2003 Server - AD User bekommt Domänenadminrechte

[JägerE 10]

Guten Morgen,

 

bin schon lange auf der Suche nach einer Lösung für mein Phänomen.

Hab auch hier schon ein wenig gesucht, bin aber nicht fündig geworden

und hoffe, dass Ihr mir vielleicht helfen könnt?

 

Folgende Situation:

Ich bin Admin in einer Domain mit ca. 30 Usern,

wir haben eine gemischte Domäne, von einem 2003 Server Standard gesteuert.

Des weiteren haben wir einen Fileserver, auf dem verschiedene Ordner für verschiedene Abteilungen angelegt und freigegeben sind.

Nun ist es zum zweiten Mal der Fall, dass ein normaler User Rechte auf alle Ordner, ob er dafür nun eingetragen ist oder nicht, bekommt.

Selbst wenn ich ihm die Rechte verweigere(!), darf er in die Ordner rein.

Hab dann bisschen rumprobiert und gemerkt, wenn ich dem Domänen-Admin die Rechte verweiger, darf dieser User auch nicht rein.

Der ist jedoch nirgendwo als Admin eingetragen!!

Das selbe Phänomen hatte ich bereits vor zwei Wochen, da hab ich den User einfach neu angelegt und es war wieder in Ordnung.

Nun passierts aber schon das zweite Mal und das macht mir grosse Sorgen,

weiss ich doch nicht, wer da noch evtl. Zugriff bekommt ohne den Mund aufzumachen.

 

Ich habe sogar den User gelöscht und mit gleichen Daten neu angelegt, damit er eine neue SID bekommt, aber nach dem Zurückkopieren seiner Daten aus dem alten Profil und wieder erneuter Anmeldung hat er schon wieder Zugriff auf die Ordner.

 

 

Habt ihr irgendeine Idee, wo dieser komische Fehler herkommen könnte?

 

Hab schon mehrere Hotlines damit befragt, keiner konnte mir helfen!

 

Vielen Dank!

 

MfG,

Eddy

[NilsK 2.795]

Moin,

 

Ich bin Admin in einer Domain mit ca. 30 Usern,

wir haben eine gemischte Domäne, von einem 2003 Server Standard gesteuert.

 

nur ein DC? Das ist zu wenig. Hoffentlich habt ihr wenigstens eine ordentliche Datensicherung.

 

Nun ist es zum zweiten Mal der Fall, dass ein normaler User Rechte auf alle Ordner, ob er dafür nun eingetragen ist oder nicht, bekommt.

 

Hm.

 

Selbst wenn ich ihm die Rechte verweigere(!), darf er in die Ordner rein.

 

Das kann "eigentlich" nicht sein.

 

Gehe systematisch vor:

 

• Welche Berechtigungen sind wirklich auf den Dateien und Ordnern gesetzt? Hier hilft z.B. ein Report mit xcacls.vbs.
  
• Welcher User ist tatsächlich in dem Moment angemeldet, in dem das "Phänomen" auftritt?
  
• Welchen Gruppen gehört dieser User effektiv an? Hier hilft "whoami /groups".
  

 

Ich habe sogar den User gelöscht und mit gleichen Daten neu angelegt, damit er eine neue SID bekommt, aber nach dem Zurückkopieren seiner Daten aus dem alten Profil und wieder erneuter Anmeldung hat er schon wieder Zugriff auf die Ordner.

 

Was für Daten kopierst du mit welcher Vorgehensweise wohin "zurück"? Welche Berechtigungen und Gruppenmitgliedschaften werden nach der Neuanmeldung angezeigt?

 

Gruß, Nils

[JägerE 10]

Vielen Dank für deine schnelle Antwort NilsK!

 

Ich bin die einzelnen Punkte nach und nach durchgegangen, um dann zwischendrin eine ganz andere Fehlerursache zu finden.

 

Und zwar hat er sich heut morgen, direkt nach Löschen des Profils, nicht richtig mit dem DC verbinden können und weiterhin (automatisch) das alte Profil genutzt, nachdem ich den User nochmal neu angemeldet habe, wurden dann die Rechte richtig übernommen.

 

Aber generell wär für mich relevant, wie so ein Fehler überhaupt entstehen kann?

Ich mein ob jemanden Zugriff auf einen bestimmten Ordner bekommt, sollte ja nicht von den Clientdaten, sondern vom Server abhängig sein.

 

Da vielleicht noch nen Hinweis oder ne Idee, wonach ich mal schauen kann?

 

MFG,

eddy

 

 

EDIT: Insgesamt sinds 2 DC's, aber das ist ja nicht für den Fehler relevant, denke ich.

Datensicherung ist dennoch gut ;) Tandberg Autoloader + B2DISK