Jump to content

kein Zugriff auf Administratoren-Ordner obwohl Mitglied der Gruppe Administratoren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe hier ein Problem, das ich leider nicht nachvollziehen kann.

 

Ich habe auf einem W2k8R2-Memberserver ein Verzeichnis software erstellt. Vollzugriff hat die lokale Gruppe XY-SERVER\Administratoren. Besitzer ist ebenfalls XY-SERVER\Administratoren.

 

Ich selbst bin Mitglied der Sicherheitsgruppe XY-Admins, welche dank GPO (eingeschränkte Gruppe) Mitglied von VORDEFNIERT\Administratoren sein soll.

Und wenn ich mir auf dem Server über die Computerverwaltung die lokale Gruppe Administratoren anschaue, dann sind darin Mitglied: Administrator, Domain Admins und meine Gruppe XY-Admins.

 

Also sollte ich meines Wissens doch ohne Probleme auf den Ordner software zugreifen können.

Kann ich aber nicht. Wenn ich diesen öffnen will, erhalte ich den Hinweis: Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. Klicken Sie auf "Fortsetzen", um dauerhaft Zugriff auf diesen Ordner zu erhalten.

Nun, wenn ich jetzt auf Fortsetzen klicke, kann ich mir zwar den Ordner ansehen, bin dann aber auch im Ordner zusätzlich zur Gruppe Administratoren mit Vollzugriff eingetragen. Wozu?

 

Ich kann mir aber auch die NTFS-Eigenschaften des Ordners ansehen, wenn ich bestätige, dass ich den Vorgang fortsetzen möchte (administrative Rechte werden benötigt...). Dabei werde ich dann nicht hinzugefügt in den Sicherheitseigenschaften des Ordners.

 

Kann man dieses Verhalten von W2k8 irgendwie steuern, dass ich auf einen Ordner einfach zugreifen kann, wenn ich die nötigen Rechte dazu habe? Es kann doch nicht sein, dass ich in jedem Ordner erst mein Konto mit Vollzugriff eintragen muss?!

 

Besten Dank und schöne Grüße

Stefan

Link zu diesem Kommentar

Hallo,

 

ich versuche remote drauf zuzugreifen (von einer Domänenmaschine aus...). Sprich, ich sitze an meinem Schreibtisch und hab mir da nen Laptop hingestellt (Win 7, falls von Belang), der Mitglied der Domäne ist, und dann verbinde ich mich per mstsc auf den Server, melde mich da mit meinem Domänenkonto an, welches Mitglied der Gruppe XY-Admins ist, und versuche dann auf besagten Ordner zuzugreifen. Und die Gruppe XY-Admins ist definitiv Mitglied der lokalen Gruppe Administratoren auf dem Server.

 

Schöne Grüße

Stefan

Link zu diesem Kommentar

Probier mal folgendes:

- Ruf die Sicherheitseinstellungen des Ordners auf -> Erweitert -> Reiter "Effektive Berechtigung". Trage dort deinen Benutzernamen ein und prüfe, welche Berechtigungen angezeigt werden.

 

- Entferne die Gruppe XY-Admins aus Server\Administratoren und füge sie manuell hinzu, eventuell stimmt etwas beim automatischen hinzufügen über die GPO nicht.

Link zu diesem Kommentar

Hallo Patrick,

 

vielen Dank für Deinen Hinweis auf die "effektiven Berechtigungen".

Wenn ich diese aufrufe, muss ich zunächst wieder mal bestätigen, dass dafür administrative Rechte nötig sind ("Sie müssen administrative Rechte und die Berechtigung zur Anzeige der Sicherheitseigenschaften des Objekts besitzen. Möchten Sie den Vorgang fortsetzen?")

und dann zeigt er mir für meinen Account an, dass ich Vollzugriff habe, allein auf Grundlage der GPOs.

 

Also müsste doch eigentlich alles in Butter sein?!

 

Wenn ich in der Eingabeaufforderung "whoami /all" eingebe, werden dort u.a. auch die Gruppen "VORDEFINIERT\Administratoren" (S-1-5-32-544) und "Domänenname\XY-Admins" gelistet. Allerdings nichts wie "NameMeinesServers\Administratoren", falls das normalerweise so sein müsste?

 

Kann es sein, dass er mir den Ordnerinhalt bloß nicht anzeigt, weil meine Administratoren-Rechte unter Win7/W2k8 ja zunächst einmal "ausgeblendet" sind? Und ich quasi noch ein "sudo" oder "su -" eingeben müsste, bevor ich den Ordnerinhalt angezeigt bekäme?

Denn in die Sicherheitseinstellungen kann ich ja auch reinschauen - und das würde doch ohne Admin-Rechte nicht möglich sein - afaik.

Und wenn ich mit der rechten Maustaste auf den Ordner klicke, bietet er mir bspw. auch "Umbenennen" und "Löschen" an, aber mit dem blau-gelben Admin-Schild davor.

 

Bloß, wie kann ich dann als Admin mir den Ordnerinhalt anzeigen lassen? Es kann doch nicht angehen, dass ich zusätzlich zu den Administratoren jetzt auch immer noch die jeweiligen Accounts direkt oder meine eigens erstellte Sicherheitsgruppe "XY-Admins" eintragen muss?!

So etwas wie rechte Maustaste und dann "als Admin ausführen" existiert hier jedenfalls nicht!

 

Besten Dank und schöne Grüße

Stefan

Link zu diesem Kommentar

Hallo Nils,

 

ja, das glaube ich mittlerweile auch. Allerdings verstehe ich noch immer nicht, wie ich denn jetzt den Ordnerinhalt zu Gesicht bekomme? Es muss doch möglich sein mit diesem UAC-Konzept, sich den Ordnerinhalt anzeigen zu lassen?! Shift-Rechte Maustaste funktioniert hier nicht...

 

Und selbst wenn ich ein neues Explorer-Fenster öffne, wobei ich per rechte Maustaste angebe, dass ich dieses als Administrator ausführen/öffnen möchte, ist es mir dann nicht möglich, den Ordnerinhalt zu sehen :mad:

 

Oder sehe ich den Wald vor lauter Bäumen nicht mehr?

 

Danke und schöne Grüße

Stefan

Link zu diesem Kommentar

Ok, nach weiterem Stöbern in den unendlichen Tiefen des Netzes, habe ich dann endlich die "Lösung" - eher einen Workaround - gefunden:

 

UAC: Den Explorer mit Admin-Rechten starten, ein weiterer Artikel von Nils (hättest mir doch auch gleich den Link geben können... ;) )

 

Etwas entsetzt bin ich allerdings, dass das anscheinend immer noch der einzig mögliche Weg ist - habt ihr die UAC auf den Servern alle abgeschaltet oder wie löst ihr das?

 

Schöne Grüße

Stefan

Link zu diesem Kommentar

Moin,

 

das Verhalten ist nicht ungewöhnlich, sondern erwartet.

 

In solchen Fällen empfehle ich, einen Datei-Manager einzusetzen, der mit UAC umgehen kann und sich - anders als der Explorer - auch ohne Klimmzüge als Admin starten lässt. Da gibt es viele, beliebt ist der Total Commander.

 

Für die Verwaltung von ACLs empfehle ich SetACL Studio (oder die kostenlose Kommandozeilenfassung SetACL) von Helge Klein.

 

Vom Abschalten der UAC halte ich selbst nichts, wobei man auf einem Server durchaus darüber diskutieren kann.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo Nils,

 

vielen Dank für die Klarstellung und vor allem für den Hinweis auf solch banale Hilfsmittel wie den TotalCommander!

Irgendwie bin ich noch nie auf die Idee gekommen, den auf nem Server zu nutzen, aber warum nicht... :cool:

 

Das SetACL kenne ich noch nicht, werde ich mir morgen mal ansehen.

 

Herzlichen Dank und schöne Grüße

Stefan

Link zu diesem Kommentar

Ich habe das ganze gerade auf einem 2008R2 Server nachgestellt, bei mir verhält es sich nicht so. Ich kann ohne Probleme auf den Ordner zugreifen, es kommt keine Abfrage.

 

Zwei Fragen habe ich:

(1) Kann man eine lokale Gruppe in eine lokale Gruppe hinzufügen? Manuell klappt das bei mir nicht, ich kann nur lokale User, Domänen User oder Domänen Gruppen einer lokalen Gruppe hinzufügen. Die lokale Gruppe XY-Admins kann ich nur über die GPO der lokalen Gruppe Administratoren hinzufügen.

 

(2) Logg dich mal mit deinem User ein, rufe den Explorer auf, rechte Maustaste auf Computer und 'Verwalten' auswählen. Kommt bei dir die Abfrage nach Benutzernamen und Passwort? Falls ja klappt die Zuordnung der Gruppe XY-Admins zu Administratoren nicht.

 

Diese 2 Fragen haben mit deinem Eingangsproblem allerdings nichts zu tun. Ich hatte auf dem Server nur die Gruppe XY-Server\Admins erstellt und meinen Test-User (Domänen-Benutzer) hinzugefügt. Mit diesem Test-User angemeldet und der Zugriff auf C:\Software war ohne Probleme möglich.

 

Nehme ich allerdings einen User Admintest, der nur in der Gruppe XY-Server\Administratoren und nicht in XY-Server\Admins (dem Besitzer des Ordners) ist, verhält es sich genau so wie bei dir. Der Zugriff auf C:\Software ist erst nach Abschalten der Benutzerkontensteuerung möglich.

Link zu diesem Kommentar

Hallo Patrick,

 

Logg dich mal mit deinem User ein, rufe den Explorer auf, rechte Maustaste auf Computer und 'Verwalten' auswählen. Kommt bei dir die Abfrage nach Benutzernamen und Passwort? Falls ja klappt die Zuordnung der Gruppe XY-Admins zu Administratoren nicht.

Nein, die Abfrage kommt nicht. Es kommt lediglich die Abfrage, ob ich mir per "Fortsetzen" quasi temporär Administratoren-Rechte freischalten möchte. Hatte ich weiter oben glaube ich auch schon mal beschrieben.

 

Nehme ich allerdings einen User Admintest, der nur in der Gruppe XY-Server\Administratoren und nicht in XY-Server\Admins (dem Besitzer des Ordners) ist, verhält es sich genau so wie bei dir. Der Zugriff auf C:\Software ist erst nach Abschalten der Benutzerkontensteuerung möglich.

Jaaa, ich habe den Ordner mit meinem Account erstellt und den Besitz anschließend auf die lokale Gruppe Administratoren geändert - nicht auf die Gruppe XY-Admins. Ich fand das auch sinnvoll, aber da kann man wahrscheinlich drüber streiten.

Sobald die Gruppe XY-Admins Zugriff hat (oder Besitzer ist), kann ich natürlich auch problemlos drauf zugreifen. Aber mir ging es darum, dass nur "Administratoren" Zugriff hat, und ich - als Mitglied der Gruppe Administratoren - doch auch Zugriff haben müsste...

 

Schöne Grüße

Stefan

Link zu diesem Kommentar

Moin,

 

Ich habe das ganze gerade auf einem 2008R2 Server nachgestellt, bei mir verhält es sich nicht so. Ich kann ohne Probleme auf den Ordner zugreifen, es kommt keine Abfrage.

 

dann sind die Berechtigungen bei dir anders gesetzt. Die benannte Abfrage kommt dann, wenn der eigene Account auf die Ressource keine anderen Berechtigungen hat als über die administrative Gruppe. Da die Mitgliedschaft in der administrativen Gruppe durch UAC nicht wirksam ist, fragt der Explorer nach.

 

In diesem Moment verhält sich der Explorer allerdings anders, als viele es erwarten - und aus meiner Sicht ist das Verhalten überhaupt nicht gut. Die Rückfrage, ob man jetzt zugreifen will, sorgt nämlich nicht für "temporäre administrative Rechte", sondern sie trägt das zugreifende Konto als Einzelberechtigung in die ACL der Ressource ein. Das bedeutet nichts anderes, als dass der Explorer in diesem Moment die Berechtigungen verändert, ohne ausdrücklich darauf hinzuweisen.

 

Daher rate ich entschieden dazu, auf einem Dateiserver (oder anderen Servern, wo UAC eine Rolle spielen könnte) nicht mit dem Explorer zu arbeiten.

 

Sieht aus, als sollte ich dazu mal einen FAQ-Artikel schreiben.

 

Zwei Fragen habe ich:

 

Bitte für neue Themen neue Threads eröffnen. Danke.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...