Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
TN-TB

kopierten Domänen-Administrator fehlern offenbar Rechte

Empfohlene Beiträge

Ein herzliches Hallo liebes Board!

 

Ich hoffe die Suche korrekt bedient zu haben, fand aber leider nichst zu meinem Thema.

Mir ist vielleicht auch einfach nicht klar wie ich meine Suche formulieren soll. ;-)

 

Folgende Situation stellt sich dar:

 

kleines Firmennetzwerk mit 2 Servern in einem ESXi.

Der alte Server 2k3 Std. läuft noch da eine Anwendung noch nicht auf dem neuen Server 2k12 R2 Std. umgezogen werden kann.

Das AD wurde vom alten auf den neuen migriert, hat auch alles toll geklappt und funktioniert.

 

Nun soll ein zweiter Account als Domänenadministrator hinzugefügt werden und die Probleme fangen an...
Ich habe den Administrator (also der der sowieso da ist) kopiert und als "Obermuckl" benannt.

Kurz geprüft ob auch wirklich als Mitglied der Domänen Admins gelistet - alles ok.

 

Wenn ich mich jedoch nun als "DOMÄNE\Obermuckl" an egal welchem Server von beiden Anmelde, dann kann ich so einiges nicht tun was der Administrator jedoch kann.

Das stellt sich so dar, dass ich zwar im Dateisystem jeden vorhandenen Ordner sehen kann und auch alle nötigen Berechtigungen habe, wenn ich aber Beipielsweise eine Anwendung öffnen möchte kommt ein Promt ich hätte kein Recht.

Aufgefallen ist das auch erst nach einigen Tagen bei bestimmten Anwendungen. (SyncCredible, MDeamon, Mailstore usw...)

 

Kann man entgegen meiner Annahme den Domänen Administrator nicht einfach kopieren?
Gibt es da noch andere Rechte die ich völlig außer acht gelassen habe?
Ist meine Herangehensweise falsch?

Ich weiß im Moment keinen Rat, aber hoffe dass die Erfahrung hier am Board das Geheimnis lüften wird.
 

 

Vielen Dank vorab für Eure Zeit und Unterstützung!

 

 


Edith:
Die Systeme sind auf dem letzten Patchlevel.

Die UAC ist deaktiviert.

AV Software = Trend Micro WFBS Advanced

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das erste was du machen solltest ist die UAC wieder aktivieren.

Zu deinem Problem:

Dann ist der Administrator wahrscheinlich bei einigen Berechtigungen fest eingetragen. Also keine Gruppe, sondern eben nur der "Administrator".

 

Hast du das schon mal geprüft?

 

Hast du derartige Probleme nur bei Zusatzsoftware? Oder im System allgemein.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vielen Dank für das schnelle Feedback.

 

Einzelberechtigungen sind im gesamten System nicht vorhanden - alles wird durch Gruppen geregelt.

 

So wie sich der Fall (bisher) darstellt, beschränkt sich das alles auf 3rd Party Software.

 

Meine Kollegen kennen das Phänomen wohl schon länger und haben Achselzuckend gemeint "Dann geht das wohl nicht.."

Finde ich b***d, schließlich sind ja wir die Admins... :-D

 

Zur sache mit der UAC:

Die sollte ja nur auf dem 2k12 Server wirken. Sync Credible läuft jedoch auf dem 2k3 mit dem Phänomen.
Ich schalte die im nächsten Wartungsfenster trotzdem mal ein und zu sehen ob sich irgenwas ändert.

Was genau ist das Problem mit dem Builtin Admin?
Habe ich was falsch gemacht?

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich auch kein Freund davon es zu deaktivieren, gewisse Programme fordern  das  aber  ein  (neulich  z.B. der ePO-Server von Mcafee).

Das Problem bei 2012R2 ist, dass der Schieberegler UAC nicht komplett abschaltet. Dazu muss man zusätzlich noch etwas in die Registry eintragen:

 

https://gallery.technet.microsoft.com/Registry-Key-to-Disable-UAC-45d0df25

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn du den Prompt bestätigst, kannst du dann die Anwendung öffnen?

 

Ich habe mich falsch ausgedrückt:

Ich erhalte keinen Prompt der mich irgendwie interagieren lässt. Nur eine Meldung, dass der Zugriff verweigert wird.

(Checkbox mit rotem "x")

Ich auch kein Freund davon es zu deaktivieren, gewisse Programme fordern  das  aber  ein  (neulich  z.B. der ePO-Server von Mcafee).

Das Problem bei 2012R2 ist, dass der Schieberegler UAC nicht komplett abschaltet. Dazu muss man zusätzlich noch etwas in die Registry eintragen:

 

https://gallery.technet.microsoft.com/Registry-Key-to-Disable-UAC-45d0df25

 

Diesem Hinweis werde ich in jedem fall folgen. Danke!

 

Habe ich richtig verstanden, dass es besser ist die UAC aktiv zu lassen weil es sonst Probleme mit dem Explorer gibt?

(oder eben alternativ etwas wie den Total Commander verwenden)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich würde dann mal den Hersteller der Software kontaktieren und fragen, auf welche Verzeichnisse, DBs o.ä die Software Zugriff benötigt. Anschließend das Berechtigungskonzept überarbeiten und den RID500 überall entfernen, wo er nicht hin gehört.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich habe mich falsch ausgedrückt:

Ich erhalte keinen Prompt der mich irgendwie interagieren lässt. Nur eine Meldung, dass der Zugriff verweigert wird.

(Checkbox mit rotem "x")

Dann hat dein "Problem" aber nichts mit der UAC zu tun.

 

Neben NTFS-ACL Rechten und UAC (= eigentlich das sog. MIC Level) hat Windows 2012 noch einige weitere Security- bzw. Berechtigungssysteme eingebaut, z.B.

- privileges

- userrights

- dynamic access control (DAC)

- share rights

 

Ich vermute, dass deine Anwendung ein Privilege (z.B. "act as the operating system", "chnage the system time", "backup files" etc.) verlangt, das der kopierte Obermuckl nicht besitzt. Privileges und Userrights werden über die Securityeinstellungen in den Policies gesetzt (Locale GPO oder Domain GPO -> Windows Settings -> Security Settings -> User Rights Assignement). Schau da rein und du wirst einige Einstellungen finden, die nur der ursprüngliche Administrator bzw. die lokalen Administratoren der Maschine haben, aber nicht dein Obermuckl. Den Obermuckl kannst du ergänzen, bzw. den lokalen Administratoren hinzufügen. Welches Privilege genau fehlt, musst du wohl ausprobieren.

Priviliges werden nicht automatisch angepasst, wenn du den AdminAccount kopierst.

Soweit die technische Antwort (hoffentlich).

 

Securitytechnisch sollte man mit keinem Account arbeiten, der unnötigerweise erhöhte, kritische Privileges besitzt. bzw. für Anwendungen, die nicht genau erklären können, warum sie mit erhöhten Privileges gestartet werden müssen, sollte man eine Alternative suchen.

Aber wen interessiert schon Security, sobald's was kostet? Sei es nur Hirnschmalz.cool.gif

 

blub

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

WIe geschrieben: Bei 2012R2 muss zusätzlich EnableLUA auf "0" gesetzt werden, sonst ist UAC nicht vollständig deaktiviert.  Das merkt man dann, wenn Programme (Installer) meinen, sie hätten keine Adminrechte...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×