Erstellen von Datein in Sysvol nicht möglich ?

[Thomas Säuberli 11]

Hallo zusammen

 

ich habe da ein komisches Peroblem. Ich habe einen SBS2011 und einen Win2008R2 SP2 als zusätzlichen DC und zur Replikation via DFS-R.

 

Alles läuft wie am Schnürchen es gibt keine Warnungen in den Logdateien. Replikation läuft auch sauber. Soweit alles in Butter.

 

Nun wollte ich in der Sysvolfreigabe eine Logindatei erstellen. Da hätte ich als (Original-Admin) aber keine Rechte wird mir mitgeteilt?! Erstelle ich die *.cmd Datei aber an einem anderen Ort un kopiere diese. So funktionirt dies anstandslos, wird auch ausgeführt und mit dem anderen DC repliziert. Ich könnte damit leben, frage mich aber einfach ob mich das nun beunruhigen sollte?! Kennt jamand das Problem?

 

Das Einzige was ich vielleicht "speziell" machte war das importieren einer Gruppenrichtlinie aus einer anderen Domäne (welche übrigens auch tadellos greift...). Wurden vielleicht dadurch irgendwelche Rechte am sysvol überschrieben? Zu sehen ist das nicht. Die Rechte sind indentisch (default) wie auf anderen Domänen.

 

Vielen Dank für Eure Hinweise

 

Gruss Thomas

[jarazul 10]

UAC ausschalten bzw. Explorer als Admin ausführen schon probiert?

[Thomas Säuberli 11]

Hallo jarazul

 

Nee, ging bis jetzt immer ohne. Werde das morgen aber gene ausprobieren.

 

Gruss aus der sonnigen Schweiz (wobei ich in einem kühlen Serverraum bin :-) )

 

Thomas

[dmetzger 10]

Das Einzige was ich vielleicht "speziell" machte war das importieren einer Gruppenrichtlinie aus einer anderen Domäne (welche übrigens auch tadellos greift...). Wurden vielleicht dadurch irgendwelche Rechte am sysvol überschrieben?

 

Das Importieren von GPO ist nichts Spezielles, sondern alltäglich in Umgebungen mit Test- und Produktivdomänen oder für Dienstleister, die GPO für Kunden entwerfen. Mit den üblichen Werkzeugen wie den GPMC Sample Scripts o.ä. werden beim Importieren die Berechtigungen auf dem Sysvol nie überschrieben.

[Thomas Säuberli 11]

Hallo zusammen

 

Vielen Dank für Eure Antworten. Das das Importieren von GPOs eigentlich kein Problem darstellen sollte nahm ich an... aber man weiss ja nie :-)

 

Das Problem war tatsächlich die UAC!!!! Ausschalten und weg ist das Problem!

 

Gruss und danke!

 

Thomas

[NilsK 2.791]

Moin,

 

sinnvoller als die UAC abzuschalten: Einen Dateimanager nehmen, den man per UAC auch mit erhöhten Rechten starten kann. Beim Explorer geht das nicht bzw. nur mit erheblichen Umwegen.

 

Gruß, Nils

[micha42 29]

Ich habe dieses Phänomen auch (Win2008 und Win2008R2) und denke, das liegt an den NTFS-Berechtigungen.

Löschen ist hier nicht angemarkert.

Ich arbeite immer genauso, wie Du es in #1 beschrieben hast.

Alles normal

Michael

bearbeitet 22. August 2011 von micha42

[Thomas Säuberli 11]

Ist nur komisch, weil ich schon x-Domänen aufgebaut habe. Dieses Problem nun aber zum ersten Mal aufgetaucht ist... vielleicht liegt es am SBS2011 oder an einem ganz neuen Patch. Wie auch immer UAC aus und gut is ;-)

[GuentherH 61]

vielleicht liegt es am SBS2011

 

Nur insofern, dass du auf einem SBS einen eigenen Admin User anlegst, da ja der BuiltIn Administrator deaktiviert ist. Und auf auf diesen Admin User wirkt auch die UAC, beim BuiltIn Administrator dagegen nicht.

 

LG Günther

[iDiddi 27]

Nur insofern, dass du auf einem SBS einen eigenen Admin User anlegst, da ja der BuiltIn Administrator deaktiviert ist. Und auf auf diesen Admin User wirkt auch die UAC, beim BuiltIn Administrator dagegen nicht.

Is ja interessant. Das erklärt einiges. Danke für die Info :) . Kannst Du mir auch erklären, warum die UAC dabei unterschiede macht?

[GuentherH 61]

Hi.

 

Lies einmal hier nach - faq-o-matic.net » Kompromisse zwischen Sicherheit und Bequemlichkeit? Das Beispiel UAC

 

LG Günther

[iDiddi 27]

Lies einmal hier nach - faq-o-matic.net » Kompromisse zwischen Sicherheit und Bequemlichkeit? Das Beispiel UAC

Hm, erst einmal danke für den Link. Allerdings finde ich dort nicht die Erklärung für Deine Aussage:

Und auf auf diesen Admin User wirkt auch die UAC, beim BuiltIn Administrator dagegen nicht.

 

Ich habe das Konzept bei der Benutzerkontensteuerung ab Windows 7 so verstanden, dass nur bei einem angemeldeten Administrator (also ein Benutzer mit Admin-Rechten gilt für mich auch als Administrator) die Auto-Elevation greift.

 

Also noch mal: Wo ist also der Unterschied zwischen dem Build-In-Admin und dem SBS-Admin?

 

EDIT:

Off-Topic:

Hey, das ist ja mein 1.000er Beitrag :) . Dann gebe ich mal allen ein virtuelles Bier aus. Prost :D

[Dunkelmann 96]

Also noch mal: Wo ist also der Unterschied zwischen dem Build-In-Admin und dem SBS-Admin?

Den Unterschied macht eine Einstellung in der angewendeten Gruppenrichtline.

Unter "Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtline - Sicherheitsoptionen" kann das Verhalten der UAC angepasst werden.

[micha42 29]

[quote name='iDiddi;1108804

EDIT:

Off-Topic:

Hey' date=' das ist ja mein 1.000er Beitrag :) . Dann gebe ich mal allen ein virtuelles Bier aus. Prost :D [/ot']

 

[ot] na dann mal Prost - danke