warbird001

Hallo Alle, vielen Dank fuer eure Hilfe. Im laufe der Suche ist mir aufgefallen das ich am Anfang etwas uebersehen habe - DFS. Der Laufwerke sind in einem DFS eingebunden und werden ueber GPO an die Benutzer verteilt. Greift der Benutzer(a) direkt auf den Server zu z.b indem er \\dateiserver\verzeichniss1 im Explorer eingibt dann stimmt alles, die Zugriffsrechte gelten dann wie erwartet. Greift Benutzer(a) aber ueber den DFS Pfad \\domain.intern\freigabe auf das gleich Verzeichniss zu dann hat er deutlich mehr Rechte als gewuenscht. Dabei macht es keinen Unterschied ob der Zugriff ueber per GPO gemountetem Laufwerk oder direkt ueber den Explorer erfolgt.

In der lokalen "Administratoren" Gruppe des Servers ist der Nutzer nicht. In der "Domänen Admin" Gruppe des AD auch nicht.

Der User sieht die Dateien, kann die Dateien Öffnen , bearbeiten und auch Löschen

"Administratoren" und "dateiadmins" ist bei "whoami /groups" nicht zu sehen. Abgesehen von den Gruppen die in "Active Directory Benutzer und Computer" auch zu sehen sind, tauchen da noch ein paar Gruppen auf die ich nicht ganz genau zuordnen kann. Sowas wie: NT-AUTORITÄT\INTERAKTIV NT-AUTORITÄT\Authentifizierte Benutzer NT-AUTORITÄT\Diese Organisation LOKAL Bei diesen Gruppen steht als Typ: "Bekannte Gruppe" Wenn ich das mit meiner eigenen (non Admin) Benutzeranmeldung vergleiche.... die tauchen auch bei meiner Anmeldung auf.

Guten Tag, ich habe hier das Problem das ein Benutzer(a)auf DatenVerzeichnisse zugreifen kann auf die er eigentlich keinen Zugriff haben sollte. Die Rechtevererbung auf diese DatenVerzeichnisse wurde bei Erstellung deaktiviert und die Zugriffsrechte manuell neu gesetzt. Auf das Verzeichniss haben Zugriff: "dateiadmins" "Administratoren" "system" "derbenutzer-dem-die-dateien-gehoeren" Der Benutzer(a) der auf das Verzeichniss Zugriff hat ist nicht "der-benutzer-dem-die-dateien-gehoeren" und er ist NICHT Mitglied in den Gruppen "dateiadmins" und "Administratoren". Trotzdem hatt er in den Verzeichnissen Read/Write Zugriff. Wenn ich den beiden Gruppen - "Administratoren" und "dateiadmins" - die Zugriffsrechte fuer das Verzeichniss wegnehme dann hat auch der Benutzer(a) keinen Zugang/Zugriff mehr zu den Verzeichnissen. Der Benutzer ist aber KEIN Mitglied in den beiden Gruppen. Wenn man eine Kopie des Nutzers ueber "Active Directory Benutzer und Computer" erstellt, so hat der neue erstellte Benutzer keinen Zugriff. An der Gruppenzugehoerigkeit scheint es also nicht zu liegen, die sind Identisch. OS ist Windows Server 2016 Es scheint nur dieser eine (File)Server betroffen zu sein. Auf anderen Servern scheint Benutzer(a) keine auffaelligen Rechte zu haben. In den AD GPOs und der Lokalen GPO habe ich nicht auffaelliges finden können, weiss aber auch nicht so genau wo ich da genau hinsehen muesste. Wenn ich mir auf unserem DC in einer Powershell Get-ADGroupMember Administratoren -recursiv ansehe ist der Benutzer(a) nirgendwo zu sehen. Hat jemand ne Idee wo ich noch suchen kann?

Der DC nacht zusaetzlich noch DHCP. Der DC wurde nach dem Crash nur eingeschaltet. Bisher wurde kein Backup/Image irgendeiner Art zurueckgeschrieben.

Hallo Alle Bei einem Hardware Ausfalls an unserem ersten DC (server1) sind die beiden DCs unserer alt umgebung aus dem Tritt gekommen. Es handelt sich um zwei w2k3 DCs auf denen eine w2k3 Domaene Laeuft. In der Domaene melden sich keine normalen Anwender mehr an sie muss aber wegen einer sehr speziellen Software bis auf weiteres weiterlaufen. Auf dem ersten DC(server1) der alle AD Rollen innehat taucht seit dem vorfall die gleiche Fehlermeldung (Ereignisskennung: 13508) auf wie auf dem Server7. Ansonsten ist auf server1 nichts weiter zu sehen. Auf den anderen server(server7, server4) taucht unter anderem noch Ereignisskennung: 4 KRB_AP_ERR_MODIEFIED auf. Mir sind fuer so eine Situation 2 Moeglichkeiten Bekannt: 1. Den server1 non-Authoritiv aus einem Backup wiederherstellen, -> server1 vom Netz trennen, mittels ntbackup non-authoritiv wieder einspielen, neu starten, netzwerk anschliessen und hoffen das die zwei sich wieder syncronisieren. Ich bin mir aber unsicher ob das beim Inhaber aller AD Rollen so einfach machbar ist. 2. Den Server1 komplett entfernen und server7 mittels ntdsutil (SEIZE) zum Inhaber aller Rollen zu machen. Ist das so richtig oder gibt es bei Ereignisskennung 4 - KRB_AP_ERR_MODIFIED noch einen anderen Loesungsweg? Die Kompletten Ferhlermeldungen habe ich unten angehaengt. Danke. ciao Stefan:wq Der zweite DC (server7) bringt seit dem Vorfall folgende Meldungen im Ereignissprotokoll: Bereich Verzeichnissdienst: --- Ereignistyp: Warnung Ereignisquelle: NtFrs Ereigniskategorie: Keine Ereigniskennung: 13508 Datum: 26.03.2017 Zeit: 16:27:12 Benutzer: Nicht zutreffend Computer: SERVER7 Beschreibung: Der Dateireplikationsdienst konnte die Replikation von SERVER1 nach SERVER7 für c:\windows\sysvol\domain mit DNS-Namen server1.ausbildung.XXX.de nicht aktivieren. Es wird ein neuer Versuch gestartet. Mögliche Ursachen für diese Warnung sind: [1] Der DNS-Name server1.ausbildung.xxx.de von diesem Computer konnte nicht ausgewertet werden. [2] Der Dateireplikationsdienst wird auf server1.ausbildung.xxx.de nicht ausgeführt. [3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert. Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Daten: 0000: 21 07 00 00 !... Bereich System: Ereignistyp: Fehler Ereignisquelle: Kerberos Ereigniskategorie: Keine Ereigniskennung: 4 Datum: 27.03.2017 Zeit: 10:24:36 Benutzer: Nicht zutreffend Computer: SERVER7 Beschreibung: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/server1.ausbildung.xxx.de" empfangen. Der verwendete Zielname war . Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (AUSBILDUNG.XXX.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. --- Auf den 2 Mitgliesservern der Domaene tauchen folgende Fehlermeldungen immer wieder auf: Im Bereich System: --- Ereignistyp: Fehler Ereignisquelle: Kerberos Ereigniskategorie: Keine Ereigniskennung: 4 Datum: 27.03.2017 Zeit: 12:13:57 Benutzer: Nicht zutreffend Computer: SERVER4 Beschreibung: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/server1.ausbildung.xxx.de" empfangen. Der verwendete Zielname war DNS/server1.ausbildung.xxx.de. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (AUSBILDUNG.XXX.DE) und dem Clientbereich. Wenden Sie sich an den Systemadministrator. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Im Bereich Anwendung: Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1030 Datum: 27.03.2017 Zeit: 11:41:33 Benutzer: AUSBILDUNG\adm Computer: SERVER4 Beschreibung: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1058 Datum: 27.03.2017 Zeit: 04:40:01 Benutzer: AUSBILDUNG\Administrator Computer: SERVER4 Beschreibung: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={2DB7F410-FBBF-4A0F-91F8-E4358F91C537},CN=Policies,CN=System,DC=ausbildung,DC=xxx,DC=de kann nicht zugegriffen werden. Die Datei muss im Pfad <\\ausbildung.xxx.de\SysVol\ausbildung.xxx.de\Policies\{2DB7F410-FBBF-4A0F-91F8-E4358F91C537}\gpt.ini> vorhanden sein. (Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. ---

Hallo Alle Wenn ich einen Windows 2012R2 Server als DC in eine Domaene Einbinden will in der bisher nur 2008R2 DCs vorhanden sind und die im 2008R2 Modus betrieben wird, will der 2012R2 eine Schemaerweiterung durchfuehren? Ist es nach diese Schemaerweiterung noch moeglich neue 2008R2 DCs einzubinden, oder bin ich ab da auf 2012R2 und neuer festgelegt? ciao Stefan:wq

Hallo Alle, Ausser dem Klassiker \ hatte ich auch einige andere escapings bzw encodings fuer das Leerzeichen ausprobiert, U+0020 20 32 %20 #32 \32 als das Problem auftrat hat keins davon geholfen. Merkwuerdigerweise funktioniert die Anbindung jetzt. Der Inhalt von AUTHLDAPURL - ldap://****** - muss in doppelte Anfuehruengszeichen(") gesetzt werden, dann geht sowohl das Leerzeichen als auch deutsche Sonderzeichen im OU Namen. (hier wars ein Ü) Ich kann leider nicht mehr nachvollziehen was eigentlich das Problem war. Danke ciao Stefan:wq

Hallo Alle Gibt es im AD eine Moeglichkeit eine OU mit einem zweiten Namen anzusprechen? (So eine Art symbolic Link) Es geht darum einem Apachen Zugriff per LDAP zu ermoeglichen. Die OU um die es geht enthaelt Leerzeichen, der Name der OU darf aber nicht geaendert werden. (Ordre de mufti) Der LDAP Zugriff funktioniert grundsaetzlich. Nur nicht wenn es um OUs geht die Leerzeichen enthalten. ciao Stefan:wq

Hallo Alle Ich habe hier immer wieder das Problem das Devices (z.b Rechner oder IP Drucker) aus anderen IP Netzen nicht ereichbar sind obwohl sie es sein sollten. Das Problem tritt nur auf wenn der Zugriff aus einem anderen Netz erfolgt sind die Devices im gleichen Netz ist alles in Ordnung. Erst wenn ich von der IP des betroffenen Devices einen Ping auf das Gateway mache ist die Verbindung auf einmal da. Das Gateway ist unser Core Switch ein HP J8698A 5412zl. Bei den Rechnern ist Pingen vom Rechner zum Gateway kein Problem, bei den Druckern schon. Im Moment regele ich das indem ich den Drucker ausschalte und die IP des Druckers kurzfristig einem anderen Rechner zuordne. Hat jemand eine Idee was das Problem ist? In den Logs des Switches ist nichts zu sehen. Ich weiss im Moment nicht wo ich weiter suchen soll. Danke ciao Stefan:wq

Er ist im Fruehjahr auf einem MS-Lizensseminar (2 Tage) gewesen und meinte das das da erwaehnt worden waere. ciao Stefan:wq

Hallo Alle Hier steht die Installation einer Zertifizierungsstelle auf einem w2k8r2 an, um eigene Zertifikate erstellen zu koennen. Verwendet werden sollen diese Zertifikate im internen Netz, einem von aussen fuer Mitarbeiter zugaenglichen exchange/owa und einigen unserer Server auf die via Internet zugegriffen wird. Nun meint ein Kollege das man bei der Verwendung von mittels Microsoft Software selbsterstellten Zertifikaten extra Lizensen kaufen muesse. Ich hoere das zum ersten mal. Ist da was dran? ciao Stefan:wq

Anwendungen bzw Hilfsmittel die sich nur im Nutzerkontext anpassen lassen haben wir einige. Insbesondere Fehlersuche ist hier in 90% aller faelle gar nicht anders Moeglich als mit der Anmeldung des Benutzers. In unserem "alten" Netz war es noch so das die Passwoerter der Nutzer noch bekannt waren. Dadurch brauchte der Benutzer nicht umbedingt vor Ort zu sein wenn wir uns um ein Problem gekuemmert haben. Das mit den Passwoertern soll sich eigentlich aendern. Wenn dadurch aber Fehlersuche nur mit Termin vor Ort moeglich ist, nunja ich lass mich ueberaschen wohin das Fuehrt. Das muss dann die Chefetage entscheiden. Vielen Dank fuer eure Hilfe. ciao

Hallo Alle Ein Administrator muss Einstellungen in einem Benutzeraccount vornehmen dafuer setzt er das Kennwort des Nutzers zurueck. Wenn der Benutzer versucht sich wieder anzumeden bekommt er erstmal nur eine Meldung mit der Aufforderung sich beim Service zu melden damit diese ihm sein neues Passwort mitteilen. Es ist eine Windows 2008 R2 Domaene (Sowohl Server als auch Modus) Ist sowas ueber GPO einstellbar? ciao