Jump to content

Server 2016: ntfs-Rechte nur remote / Server 2008 normal


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich habe einen Server A mit Server 2008 und einen Server B mit Server 2016

 

Auf beiden Servern erstelle ich einen "Testordner" mit folgenden Rechten (Vererbung unterbrochen):

System: Vollzugriff + lokale (!) Administratoren: Vollzugriff

Benutzer "testroot" ist Mitglied der lokalen Administratoren

 

Auf beiden Servern erstelle ich eine Freigabe mit "Vollzugriff - Jeder".

 

Server 2008:

 

Alles funktioniert lehrbuchmäßig, "testroot" hat Vollzugriff auf den Testordner, sowohl per Freigabe als auch lokal (per RDP)

 

Server 2016: 

 

Bei Zugriff über Freigabe ist alles wie es sein soll.

 

Bei lokalem Zugriff (via RDP) wird dem Nutzer "testroot" der Zugriff verweigert ("Sie verfügen momentan nicht über die Berechtigung...") - allerdings kann er sich den Zugriff verschaffen.

 

Bin ziemlich ratlos...

Link zu diesem Kommentar

UAC ist komplett deaktiviert...

 

und ja: Füge ich ihn direkt hinzu, hat er die erwarteten Rechte.

 

Es liegt also definitiv an der Rechtezuweisung via "lokale Administratoren" - aber genau das erwartet Microsoft:

 

lokale Ressourcen mit lokalen Gruppen verwalten.

Benutzer in Gruppen aufnehmen und die Gruppen dann in die lokalen Gruppen aufnehmen.

 

Und zumindest bis Server 2008 ging das auch problemlos...

bearbeitet von griscia
Link zu diesem Kommentar

wenn Ihr auf UAC tippt, man dies aber nicht deaktivieren kann, was ist dann die Schlussfolgerung?

 

Ich habe nochmal weiter getestet (diesmal zur Sicherheit immer dazwischen abgemeldet - mal hat dies Auswirkungen, mal nicht):

 

Gebe ich den lokalen Administratoren Vollzugriff (und mein Testaccount ist Mitglied der Administratoren, funktioniert es nicht.

 

Gebe ich einer anderen Gruppe Vollzugriff (und mein Testaccount ist Mitglied davon), funktioniert es.

 

Das heißt: das Problematische (oder der Ausreißer) ist die lokale Administratorengruppe.

 

Hat hier Microsoft etwas geändert?

 

Danke schon jetzt für Eure Mühe!

bearbeitet von griscia
Link zu diesem Kommentar

Um die UAC wirklich komplett zu deaktivieren, mach ich immer folgendes:

 

1. Systemsteuerung > Benutzenkontensteuerung > Schieberegler ganz nach unten

2. gpedit.msc > Computer Konfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen

Und hier alphabetisch sortieren und die obersten beiden Punkte:

- "Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte Administratorkonto"

- "Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen"

deaktivieren

3. Reboot

 

Um zu prüfen, ob die UAC wirklich deaktiviert ist:

Taste [Windows] + [R] > cmd

"whoami /groups"

 

Wenn hier in der letzten Zeile in der Spalte SID die SID mit 12288 endet, ist UAC deaktiviert.

Endet sie mit einer vierstelligen Zahl, beginnend mit 8 (den Rest weiß ich jetzt Grad nicht), ist UAC aktiv.

 

Gruß

Martin

bearbeitet von AlbertMinrich
Link zu diesem Kommentar

Moin,

 

Microsoft hat nichts geändert, das ist normales UAC-Verhalten. Statt die UAC abzuschalten, sollte man lieber richtig damit umgehen. Genau wie man eine Firewall auch nicht abschaltet, sondern konfiguriert.

 

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

[benutzerkontensteuerung (UAC) richtig einsetzen | faq-o-matic.net]
https://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

an Logik und Verhalten der UAC hat sich nichts geändert. Nur an der Abschaltbarkeit.

 

<erhobener Zeigefinger>

Und damit haben wir wieder den klassischen Fall: Wer UAC bislang routinemäßig abgeschaltet hat, kommt damit nicht klar. Wer stattdessen damit umgegangen ist, sieht kein Problem. Genauso wie wir es von Betriebssystem-Firewalls kennen: Die stellen auch nur dann ein Problem dar, wenn man sie abschaltet.

</erhobener Zeigefinger>

 

Gruß, Nils

Link zu diesem Kommentar
  • 4 Wochen später...

Vielen Dank an alle, die sich um die Lösung bemüht haben.

 

<zerknirscht> Leider hab ich genau das gemacht: die nervige UAC abgeschaltet</zerknirscht aus>

 

Finde ich auch bei Linux besser gelöst.

 

Admin-Passwort erfragen - korrekte Rechte einräumen.

 

Aber egal. Die 2 Links waren goldrichtig und ich werde genau das nun machen: Eine eigene Gruppe einrichten.

 

Ist nur umständlich: Bei der Aufnahme in die Domäne wird man ja gefragt, ob man die Domänen-Admins in die lokalen Administratoren aufnehmen will - und denkt, bei "Ja" hätte man alles Nötige gemacht... Und dann kann ich als solcher Domänenadmin nicht einmal einen Ordner anschauen :-(

 

Unklar bleibt weiterhin, wieso es dann remote wie gedacht funktioniert (alle haben Vollzugriff, das Nähere regeln - diesmal korrekt - die ntfs-Rechte...)

 

Und etwas Weiteres ist nicht durchdacht: Für einen normalen PC ist dies Konzept sehr sinnvoll (niemand arbeitet bei uns normalerweise als Administrator bzw. mit dessen Rechten).

 

An einem Server jedoch hat niemand etwas auf der Oberfläche (egal ob lokal oder per RDP angemeldet) zu suchen. Und wer sich dort interaktiv anmeldet, hat ausschließlich administrative Aufgaben zu erledigen, die tatsächliche Administratorrechte erfordern. Insofern ist UAC auf einem Server kontraproduktiv...

bearbeitet von griscia
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...