Jump to content

Win2012R2 Kein Zugriff auf Freigaben mit NTFS Gruppenberechtigung

CoolBlue

Von CoolBlue
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

CoolBlue Proficient

CoolBlue   10

Geschrieben
Geschrieben (bearbeitet)

Hallo,

 

aktuell habe ich Probleme mit den NTFS Permissions bei Freigaben auf einem 2012 R2 Server.

 

Folgende Umgebung:

Windows 2008 SBS Server soll auf Windows 2012 migriert werden. Ich habe einen Windows 2012 R2 in die Domäne integriert und selbst zum AD hochgestuft. Gleichzeitig soll dieser Server Dateiserver sein.

 

Mit in der Umgebung sind noch ein zweiter 2012 Server mit Exchange 2013 und ein 2008R2 Server als RDS/XenApp Server. Dazu zahlreiche Windows 7 Clients

 

Zum eigentlichen Problem:

Neue Freigabe: F:\Austausch

Neue Ressourcen Gruppe: DL_Share_Austausch

Die Ressourcen Gruppe "DL_Share_Austausch" enthält die Gruppen "G_Administratoren" und "G_Benutzer"

 

In der globalen Gruppe "G_Benutzer" sind alle Benutzer des Unternehmens oder weitere globale Gruppen.

 

Kein Benutzer erhält auf die Freigabe Zugriff von Windows 7 aus. Über den RDS Server mit Win2008R2 geht der Zugriff.

 

Durchgeführte Tests:

1) Gruppe "Domänen-Benutzer" dem Ordner Austausch hinzugefügt > Geht!

2) Gruppe "Jeder" dem Ordner Austausch hinzugefügt > Geht!

3) Einen Benutzer dem Ordner Austausch hinzugefügt > Geht!

 

4) Einen Benutzer der Ressourcen Gruppe DL_Share_Austausch hinzugefügt > Geht nicht!

5) Die globale Gruppe "G_Benutzer" direkt dem Ordner Austausch hinzugefügt > Geht nicht!

 

6) Eine alte globale Gruppe aus der Zeit des SBS2008 Servers dem Order Austausch hinzugefügt > Geht!

 

7) Tests der effektiven Berechtigung mit einer ausgewählten Datei in dem Ordner ergaben bei allen Kombis immer "Grün". Dennoch wurde der Zugriff verweigert.

 

Irgendwie scheint es hier ein Problem mit neuen Gruppen zu geben die mit dem Windows 2012 Server erstellt wurden.

 

Interessanterweise habe ich auf dem Server vor ein paar Wochen bereits eine Freigabe "Media" erstellt und mit einer neuen Gruppe namens "DL_Share_Media" freigegen. Diese funktionierte von Anfang an und sofort. Was hat sich plötzlich geändert?

 

-----

Update:

Ich glaub ich hab den Fehler endlich selbst gefunden.

 

 

 

Alle Windows User müssen sich neu anmelden um zu wissen das sie einer neuen Sicherheitsgruppen hinzugefügt wurden.

 

Kann mir jemand erklären warum das so ist und ob das schon immer so wahr? Ich mein der Server sollte doch kontrollieren ob der Benutzer Zugriff auf ein Objekt hat und nicht der Client. Oder wird dies im Kerberos Ticket festgehalten um zusätzlichen Netzwerkverkehr zu minimieren?

bearbeitet von CoolBlue
Link zu diesem Kommentar
Dukel Grand Master

Dukel   439

Geschrieben
Geschrieben

Alle Windows User müssen sich neu anmelden um zu wissen das sie einer neuen Sicherheitsgruppen hinzugefügt wurden.

 

Kann mir jemand erklären warum das so ist und ob das schon immer so wahr? Ich mein der Server sollte doch kontrollieren ob der Benutzer Zugriff auf ein Objekt hat und nicht der Client. Oder wird dies im Kerberos Ticket festgehalten um zusätzlichen Netzwerkverkehr zu minimieren?

 

Ja. Im Kerberos Ticket werden die Gruppen gespeichert, in denen ein User ist.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

Auszug aus: http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Bei der Anmeldung ans System erhält jeder Benutzer ein “Access Token”, das u.a. seinen eigenen SID und die SIDs aller Gruppen enthält, in denen er Mitglied ist. Dieses Access Token bildet dann seinen Berechtigungsausweis für alle Zugriffe. Da es nur bei der Anmeldung erzeugt wird, sind alle Änderungen an Gruppenmitgliedschaften, die während der laufenden Arbeitssitzung erfolgen, wirkungslos. Erst bei der nächsten Anmeldung wird ein neues Access Token erzeugt, das die dann gültigen Mitgliedschaften umfasst.

Link zu diesem Kommentar
Maraun Experienced

Maraun   12

Geschrieben
Geschrieben

Hi,

 

vielleicht habe ich hier ein Verständnisproblem, aber wir nutzen noch einen Server 2003 als konfigurierten Cluster-Fileserver und AD im 2003er Modus.

Und wenn ich Usern eine globale Security Group zuweise, dann geht das in der Regel nach knapp einer Stunde on the fly, ohne neue Anmeldung.

Oder aber, der User gibt mir nicht das feedback, dass er sich neu angemeldet hat.

 

Grüße

Alex

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...