Jump to content
jimmyone

W2K19 - Seltsames Verhalten mit Freigaben

Recommended Posts

Hallo Zusammen,

ich habe in meiner DEV oder Demo Umgebung einen Windows Server 2019 Standard installiert.

Nun habe ich etwas bemerkt, was ich persönlich so nicht kenne.

 

Lokaler Admin:

Im Test für einen zukünftigen Fileserver habe ich ein Testvolume aus unserem Storage angebunden.

Im Anschluss habe ich einen Ordner erstellt und habe simuliert, das es sich dabei um das persönliche Verzeichnis eines Mitarbeiters handelt. In this case: Me.

 

Berechtigungen sind folgende:
 

Zitat

 

Lokale Administratorengruppe: Vollzugriff

Mein Domänenbenutzer: Ändern

System: Vollzugriff.

 

Als Besitzer ist die lokale Administratorengruppe hinterlegt.

 

Im Anschluss habe ich eine Freigabe erzeugt und dann mit meinem Domänen Benutzer den Zugriff und das Handling getestet.

Bis hier hin ein normales Verhalten und keine Probleme.

 

Da aber nicht jeder über den lokalen Admin verfügt, sondern es durchaus Gruppen gibt wie die Domänen-Admins oder wie bei uns die Fileserver Admins

habe ich diese Gruppen jeweils den lokalen Administratoren hinzugefügt. Naturgemäß war durch den Join zur Domäne die Gruppe Domänen-Admins bereits vorhanden.

 

Nach erneuter Anmeldung an den Server als Mitghlied einer der beiden Gruppen, ob Fileserver Admins oder Domänen-Admins ist egal, hat dieser Benutzer keinen Zugriff

auf die Ordner und auch nicht auf seine Eigenschaften. Der Reiter Sicherheit meldet, das keine Lesende Berechtigung vorliegt.

Seltsam an der Sache ist, das der angemeldete Benutzer aber Mitglied der loaklen Administratoren Gruppe ist, durch Zugehörigkeit zu einer anderen Gruppe und somit Zugriff haben müsste.

 

Wenn ich nun Zugriff auf den Ordner nehmen will, wird eine Meldung eingeblendet, die mich auffordert "Weiter" zu klicken um hier mit Administratorenrechten zu arbeiten.

Klicke ich dann auf Weiter komme ich an den Ordner und seine Inhalte dran. Allerdings wird der Registerkarte Sicherheit mein Benutzer dann als Vollzugriff hinzugefügt.

 

Dieses Verhalten stelle ich so für mich erstmalig fest. Auf meinem aktuellen Fileserver (W2K12) ist das so nicht der Fall.

Wenn ich mich dort als Mitglieder einer der beiden Gruppen anmelde ist der Zugriff gewährt ohne Rückfrage und das hinzufügen des Benutzers.

Kennt ihr das beschriebene Verhalten?

 

Wir planen den Umstieg von Server 2012 weil Ende 2020 unser Supportvertrag für diese Betriebssystemgeneration ausläuft.

Dann liegt natürlich die Idee nahe dies mit dem aktuellen Release zu machen. Mit Server 2016 habe ich das o.a. Verhalten nicht überprüft.

 

Das System hat Stand: 10.0.17763

 

Grüße

Jimmyone

 

 

Edited by jimmyone

Share this post


Link to post
Share on other sites

Hi testperson,

 

erst mal vielen Dank für die Beteiligung an dem Anliegen.

Aber die UAC gabs doch 2012 auch schon. Und der Fileserver 2012 verhält sich nicht so wie oben beschrieben.

Das wundert mich ein wenig.

 

Ich analysiere das nochmal weiter, was wir auf dem 2012 anders gemacht haben.

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb jimmyone:

Ich analysiere das nochmal weiter, was wir auf dem 2012 anders gemacht haben.

Evtl. die UAC ausgeschaltet / angepasst und / oder mit dem Built-In Admin gearbeitet?

Share this post


Link to post
Share on other sites

Never ending story - das elevated Token... Da hat entweder MS was falsch erklärt - oder (meine Vermutung) die meisten Admins verstehen nicht, was ein Token ist und warum es restricted sein könnte :-)

  • Like 1

Share this post


Link to post
Share on other sites

Normal ist das aber eigentlich nicht, dass man keine Berechtigung auf Files hat. Weil es wird in diesem Fall ja nicht dem Administrator selbst die Berechtigung gegeben, sondern einer Gruppe. Wenn der Admin in dieser Gruppe ist, muss er auch ohne UAC-Freigabe Zugriff bekommen. UAC braucht er ja nur, wenn BuilIn Admin-Rights notwendig sind.

Das Verhalten gibt es eigentlich nur, wenn der Admin bzw. die Gruppe in der er steckt eigentlich keine Berechtigung hat, man diese aber mittels dem BuiltIn Admin erzwingen will. Zumindest war das sicher bis 2012R2 noch so.

 

Ich würde mal eine eigene File-Zugriff-Gruppe erstellen und die Admin-Gruppen wie Domain-Admins da reinpacken oder die ADM-User selbst. Dann dieser Gruppe File-Zugriff geben. Wens dann immer noch nicht geht, muss irgendwo was falsch an Berechtigungen vergeben worden sein (Freigabe oder NTFS).

 

Allerdings ist das Verhalten von Freigaben unter 2019 wohl etwas anders geworden. Gibt wohl allerlei SideEffects mit Admin-Accounts wenn ma sich so durchs Internet liest. Ob das Verhalten gewollt oder Bugs sind die mittlerweile gepatched sind, kann ich nicht sagen. Bin jeweils immer noch auf 2012R2 (weil mich Cortana und Telemetrie-Krempel auf Servern mit Desktop Experience nervt - Mehr Zeugs drinn als in einem W10 LTSC)

Edited by Weingeist

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...