silverdancer 10 Geschrieben 8. Mai 2009 Melden Teilen Geschrieben 8. Mai 2009 Salute Gemeinde! Wir haben die letzten Tage unseren Fileserver mit komplett neuen Berechtigungen versehen. Hat soweit auch alles wunderbar geklappt mit den Gruppen. Jetzt habe ich aber bei einem User ein sehr seltsames Phänomen: Anmeldename am Client in unserem Fall: LEHRLING1 Berechtigungen gesetzt auf den Usernamen: USERXX Da ich neu im Unternehmen bin wusste ich nicht, dass die Lehrlinge mit einem allgemeine User sich am System anmelden, jedoch im AD wegen Exchange Konto einen eigenen Usernamen haben. So die Berechtigungen wurden auf den User gesetzt und er meldet sich aber mit LEHRLING1 am System an, jetzt hat der allgemein User LEHRLING auf einmal die Berechtigungen die ich dem persönlichen User gegeben habe :confused: Im AD finde ich bei keinem der beiden User einen Verweis zueinander, es funktioniert zwar alles wie gewünscht, aber mich würde jetzt einfach mal interessieren wie diese Konstellation funktionieren kann. Kann mir jemand von euch sagen wie es dazu kommen kann, dass ein User ohne passende Gruppenmitgliedschaften trotzdem Zugriff auf die Daten hat. Vorab, die neuen Berechtigungen funktionieren einwandfrei, es gibt keine Probleme damit, ausser bei diesem einen User. Danke schon für eure Antworten. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 8. Mai 2009 Melden Teilen Geschrieben 8. Mai 2009 Moin, wie sehen denn die Berechtigungen genau aus? Gruß, Nils Zitieren Link zu diesem Kommentar
silverdancer 10 Geschrieben 8. Mai 2009 Autor Melden Teilen Geschrieben 8. Mai 2009 Hi Nils! Hier mal die vereinfachte Version unseres Freigabesystems: Fileserver: Hier wird auf einen Ordner die Gruppe ZUGRIFF in die Sicherheitsgruppe hinzugefügt, alles normales Zeugs. AD: Max Mustermann wird Mitglied der Gruppe ZUGRIFF Lehrling ist keiner Gruppe zugewiesen Client: Max Mustermann meldet sich am Client mit dem Usernamen LEHRLING an und hat seltsamerweise Zugriff auf den Ordner AD: Im AD gibt es keinen Verweis von "Lehrling" zu "Max Mustermann" Hoffe es dir anschaulich erklärt zu haben wie diese Situatuon zustande kommt. Kannst du dir daraus einen Reim machen? Gruß, Michael Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 8. Mai 2009 Melden Teilen Geschrieben 8. Mai 2009 Moin, Hoffe es dir anschaulich erklärt zu haben wie diese Situatuon zustande kommt. nein, leider nicht. Fileserver:Hier wird auf einen Ordner die Gruppe ZUGRIFF in die Sicherheitsgruppe hinzugefügt, alles normales Zeugs. Wie fügt man eine Gruppe "auf einen Ordner in die Sicherheitsgruppe hinzu"? Was ist für dich "alles normales Zeugs"? Lehrling ist keiner Gruppe zugewiesen Geahnt oder geprüft? Max Mustermann meldet sich am Client mit dem Usernamen LEHRLING an und hat seltsamerweise Zugriff auf den Ordner Dann muss er auch Zugriffsrechte haben. Was gibt "whoami /all" aus, wenn LEHRLING das ausführt? AD:Im AD gibt es keinen Verweis von "Lehrling" zu "Max Mustermann" Natürlich nicht, solche "Verweise" kennt AD ja auch nicht. Kannst du dir daraus einen Reim machen? Solange du es nicht ordentlich beschreibst: Nein. Meine Frage nach den konkreten Berechtigungen auf dem Ordner hast du auch noch nicht beantwortet. Gruß, Nils Zitieren Link zu diesem Kommentar
silverdancer 10 Geschrieben 8. Mai 2009 Autor Melden Teilen Geschrieben 8. Mai 2009 Hi Nils! Sorry, hast schon Recht, war ein wenig schwamig ausgedrückt. Auf dem Server haben wir den Ordner "DATEN" freigegeben. Unter den Eigenschaften von dem Ordner (Kartei Sicherheit) wurde die Gruppe "Zugriff" mit Änderungsrechten hinzugefügt. Soweit die Einstellungen auf dem Fileserver Jetzt ist der Ordner vom Client per \\server\daten erreichbar wenn man in der Gruppe "Zugriff" Mitglied ist. Active Directory: Der User Lehrling ist nicht Mitglied der Gruppe "ZUGRIFF" jedoch der User "Max Mustermann" schon. Auf dem Client meldet sich "Max Mustermann" mit dem Usernamen "Lehrling" am System an und kann auf die Freigabe zugreifen, obwohl (kontrolliert) der User "Lehrling" nicht Mitglied der Gruppe "ZUGRIFF" ist. Eine Auswertung mit whoami /all geht nicht, Befehl nicht gefunden, liegt der auf dem Administration Ressource Kit vielleicht? Gruß, Michael Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 8. Mai 2009 Melden Teilen Geschrieben 8. Mai 2009 Whoami.exe findest Du auf einem W2K3 Server im System32 Ordner. Du kannst auch mit dem Befehl dsquery user -name lehrling* | dsget user -memberof -expand herausfinden, in welchen (Domain-)Gruppen dieser User Mitglied ist. Eine davon muss den Zugriff auf das Share erlauben. Ggf. auch mal lokale Gruppen auf dem Fileserver prüfen. Den Befehl kannst Du auf einem DC ausführen, oder auf einem Rechner mit installiertem Admin Pack. Christoph Zitieren Link zu diesem Kommentar
Fly_ger 10 Geschrieben 9. Mai 2009 Melden Teilen Geschrieben 9. Mai 2009 Active Directory:Der User Lehrling ist nicht Mitglied der Gruppe "ZUGRIFF" jedoch der User "Max Mustermann" schon. Auf dem Client meldet sich "Max Mustermann" mit dem Usernamen "Lehrling" am System an und kann auf die Freigabe zugreifen, obwohl (kontrolliert) der User "Lehrling" nicht Mitglied der Gruppe "ZUGRIFF" ist. kurze frage: wer meldet sich denn nun an? du schreibst der user max mustermann meldet sich mit dem Usernamen Lehrling an? hee ? max mustermann ist doch auch ein user!:cool: sind irgendwelche anderen gruppen in der gruppe zugriff in der vielleicht der lehrling ist ? lg Fly ger Zitieren Link zu diesem Kommentar
sysiphos 10 Geschrieben 10. Mai 2009 Melden Teilen Geschrieben 10. Mai 2009 Hi, schau mal auf dem Fileserver wie von Christoph35 schon angedeutet unter Benutzer und Guppen, ob der User Lehrling vielleicht in der Gruppe der Administratoren oder Benutzer ist. Oder dem Lehrling wurde der Zugriff direkt gewährt Unter den Eigenschaften von dem Ordner (Kartei Sicherheit) wurde die Gruppe "Zugriff" mit Änderungsrechten hinzugefügt. da sollte dann auch der User Lehrling irgendwo stehen. Lehrling ist keiner Gruppe zugewiesen Das oben stehende wäre für mich die einzige erklärung, wenn der User Lehrling im AD keine Gruppen zugeordnet hat. LG Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 10. Mai 2009 Melden Teilen Geschrieben 10. Mai 2009 Moin, Sorry, hast schon Recht, war ein wenig schwamig ausgedrückt. na, dann fang doch endlich mal mit konkreten und vollständigen Aussagen an. Unter den Eigenschaften von dem Ordner (Kartei Sicherheit) wurde die Gruppe "Zugriff" mit Änderungsrechten hinzugefügt. Das beantwortet immer noch nicht, welche Berechtigungen denn da nun stehen. "Hinzufügen" bedeutet das Erweitern der Liste. Eine Auswertung mit whoami /all geht nicht, Befehl nicht gefunden, liegt der auf dem Administration Ressource Kit vielleicht? Entweder dort oder auf einem Windows-Server ab 2003 aufwärts. Auf den Client kopieren und ausführen. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.