Lokaler Admin / Domäne / Zugriffsrechte

[thopas 0]

Hallo zusammen

 

Ich brauche eure Hilfe :confused:

 

Ich habe folgendes Szenario. 

 

2 x Windows Server 2012 R2

 

Beide Server sind Domänen integriert.

Administrator Konto ist aktiv und das Passwort ist auf beiden Servern gleich.

Dann ist noch ein zusätzliches lokales Administrator Konto aktiviert.

Dieses Konto ist in der lokalen Gruppe "Administratoren" hinzugefügt.

 

Es darf auf diesen Servern kein AD User benutz werden.

Nun aber mein Problem.

 

Server 01 muss auf Server 02 auf folgende Shares zugriff haben. 

\\server02\c$ & \\server02\d$

 

Server 02 muss auf Server 01 auf folgende Shares zugriff haben. 

\\server01\c$ & \\server01\d$

 

Das geht aber ja nur, wenn ich den von Windows vorgegebenen Administrator lokal anmelde.

Das geht nur meine ich, ohne ein Passwort einzugeben. 

 

Aber mit dem zusätzlich erstellten Admin geht es nicht.

 

Was mache ich falsch resp. wie kann ich das lösen?

 

Ich danke für ein Feedback.

 

 

 

 

bearbeitet 10. März 2016 von thopas

[NilsK 2.791]

Moin,

 

das ist zunächst mal erklärungsbedürftig.

• Warum darf auf den Servern kein AD-User verwendet werden? Das würde einiges leichter und sicherer machen.
• Warum müssen die Server gegenseitig auf ihre administrativen Shares zugreifen? Warum richtet man nicht einen normalen Share ein, dessen Zugriffsrechte man auch verwalten kann?
• Wer oder was genau muss da auf die Gegenseite zugreifen? Ein Dienst? Ein User?

Das Konstrukt, das du beschreibst, ist nicht sinnvoll.

 

Gruß, Nils

[thopas 0]

Moin,

 

das ist zunächst mal erklärungsbedürftig.

• Warum darf auf den Servern kein AD-User verwendet werden? Das würde einiges leichter und sicherer machen.

   

  Das sehe ich auch so. Aber das ist eine Anforderung für eine Industrielle Anwendung. Leichter Ja. 

  Aber wieso sicherer?

   

• Warum müssen die Server gegenseitig auf ihre administrativen Shares zugreifen? Warum richtet man nicht einen normalen Share ein, dessen Zugriffsrechte man auch verwalten kann?

   

  Die Software bracht das anscheinend für den Softwarecluster. Das regelt die Software und nicht Windows. Den Share kann ich ja so auch nicht regeln. Da die beiden User ja auf beiden Seiten nicht verfügbar sind.

   

• Wer oder was genau muss da auf die Gegenseite zugreifen? Ein Dienst? Ein User?

Das Konstrukt, das du beschreibst, ist nicht sinnvoll. 

 

Das sehe ich auch so aber wurde so gefordert und ich kann es nicht umsetzen. 

 

 

Gruß, Nils

[daabm 1.190]

Hilft auch nicht wirklich... Warum muß diese "industrielle Anwendung" (professionell eher nicht ) auf c$ und d$ zugreifen? Und in welchem Kontext läuft die - bei angemeldetem User auf dem Desktop ja hoffentlich nicht, also als Dienst? (Letzte Frage von Nils, da fehlt die Antwort.)

 

Da die Server beide in einer Domäne sind: Wenn die SW als Dienst unter SYSTEM läuft, kannst das mit einer eigenen Freigabe leicht erledigen, auf der die Computerkonten der Server berechtigt werden.

[lefg 276]

 

Server 01 muss auf Server 02 auf folgende Shares zugriff haben. 

\\server02\c$ & \\server02\d$

 

Server 02 muss auf Server 01 auf folgende Shares zugriff haben. 

\\server01\c$ & \\server01\d$

 

Wer soll da denn nun Zugriff haben, die Server, eine automatische Anwendung oder der zuAdmin? Unter welchen Umständen? Wofür soll das sein, was soll da geschehen?

 

Es könnte die Frage sein, welcher zuAdmin wird jeweils für die Authenfizierung den Zugriff verwendet? Der von 01 oder 02? Ob das eine Rolle spielt? Ich bin mir momentan nicht sicher.Und haben diese zuAdminis tatsächluiich Berechtigung auf die Freigabe und die Partition über die Gruppenzugehörigkeit erhalten? Ob die zuAdmins die selben sind trotz Namensgleichheit und identischen Kennwort?

 

Die beiden Geräte sind aber tatsächlich Mitgliedsserver der Domäne?

 

Ist das ein tatsächliche betriebliche Forderung oder ist das eine Übungsaufgabe?

bearbeitet 11. März 2016 von lefg