Jump to content
Sign in to follow this  
perren

Lokaler Admin darf auf DC zu viel, finde Rechte-Ursache nicht

Recommended Posts

Hallo,

 

wie kann das nur sein? Ich finde die Quelle einer Berechtigung nicht.

 

Server01: W2K8R2

- c:\homes\ mit Userverzeichnissen darunter

- c:\homes\ ist als "homes" freigegeben.

Gleich zu den ACLs: Die Vererbung aus c:\ wurde gestoppt und nicht dort hineingenommen. Ab c:\homes\ habe ich jetzt zu Testzwecken nur noch Domänen-Administratoren berechtigt und dies hineinvererbt. Domänen-Admins haben nur "CN=Administrator,CN=Users,DC=contoso,DC=com" als Member.

 

XP-Client:

- Anmeldung als lokaler Administrator -definitiv!

- \\server01\homes\ ->> der lokale Administrator kann da schalten und walten wie er will?! Er kann sogar alles löschen.

- Der lokale Administrator ist Mitglied der lokalen Gruppe "Administratoren" - mehr nicht.

 

Vielleicht kann mir jemand den richtigen Weg weisen :) Oder habe ich etwas nicht verstanden?

 

Danke,

 

Michael

Share this post


Link to post

Ja! Ist meine Testumgebung, wo alle dasselbe Passwort haben... Aber die User haben doch andere SIDs, das wäre ja irgendwie der Hammer. Oder?

EDIT: Auf jeden Fall löst Deine Frage das Problem, danke schon mal.

Share this post


Link to post
Ja! Ist meine Testumgebung, wo alle dasselbe Passwort haben... Aber die User haben doch andere SIDs, das wäre ja irgendwie der Hammer. Oder?

 

Tja, das ist ja mal ne Erkenntnis. ;)

 

Bye

Norbert

Share this post


Link to post

?!? Ich meine, es ist mir unverständlich, dass jemand mit anderer SID, also ein völlig anderer Nutzer, aber gleichem Passwort, auf dieselbe Ressource zugreifen kann. So doof kann Windows aber eigentlich nicht sein ;) Meine Vermutung ist aber, dass ich in dem Moment, wo ich alles auf dem Share machen durfte, in Wirklichkeit nicht als der lokale Administrator, sondern als der Domänenadmin unterwegs war. Also Windows intern den Administrator auf contoso\administrator ergänzt hat. Alles Vermutungen.

Share this post


Link to post

Mit Workgroups habe ich in der Beziehung keine Erfahrung... Deiner Anmerkung entnehme ich, dass Windows immer versucht, einen nicht eindeutigen Benutzernamen vorrangibg mit "ZIEL\Benutzername" zu ergänzen? (Mit Ziel=Workgroup oder Domainname). Danke...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...