Zugriff Ordner Windows Server 2008

[Peterzz 11]

Hallo,

ich habe ein Problem mit einem Windows Server 2008, aktueller Patchstand in einer Windows Server 2008 Domäne.

Ich habe einen Admin-Benutzer, der in der Gruppe der Domänenadmins ist und der den 2008 Server administrieren soll.

Es gibt auf einer D:\ Partition einen Ordner „Daten“, auf dem die Gruppe der lokalen Administratoren Vollzugriff (NTFS) hat. Innerhalb der lokalen Admingruppe sind die Domänenadmins integriert. Meldet sich nun der Admin-Benutzer an dem Rechner an, kann er nicht auf den Ordner Daten zugreifen (Zugriff verweigert), obwohl er ja eigentlich durch die Mitgliedschaft in der Domänenadmin-Gruppe auch in der lokalen Admingruppe ist und Zugriff haben müsste.

Er geht nicht über eine Freigabe, sondern arbeitet direkt auf dem Server.

Zugriff als lokaler Admin und als Domänenadmin sind ok.

Woran kann das liegen?

 

[daabm 1.192]

1. Repariere mal Deine Eingabetaste - das macht die Posts übersichtlicher... :) 2. Was sagt denn ein icacls? Und Du kennst Dich schon mit UAC, restricted Token und "Deny only" aus? Das Admin-Token ist nur dann zum "Zugriff erlauben" zu gebrauchen, wenn der Prozess elevated läuft. Guck Dir "whoami /groups" in einer normalen und in einer Admin-Commandline an, Du wirst den Unterschied schon finden. 3. Du siehst hier dann auch, wie sich so was liest, wenn keine Zeilenumbrüche drin sind - nicht sehr angenehm.

[Peterzz 11]

zu 1. OK, Eingabetaste reparieret (habe den Eingangsbeitrag offline geschrieben und nur hier hinein kopiert)

zu 2. Das werde ich mir ansehen.

zu 3. Ich finde Fließtext nicht sooo schlecht ;-) 

[Sunny61 773]

zu 1. OK, Eingabetaste reparieret (habe den Eingangsbeitrag offline geschrieben und nur hier hinein kopiert)

Bitte prüfe deine Beiträge nach dem Absenden immer noch mal auf solche Dinge, Danke.

 

zu 3. Ich finde Fließtext nicht sooo schlecht ;-)

Findest Du es auch nicht so schlecht, wenn dir niemand antwortet weil er deinen Fließtext nicht lesen möchte?

Ein klein bisschen Mühe geben sollte einem kostenlose Hilfe schon wert sein.

[NilsK 2.792]

Moin,

 

also, zur Ehrenrettung des TO: Momentan hat das Board offenkundig ein technisches Problem, die Zeilenumbrüche beizubehalten.

 

Zum Thema: Hier schlägt die UAC zu. Wenn es um Berechtigungsverwaltung oder um Dateiverwaltung mit professionellem Anspruch geht, solltest du das nicht mit dem Explorer machen. Ausgerechnet der kann nämlich (als nahezu einziges Programm) nicht richtig mit der UAC umgehen. Nimm in solchen Fällen einen anderen Dateimanager, der mit UAC richtig arbeitet (viele schwören auf Total Commander, es gibt aber auch zahlreiche andere). Und für die Berechtigungsverwaltung empfehle ich SetACL von Helge Klein.

 

Gruß, Nils

[Peterzz 11]

Danke erst mal für die Hinweise.

Da mir die Lösung mit dem Total Commander nicht so gut gefällt habe ich ein wenig weiter gegoogelt und einen weiteren Workaround gefunden.

Man startet das Notepad als Administrator und benutzt den "Datei Öffnen Modus" als Windows Explorer. Das funktioniert.

Ist das Verhalten unter Windows Server 2012 das Gleiche?

[daabm 1.192]

Ja, ist das gleiche... Dahinter steckt die "Explorer Elevated Unelevated Factory" - läßt sich mit einem Registry-Eingriff ändern, dann startet der Explorer auch als Admin (oder sogar als anderer User). Nur kannst Du die verschiedenen Explorer nicht unterscheiden :D

 

Oder Du startest den Taskmanager, elevatest den (in Win7 - bei W8/2012 macht er das automatisch), schießt den Explorer ab und startest ihn aus dem elevated Taskmanager neu. Dann läuft ALLES als Admin - ist also wie "UAC aus" und daher nicht zu empfehlen.

 

Die eleganteste (und aufwändigste) Lösung ist eine "nachgebaute" eigene Administratoren-Gruppe, die überall dort Vollzugriff hat, wo administriert werden muß. Die läuft dann nicht unter dem restricted Token, sondern ist eine ganz normale Gruppe.

[Peterzz 11]

Danke für die Info.