Jump to content

Robocopy und Kopieren von NTFS-ACL => das kann doch nicht sein?!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich habe hier eine Konstellation, die doch eigentlich, wenn ich die Konzepte richtig verstanden und im Hinterkopf habe nicht sein dürfte:

Domain A und Domain B, beides 2k-Domains, beide getrustet, in Domain B steht ein 2k-Member-Server, der in der ACL einer NTFS-Ressource einen Eintrag einer Local-Domain-Group von Domain A hat!!! :shock:

 

Also, wenn Domain A eine Local-Domain-Group hat sollte die doch in keiner anderen Domain sichtbar bzw. aufzulösen sein (auch dann nicht wenn ich an einer Domain-B-Maschine mit einem Domain-Admin von Domain A angemeldet bin). Ich kann diese Gruppe manuell jedenfalls in keiner anderen NTFS-ACL dieser Maschine eintragen, da ich natürlich nur Global-Domain-Groups von Domain A aufgelöst kriege, und umgekehrt kann ich logischerweise in diese komische ACL auch keine anderen Local-Domain-Groups von Domain A reinpacken... :rolleyes:

Wie kann es sein, daß eine Local-Domain-Group nun in einer NTFS-ACL dieser Maschine aus Domain B auftaucht?? :suspect:

 

Das einzige was auffällig an dieser NTFS-Ressource ist, daß ich diese mit Robocopy von dem alten Server, der noch in Domain A stand, inklusive aller NTFS-Rechte rüberkopiert hatte. Kann es also sein, daß Robocopy über irgendeinen API-Call einfach ohne Rücksicht auf die Systematik konsequent alle SID-Einträge rüberschiebt? Daß diese SID aufgelöst wird kann ich mir dann nur so erklären, daß der User mit dem ich mich angemeldet habe ein Domain-Admin aus Domain A ist (aus B nicht, aber dafür lokaler Admin auf dem neuen Server). Und mein User aus Domain B ist dort zwar kein Admin, dafür aber auf der Maschine und in Domain A. Ich könnte mich testweise natürlich mal mit'nem lokalen User da anmelden und schauen, ob er die SID dann noch aufgelöst kriegt...

:confused: :D

 

Find ich echt merkwürdig...was meinen denn bitte die MCSE'ler und sonstige Spezis hier an Board so dazu?

:rolleyes:

Link to comment
:shock:

Bist Du Dir sicher, dass das wirklich eine LocalDomainGroup der Trusted domain ist ?

 

110%!!! Ich habe mir das in der MMC Users and Computers nochmal genau angeschaut, auch mit 2 Kollegen zusammen...es ist wirklich eine LocalDomainGroup

 

Mit welchem Account lief denn der robocopy-Job ?

 

Mit einem Domain-Admin-Account der Domain A, der in der lokalen Admin-Gruppe des neuen Server aus Domain B eingetragen ist.

Aber wenn du mich so fragst...ich weiss grad net mehr auf welcher Maschine ich den Befehl ausgeführt habe, meine mich aber zu erinnern, daß ich es auch auf dem neuen Server ausgeführt habe. Müsste ich morgen nochmal genau anschauen.

Wobei das aber keinen Unterschied machen sollte, denn die Domain-A-LocalGroup konnte ich auch nicht irgendwo anders hinzufügen, wenn ich mit meinem Account von einer Domain-A-Maschine per Freigabe auf diesen Server aus Domain B per Ordner-Eigenschaften/Sicherheit das testweise machen wollte. Hatte um auf Nummer Sicher zu gehen auch mit Copy-Paste gearbeitet: die Gruppe wird nicht gefunden...

Ich kapier's einfach nicht... :confused: :suspect:

Link to comment

So,

 

ich hab's grad nochmal getestet:

Datei erstellt auf Maschine in Domain A, ACL so angepasst, daß eine LocalDomainGroup von Domain A drinne ist. Dann Robocopy mit Parameter /SEC angeschmissen, um die Datei auf den Server von Domain B zu kopieren

 

==> die LocalDomainGroup von A ist in der ACL vom Server aus Domain B drin!! :shock:

 

Über Dateieigenschaften/Sicherheit lässt sich die nicht hinzugefügen, mit Robocopy gehts. Wenn das mal nicht ein lustiger Bug ist?!

:D

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...