Jump to content

kopierten Domänen-Administrator fehlern offenbar Rechte


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Ein herzliches Hallo liebes Board!

 

Ich hoffe die Suche korrekt bedient zu haben, fand aber leider nichst zu meinem Thema.

Mir ist vielleicht auch einfach nicht klar wie ich meine Suche formulieren soll. ;-)

 

Folgende Situation stellt sich dar:

 

kleines Firmennetzwerk mit 2 Servern in einem ESXi.

Der alte Server 2k3 Std. läuft noch da eine Anwendung noch nicht auf dem neuen Server 2k12 R2 Std. umgezogen werden kann.

Das AD wurde vom alten auf den neuen migriert, hat auch alles toll geklappt und funktioniert.

 

Nun soll ein zweiter Account als Domänenadministrator hinzugefügt werden und die Probleme fangen an...
Ich habe den Administrator (also der der sowieso da ist) kopiert und als "Obermuckl" benannt.

Kurz geprüft ob auch wirklich als Mitglied der Domänen Admins gelistet - alles ok.

 

Wenn ich mich jedoch nun als "DOMÄNE\Obermuckl" an egal welchem Server von beiden Anmelde, dann kann ich so einiges nicht tun was der Administrator jedoch kann.

Das stellt sich so dar, dass ich zwar im Dateisystem jeden vorhandenen Ordner sehen kann und auch alle nötigen Berechtigungen habe, wenn ich aber Beipielsweise eine Anwendung öffnen möchte kommt ein Promt ich hätte kein Recht.

Aufgefallen ist das auch erst nach einigen Tagen bei bestimmten Anwendungen. (SyncCredible, MDeamon, Mailstore usw...)

 

Kann man entgegen meiner Annahme den Domänen Administrator nicht einfach kopieren?
Gibt es da noch andere Rechte die ich völlig außer acht gelassen habe?
Ist meine Herangehensweise falsch?

Ich weiß im Moment keinen Rat, aber hoffe dass die Erfahrung hier am Board das Geheimnis lüften wird.
 

 

Vielen Dank vorab für Eure Zeit und Unterstützung!

 

 


Edith:
Die Systeme sind auf dem letzten Patchlevel.

Die UAC ist deaktiviert.

AV Software = Trend Micro WFBS Advanced

 

Link to comment

Vielen Dank für das schnelle Feedback.

 

Einzelberechtigungen sind im gesamten System nicht vorhanden - alles wird durch Gruppen geregelt.

 

So wie sich der Fall (bisher) darstellt, beschränkt sich das alles auf 3rd Party Software.

 

Meine Kollegen kennen das Phänomen wohl schon länger und haben Achselzuckend gemeint "Dann geht das wohl nicht.."

Finde ich b***d, schließlich sind ja wir die Admins... :-D

 

Zur sache mit der UAC:

Die sollte ja nur auf dem 2k12 Server wirken. Sync Credible läuft jedoch auf dem 2k3 mit dem Phänomen.
Ich schalte die im nächsten Wartungsfenster trotzdem mal ein und zu sehen ob sich irgenwas ändert.

Was genau ist das Problem mit dem Builtin Admin?
Habe ich was falsch gemacht?

 

Link to comment

Ich auch kein Freund davon es zu deaktivieren, gewisse Programme fordern  das  aber  ein  (neulich  z.B. der ePO-Server von Mcafee).

Das Problem bei 2012R2 ist, dass der Schieberegler UAC nicht komplett abschaltet. Dazu muss man zusätzlich noch etwas in die Registry eintragen:

 

https://gallery.technet.microsoft.com/Registry-Key-to-Disable-UAC-45d0df25

Link to comment

Wenn du den Prompt bestätigst, kannst du dann die Anwendung öffnen?

 

Ich habe mich falsch ausgedrückt:

Ich erhalte keinen Prompt der mich irgendwie interagieren lässt. Nur eine Meldung, dass der Zugriff verweigert wird.

(Checkbox mit rotem "x")

Ich auch kein Freund davon es zu deaktivieren, gewisse Programme fordern  das  aber  ein  (neulich  z.B. der ePO-Server von Mcafee).

Das Problem bei 2012R2 ist, dass der Schieberegler UAC nicht komplett abschaltet. Dazu muss man zusätzlich noch etwas in die Registry eintragen:

 

https://gallery.technet.microsoft.com/Registry-Key-to-Disable-UAC-45d0df25

 

Diesem Hinweis werde ich in jedem fall folgen. Danke!

 

Habe ich richtig verstanden, dass es besser ist die UAC aktiv zu lassen weil es sonst Probleme mit dem Explorer gibt?

(oder eben alternativ etwas wie den Total Commander verwenden)

Link to comment

Ich habe mich falsch ausgedrückt:

Ich erhalte keinen Prompt der mich irgendwie interagieren lässt. Nur eine Meldung, dass der Zugriff verweigert wird.

(Checkbox mit rotem "x")

Dann hat dein "Problem" aber nichts mit der UAC zu tun.

 

Neben NTFS-ACL Rechten und UAC (= eigentlich das sog. MIC Level) hat Windows 2012 noch einige weitere Security- bzw. Berechtigungssysteme eingebaut, z.B.

- privileges

- userrights

- dynamic access control (DAC)

- share rights

 

Ich vermute, dass deine Anwendung ein Privilege (z.B. "act as the operating system", "chnage the system time", "backup files" etc.) verlangt, das der kopierte Obermuckl nicht besitzt. Privileges und Userrights werden über die Securityeinstellungen in den Policies gesetzt (Locale GPO oder Domain GPO -> Windows Settings -> Security Settings -> User Rights Assignement). Schau da rein und du wirst einige Einstellungen finden, die nur der ursprüngliche Administrator bzw. die lokalen Administratoren der Maschine haben, aber nicht dein Obermuckl. Den Obermuckl kannst du ergänzen, bzw. den lokalen Administratoren hinzufügen. Welches Privilege genau fehlt, musst du wohl ausprobieren.

Priviliges werden nicht automatisch angepasst, wenn du den AdminAccount kopierst.

Soweit die technische Antwort (hoffentlich).

 

Securitytechnisch sollte man mit keinem Account arbeiten, der unnötigerweise erhöhte, kritische Privileges besitzt. bzw. für Anwendungen, die nicht genau erklären können, warum sie mit erhöhten Privileges gestartet werden müssen, sollte man eine Alternative suchen.

Aber wen interessiert schon Security, sobald's was kostet? Sei es nur Hirnschmalz.cool.gif

 

blub

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...