfach nicht klar wie ich meine Suche formulieren soll. ;-)

 

Folgende Situation stellt sich dar:

 

kleines Firmennetzwerk mit 2 Servern in einem ESXi.

Der alte Server 2k3 Std. läuft noch da eine Anwendung noch nicht auf dem neuen Server 2k12 R2 Std. umgezogen werden kann.

Das AD wurde vom alten auf den neuen migriert, hat auch alles toll geklappt und funktioniert.

 

Nun soll ein zweiter Account als Domänenadministrator hinzugefügt werden und die Probleme fangen an...
Ich habe den Administrator (also der der sowieso da ist) kopiert und als "Obermuckl" benannt.

Kurz geprüft ob auch wirklich als Mitglied der Domänen Admins gelistet - alles ok.

 

Wenn ich mich jedoch nun als "DOMÄNE\Obermuckl" an egal welchem Server von beiden Anmelde, dann kann ich so einiges nicht tun was der Administrator jedoch kann.

Das stellt sich so dar, dass ich zwar im Dateisystem jeden vorhandenen Ordner sehen kann und auch alle nötigen Berechtigungen habe, wenn ich aber Beipielsweise eine Anwendung öffnen möchte kommt ein Promt ich hätte kein Recht.

Aufgefallen ist das auch erst nach einigen Tagen bei bestimmten Anwendungen. (SyncCredible, MDeamon, Mailstore usw...)

 

Kann man entgegen meiner Annahme den Domänen Administrator nicht einfach kopieren?
Gibt es da noch andere Rechte die ich völlig außer acht gelassen habe?
Ist meine Herangehensweise falsch?

Ich weiß im Moment keinen Rat, aber hoffe dass die Erfahrung hier am Board das Geheimnis lüften wird.
 

 

Vielen Dank vorab für Eure Zeit und Unterstützung!

 

 


Edith:
Die Systeme sind auf dem letzten Patchlevel.

Die UAC ist deaktiviert.

AV Software = Trend Micro WFBS Advanced

 



#2 ChrisRa

ChrisRa

    Senior Member

  • 411 Beiträge

 

Geschrieben 02. September 2016 - 12:32

Das erste was du machen solltest ist die UAC wieder aktivieren.

Zu deinem Problem:

Dann ist der Administrator wahrscheinlich bei einigen Berechtigungen fest eingetragen. Also keine Gruppe, sondern eben nur der "Administrator".

 

Hast du das schon mal geprüft?

 

Hast du derartige Probleme nur bei Zusatzsoftware? Oder im System allgemein.


Keep IT simple.  ;)


#3 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 02. September 2016 - 12:36

UAC und der Built-In Admin und der Windows Explorer sind halt so Spezialfälle. ;)

Make something i***-proof and they will build a better i***.


#4 TN-TB

TN-TB

    Newbie

  • 3 Beiträge

 

Geschrieben 02. September 2016 - 12:45

Vielen Dank für das schnelle Feedback.

 

Einzelberechtigungen sind im gesamten System nicht vorhanden - alles wird durch Gruppen geregelt.

 

So wie sich der Fall (bisher) darstellt, beschränkt sich das alles auf 3rd Party Software.

 

Meine Kollegen kennen das Phänomen wohl schon länger und haben Achselzuckend gemeint "Dann geht das wohl nicht.."

Finde ich b***d, schließlich sind ja wir die Admins... :-D

 

Zur sache mit der UAC:

Die sollte ja nur auf dem 2k12 Server wirken. Sync Credible läuft jedoch auf dem 2k3 mit dem Phänomen.
Ich schalte die im nächsten Wartungsfenster trotzdem mal ein und zu sehen ob sich irgenwas ändert.

Was genau ist das Problem mit dem Builtin Admin?
Habe ich was falsch gemacht?

 



#5 zahni

zahni

    Expert Member

  • 16.379 Beiträge

 

Geschrieben 02. September 2016 - 12:54

Ich auch kein Freund davon es zu deaktivieren, gewisse Programme fordern  das  aber  ein  (neulich  z.B. der ePO-Server von Mcafee).

Das Problem bei 2012R2 ist, dass der Schieberegler UAC nicht komplett abschaltet. Dazu muss man zusätzlich noch etwas in die Registry eintragen:

 

https://gallery.tech...le-UAC-45d0df25


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#6 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 02. September 2016 - 13:30

Wenn du den Prompt bestätigst, kannst du dann die Anwendung öffnen?

Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#7 TN-TB

TN-TB

    Newbie

  • 3 Beiträge

 

Geschrieben 02. September 2016 - 14:51

Wenn du den Prompt bestätigst, kannst du dann die Anwendung öffnen?

 

Ich habe mich falsch ausgedrückt:
Ich erhalte keinen Prompt der mich irgendwie interagieren lässt. Nur eine Meldung, dass der Zugriff verweigert wird.
(Checkbox mit rotem "x")


Ich auch kein Freund davon es zu deaktivieren, gewisse Programme fordern  das  aber  ein  (neulich  z.B. der ePO-Server von Mcafee).

Das Problem bei 2012R2 ist, dass der Schieberegler UAC nicht komplett abschaltet. Dazu muss man zusätzlich noch etwas in die Registry eintragen:

 

https://gallery.tech...le-UAC-45d0df25

 

Diesem Hinweis werde ich in jedem fall folgen. Danke!

Habe ich richtig verstanden, dass es besser ist die UAC aktiv zu lassen weil es sonst Probleme mit dem Explorer gibt?
(oder eben alternativ etwas wie den Total Commander verwenden)



#8 ChrisRa

ChrisRa

    Senior Member

  • 411 Beiträge

 

Geschrieben 02. September 2016 - 17:28

Ich würde dann mal den Hersteller der Software kontaktieren und fragen, auf welche Verzeichnisse, DBs o.ä die Software Zugriff benötigt. Anschließend das Berechtigungskonzept überarbeiten und den RID500 überall entfernen, wo er nicht hin gehört.

Keep IT simple.  ;)


#9 GuentherH

GuentherH

    Super Moderator

  • 19.428 Beiträge

 

Geschrieben 02. September 2016 - 17:35

Hier hatten wir schon einmal das Thema und von Nils sehr gut erklärt  - https://www.mcseboar...r2-ursache-uac/

 

LG Günther



#10 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 03. September 2016 - 02:26

Ich habe mich falsch ausgedrückt:
Ich erhalte keinen Prompt der mich irgendwie interagieren lässt. Nur eine Meldung, dass der Zugriff verweigert wird.
(Checkbox mit rotem "x")

Dann hat dein "Problem" aber nichts mit der UAC zu tun.

Neben NTFS-ACL Rechten und UAC (= eigentlich das sog. MIC Level) hat Windows 2012 noch einige weitere Security- bzw. Berechtigungssysteme eingebaut, z.B.
- privileges
- userrights
- dynamic access control (DAC)
- share rights

Ich vermute, dass deine Anwendung ein Privilege (z.B. "act as the operating system", "chnage the system time", "backup files" etc.) verlangt, das der kopierte Obermuckl nicht besitzt. Privileges und Userrights werden über die Securityeinstellungen in den Policies gesetzt (Locale GPO oder Domain GPO -> Windows Settings -> Security Settings -> User Rights Assignement). Schau da rein und du wirst einige Einstellungen finden, die nur der ursprüngliche Administrator bzw. die lokalen Administratoren der Maschine haben, aber nicht dein Obermuckl. Den Obermuckl kannst du ergänzen, bzw. den lokalen Administratoren hinzufügen. Welches Privilege genau fehlt, musst du wohl ausprobieren.
Priviliges werden nicht automatisch angepasst, wenn du den AdminAccount kopierst.
Soweit die technische Antwort (hoffentlich).

Securitytechnisch sollte man mit keinem Account arbeiten, der unnötigerweise erhöhte, kritische Privileges besitzt. bzw. für Anwendungen, die nicht genau erklären können, warum sie mit erhöhten Privileges gestartet werden müssen, sollte man eine Alternative suchen.
Aber wen interessiert schon Security, sobald's was kostet? Sei es nur Hirnschmalz.cool.gif

blub

Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#11 zahni

zahni

    Expert Member

  • 16.379 Beiträge

 

Geschrieben 04. September 2016 - 09:30

WIe geschrieben: Bei 2012R2 muss zusätzlich EnableLUA auf "0" gesetzt werden, sonst ist UAC nicht vollständig deaktiviert.  Das merkt man dann, wenn Programme (Installer) meinen, sie hätten keine Adminrechte...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!




Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, Windows Server 2003, Active Directory