Jump to content

Probleme mit dem Auswerten der effektiven NTFS-Berechtigungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Unsere Umgebung:

Windows 2003 R2, 2008, 2008 R2

1 Forest, 3 Trees,14 Domains, viele, viele Sites

12 Domains in 2008 R2, 2 in mixed 2003 & 2008

ca. 300 Server

 

Kürzlich haben wir unser Administrationsmodell umgestellt. Bisher war es üblich, dass unsere Admins mit Ihren Konten keine Admin-Rechte in den Domänen und auf den Servern hatten. Wenn was administriert werden musste, dann wurden dazu immer DIE Administrator-Konten verwendet.

Jetzt hat jeder Admin sein personenbezogenes Admin-Konto (genau eins) in der Stammdomäne. DIE Administrator-Konten sind mit langen, kryptischen Passwörtern versehen und diese sind niemanden bekannt, liegen im Safe der GF.

Damit diese Admin-Konten in allen Domänen arbeiten können, sind diese in entsprechende Gruppen. Diesen Gruppen wurden per GPO in den Domänen und auf den Membern die notwendigen Rechte erteilt. Soweit alles gut.

 

2 Admin (einer davon bin ich), sind in allen Domänen BuiltIn-Administratoren und zusätzlich Enterprise-Admins. Weiterhin per GPO lokale Administratoren auf den Member-Servern.

Soweit auch alles gut. Wir können alles administrieren.

 

Heute ist etwas aufgefallen:

Wir sind auf einem Member-Server einer untergeordneten Domain. Ein Fileserver.

Wir betrachten die NTFS-Berechtigungen eines "normalen" Users dieser Domain. Der User ist Mitglied in Gruppen dieser Domain.

Wir können mit unseren Admin-Konten auf diesem Member-Server alles machen. Haben volle lokale Adminrechte. Auch in dieser untergeordneten Domain können wir alles machen.

Wenn wir versuchen, die effektiven NTFS-Berechtigungen eines Users für einen Ordner auf dem o.g. Fileserver anzeigen zu lassen, dann hat dieser Benutzer angeblich keine Rechte, alles grau.

Ich habe in dieser Domain zum Test ein neues Konto erstellt, dieses zum Domain-Admin dieser untergeordneten Domain gemacht. Wenn ich mich mit diesem Konto auf dem Fileserver anmelde und dann die effektiven Berechtigungen des selben o.g. User für den selben o.g. Ordner mir anzeigen lasse, dann werden da die korrekten, über Gruppenmitgliedschaften geerbten Rechte angezeigt.

 

Meine Frage nun: Welches Recht fehlt meinem Admin-Konto, da es doch nicht die effektiven NTFS-Berechtigungen anzeigen kann?

 

Hinweis: Ich kann mein Admin-Konto nicht direkt in die Domain-Admins packen, weil das eine Globale Gruppe ist und eine solche keine Konten einer anderen Domain aufnehmen kann.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...