Jump to content

Rechte Problem auf DC

Antiprofi

Von Antiprofi
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Antiprofi Fellow

Antiprofi   10

Geschrieben
Geschrieben

Hallo,

 

wir haben ein kleines Rechte Problem auf unserem DC. Da auf dem Domaincontroller (wir sind ne kleine Firma) noch der Fileserver, Mailserver, DNS, DHCP und viele weitere Sachen laufen, haben wir nun ein kleines Problem mit unseren rechten.

 

Wir haben einen DomainAdmin-Account der auf dem Server läuft, und unter diesem Account den Filer eingerichtet, samt Verzeichnisse mit Freigaben. Jetzt haben wir das Problem wir kommen nicht mehr in den grössten Teil der Verzeichnisse rein. Zugriff verweigert.

 

Ich hab gesehen, das unser Account aus der Gruppe der DomainAdmins draussen ist und nur noch ITAdmin, DEAdmin usw. ist.

 

Wie kann ich dennoch auf die Verzeichnisse zugreifen, ohne das eine Hochstufung erfolgen muss?

 

Danke schon mal im Voraus.

 

Gruss

Link zu diesem Kommentar
macabros Experienced

macabros   10

Geschrieben
Geschrieben

Hi,

 

hast du dich schonmal mit Rechtevergaben befasst?

Ich frag mich was die DomainAdmin Gruppe damit zu tun hat?!

 

Wenn du User Zugriff auf bestimmte Freigaben geben willst dann erstell eine neue Gruppe z.B. Vertrieb. Gib Vertrieb nun in den Betreffenden Ordner -> Reiter Sicherheitseinstellungen "ändern" Rechte -> klick auf erweitert setz hacken in "... für alle unterordner übernehmen..."

 

Bitte nehme keine User in dei DomainAdmin Gruppe auf

 

greez

 

MacabroS

Link zu diesem Kommentar
mapulativ Proficient

mapulativ   10

Geschrieben
Geschrieben

Hi,

 

so ganz verstehe ich das Problem noch nicht. Kannst Du als Admin oder überhaupt niemand mehr zugreifen. Du kannst doch den DomainAdmin wieder zum Mitglied dieser Gruppe machen?!

 

Und ich muß macabros Recht geben. Die Mitgliedschaft in der Gruppe der DomainAdmins sollte recht restriktiv behandelt werden. Dann können solche Probleme nämlich nicht so ohne weiteres entstehen, denn irgend jemand muß den Account ja aus der Gruppe entfernt haben!

 

Gruß,

 

Mapulativ

Link zu diesem Kommentar
Antiprofi Fellow

Antiprofi   10

Geschrieben
  • Autor
Geschrieben

Oh ich glaube ich hab mein Problem nicht genau erklärt.

 

Ich wurde vor ein Problem gestellt, ...

 

Auf dem Server gibt es ein Unterverzeichnis mit dem Namen xyz, da runter hat jeder Mitarbeiter einen eigenen Ordner den nur er einsehen kann. Unter Sicherheitseinstellung war nur der Mitarbeitername sowie der DomainAdmin Name vertreten. So ist es nun auch. Der Mitarbeiter hat weiterhin einblick in seinen privaten Ordner doch ich komme nicht mehr rein!

 

Ich nehm natürlich keinen User in eine Gruppe auf.

 

Ich war mit meinem AdminAccount in der DomainAdmin Gruppe in der bin ich nicht mehr, und seit dem komme ich nicht mehr auf die privaten Ordner. Was aber vorher funktionierte.

 

Ich möchte wieder Zugriff haben. Egal was ich mache ich bekomme Zugriff verweigert. Seit dem mein AdminAccount aus der Gruppe DomainAdmins geflogen ist.

 

Bei uns hat kein User Admin Rechte.

 

Ich denke, wenn mein AdminAccount wieder hoch gestuft wird, dann hab ich auch wieder Zugriff.

Link zu diesem Kommentar
mapulativ Proficient

mapulativ   10

Geschrieben
Geschrieben

Also ich muß das mal sortieren: Ein privater Ordner auf den der jeweilige Mitarbeiter und der Account! (nicht die Gruppe, wie Du schreibst) DomainAdmin Zugriff hat. Wenn sonst keine Berechtigungen gesetzt waren, heißt das, dass Du mit diesem Account zugegriffen hast. Das hat doch erstmal nichts mit der Gruppe der DomainAdmins zu tun. Oder haust Du da was durcheinander. Ich könnte mir eher vorstellen, dass Dein Admin-Account Mitglied der Gruppe! DomainAdmins war, die Zugriff auf das entsprechende Verzeichnis hatte. Wenn Du da rausgeflogen bist, ist es richtig, dass Du da nicht mehr zugreifen kannst. Allerdings wirft das 2 Fragen auf? 1. Wieso bist du raus? und 2. Warum machst Du Dich nicht wieder zum Mitglied?

 

Gruß,

 

Mapulativ

Link zu diesem Kommentar
dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben

Ganz grundsätzlich: Private Ordner sind private Ordner, und darauf sollte ein Admin nicht einfach so zugreifen dürfen (Datenschutz, Privatsphäre). In sauber konfigurierten Umgebungen ist das von Dir geschilderte Problem kein Problem, sondern gewollte Zugriffspolitik.

 

In Notfällen (Mitarbeiter mit der Kasse verschwunden, Mitarbeiter hat Passwort vergessen etc.) gibt es für Admins die Möglichkeit, den Besitz über den/die betreffenden Ordner zu übernehmen, um die Daten zu retten. Anschliessend kann der Besitz wieder den betroffenen Angestellten zugewiesen und der Zugriff des Admins eingeschränkt werden.

Link zu diesem Kommentar
mapulativ Proficient

mapulativ   10

Geschrieben
Geschrieben

@dmetzger:

 

Klaro, grundsätzlich hast Du Recht :-). Die Praxis zeigt aber, dass es oft, sagen wir mal "bequemer" ist, Zugriff auch auf diese Daten zu haben. Dann liegt es unabhängig von Grundsätzen und empfohlenen Vorgehensweisen halt an der Arbeitsauffasung und Einstellung eines Sysadmins wie und ob er mit solchen Daten umgeht.

 

In diesem speziellen Fall muß man halt hinterfragen, was sich hinter einem "privaten" Ordner verbirgt, wie privat diese Daten sind.

 

Gruß,

 

Mapulativ

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...