griscia

Vielen Dank an alle, die sich um die Lösung bemüht haben. <zerknirscht> Leider hab ich genau das gemacht: die nervige UAC abgeschaltet</zerknirscht aus> Finde ich auch bei Linux besser gelöst. Admin-Passwort erfragen - korrekte Rechte einräumen. Aber egal. Die 2 Links waren goldrichtig und ich werde genau das nun machen: Eine eigene Gruppe einrichten. Ist nur umständlich: Bei der Aufnahme in die Domäne wird man ja gefragt, ob man die Domänen-Admins in die lokalen Administratoren aufnehmen will - und denkt, bei "Ja" hätte man alles Nötige gemacht... Und dann kann ich als solcher Domänenadmin nicht einmal einen Ordner anschauen :-( Unklar bleibt weiterhin, wieso es dann remote wie gedacht funktioniert (alle haben Vollzugriff, das Nähere regeln - diesmal korrekt - die ntfs-Rechte...) Und etwas Weiteres ist nicht durchdacht: Für einen normalen PC ist dies Konzept sehr sinnvoll (niemand arbeitet bei uns normalerweise als Administrator bzw. mit dessen Rechten). An einem Server jedoch hat niemand etwas auf der Oberfläche (egal ob lokal oder per RDP angemeldet) zu suchen. Und wer sich dort interaktiv anmeldet, hat ausschließlich administrative Aufgaben zu erledigen, die tatsächliche Administratorrechte erfordern. Insofern ist UAC auf einem Server kontraproduktiv...

wenn ich aber bei absolut identischen Einstellungen bei Server 2008 ein anderes Ergebnis bekomme als bei Server 2016, liegt zumindest die Vermutung nahe, dass sich etwas geändert hat, oder?

wenn Ihr auf UAC tippt, man dies aber nicht deaktivieren kann, was ist dann die Schlussfolgerung? Ich habe nochmal weiter getestet (diesmal zur Sicherheit immer dazwischen abgemeldet - mal hat dies Auswirkungen, mal nicht): Gebe ich den lokalen Administratoren Vollzugriff (und mein Testaccount ist Mitglied der Administratoren, funktioniert es nicht. Gebe ich einer anderen Gruppe Vollzugriff (und mein Testaccount ist Mitglied davon), funktioniert es. Das heißt: das Problematische (oder der Ausreißer) ist die lokale Administratorengruppe. Hat hier Microsoft etwas geändert? Danke schon jetzt für Eure Mühe!

Entfernen aus allen anderen Gruppen bringt auch nichts.

ich habe gerade eine neue lokale Gruppe erstellt. Dieser Gruppe Vollzugriff gegeben. den Testnutzer dort aufgenommen: Immer noch kein Zugriff erlaubt. D.h. jede Rechtezuweisung via lokale Gruppe funktioniert nicht (mehr)

UAC ist komplett deaktiviert... und ja: Füge ich ihn direkt hinzu, hat er die erwarteten Rechte. Es liegt also definitiv an der Rechtezuweisung via "lokale Administratoren" - aber genau das erwartet Microsoft: lokale Ressourcen mit lokalen Gruppen verwalten. Benutzer in Gruppen aufnehmen und die Gruppen dann in die lokalen Gruppen aufnehmen. Und zumindest bis Server 2008 ging das auch problemlos...

Ich habe einen Server A mit Server 2008 und einen Server B mit Server 2016 Auf beiden Servern erstelle ich einen "Testordner" mit folgenden Rechten (Vererbung unterbrochen): System: Vollzugriff + lokale (!) Administratoren: Vollzugriff Benutzer "testroot" ist Mitglied der lokalen Administratoren Auf beiden Servern erstelle ich eine Freigabe mit "Vollzugriff - Jeder". Server 2008: Alles funktioniert lehrbuchmäßig, "testroot" hat Vollzugriff auf den Testordner, sowohl per Freigabe als auch lokal (per RDP) Server 2016: Bei Zugriff über Freigabe ist alles wie es sein soll. Bei lokalem Zugriff (via RDP) wird dem Nutzer "testroot" der Zugriff verweigert ("Sie verfügen momentan nicht über die Berechtigung...") - allerdings kann er sich den Zugriff verschaffen. Bin ziemlich ratlos...