32
Lokaler Administrator hat auf einem Server Adminrechte
Hallo zusammen, entschuldigt bitte den Thread-Titel, aber mir ist leider kein besserer eingefallen. Ich hoffe, dass Ihr mir trotzdem helft ;)
Ich habe folgendes Problem:
Habe einen neuen Fileserver (Windows Server 2008 R2) hochgezogen um den alten Fileserver (noch auf Windows 2000) nach und nach umzuziehen.
Dabei wurde auch gleich das Berechtigungskonzept überdacht. Dies soll in Zukunft mit Access-Based-Enumeration erfolgen (nur Benutzer mit NTFS-Berechtigungen zum Lesen sehen den Unterordner der Freigabe auch)
Dies funktioniert soweit auch, die Benutzer sehen nur die Ordner, auf die sie NTFS-Leseberechtigungen haben.
Mein Benutzer sieht jedoch alle Unterordner auf diesem Server und kann Berechtigungen usw. bearbeiten. (Quasi als wäre er Administrator). Der Benutzer ist jedoch in keiner Administratorgruppe auf einem der DCs oder sonstwo hinterlegt. Der Befehl: gpresult bringt folgendes Ergebnis:
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
--------------------------------------------------
Domänen-Benutzer
Jeder
Administratoren
Benutzer
INTERAKTIV
Authentifizierte Benutzer
LOKAL
Habe im ADS alle Gruppen durchsucht und auch im Benutzer selber sind keine Berechtigungen vergeben.
Melde ich mich mit diesem Benutzer auf einem anderen Rechner an, funktioniert das Ganze wieder. Dann sehe ich nur die mir freigegebene Ordner.
Ich blick da nicht mehr ganz durch und hoffe ihr könnt mir helfen ;)
Gruß René
Habe einen neuen Fileserver (Windows Server 2008 R2) hochgezogen um den alten Fileserver (noch auf Windows 2000) nach und nach umzuziehen.
Dabei wurde auch gleich das Berechtigungskonzept überdacht. Dies soll in Zukunft mit Access-Based-Enumeration erfolgen (nur Benutzer mit NTFS-Berechtigungen zum Lesen sehen den Unterordner der Freigabe auch)
Dies funktioniert soweit auch, die Benutzer sehen nur die Ordner, auf die sie NTFS-Leseberechtigungen haben.
Mein Benutzer sieht jedoch alle Unterordner auf diesem Server und kann Berechtigungen usw. bearbeiten. (Quasi als wäre er Administrator). Der Benutzer ist jedoch in keiner Administratorgruppe auf einem der DCs oder sonstwo hinterlegt. Der Befehl: gpresult bringt folgendes Ergebnis:
Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
--------------------------------------------------
Domänen-Benutzer
Jeder
Administratoren
Benutzer
INTERAKTIV
Authentifizierte Benutzer
LOKAL
Habe im ADS alle Gruppen durchsucht und auch im Benutzer selber sind keine Berechtigungen vergeben.
Melde ich mich mit diesem Benutzer auf einem anderen Rechner an, funktioniert das Ganze wieder. Dann sehe ich nur die mir freigegebene Ordner.
Ich blick da nicht mehr ganz durch und hoffe ihr könnt mir helfen ;)
Gruß René
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 162695
Url: https://administrator.de/contentid/162695
Printed on: April 24, 2024 at 11:04 o'clock
32 Comments
Latest comment
Wenn ich das jetzt richtig verstanden habe, liegt es an der >Administrator<-Gruppe.
Ja aber das Problem ist dass ich nicht weiss, wo er sih diese gruppe bezieht. Es muss meiner Meinung nach auch irgendwas mit dem Rechner zu tun haben. Anmelden an einem anderen Rechner behebt das Problem. Umbenennen und neueinfügen des Problemrechners in die Domäne leider nicht...
Gruß Renė
Gruß Renė
Lokale Gruppe der Administratoren eventuell?
Ja der Benutzer ist in den lokalen Administratoren, aber selbst wenn ich ihn dort lösche geht es nicht.
Meldest du dich dann als lokaler oder als Dom-Admin an?
Ich melde mich als lokaler Admin an (normaler Benutzer-Account)
Könnte es vielleicht sein, dass Du die Verbindung auf Deinem Rechner schon einmal mit anderen Benutzerdaten hergestellt hast und diese Daten noch gespeichert sind?
Der Domänen-Admin war auf dem Rechner schonmal angemeldet.
Diese Antwort interpretiere ich jetzt so, dass Du sagst, Du oder jemand anderes hast bzw. hat sich schon einmal als Domänen-Admin mit eigenem Profil auf dem Rechner angemeldet. Das ist aber nicht das, was ich meine. Ich denke an die Verbindungsherstellung zu der Freigabe unter anderen Benutzerdaten als denen, mit denen man am Rechner angemeldet ist. Beispielsweise melde ich mich am Rechner als "beispieldomäne\mustermann" mit Passwort "max" an, stelle dann aber die Verbindung zum Netzlaufwerk mit den Benutzerdaten "beispieldomäne\administrator" mit Passwort "passwort" her. Wird jetzt das Passwort gecacht, dann habe ich zukünftig unter Umständen vollen Zugriff...
Ah okay jetzt habe ich verstanden. Da schau ich Morgen gern nochmal rein, das istne gute Idee. Eigentlich werden die Netzlaufwerke ohne Benutzername verbunden aber man weiß ja nie. Schonmal vielen Dank für die Hilfe.Falls jemand noch eine andere Idee hat immer her damit. Ich schau Morgen nohnal und melde mich dann. Gute Nacht
Also hab geschaut und Verbindung ist unter meinem Benutzernamen hergestellt worden. Das wars also auch nicht.
Sonst keiner eine Idee? Bin echt am Verzweifeln...
Mal ganz primitiv gefragt: Auf dem Server existiert kein lokales Administratorkonto mit dem selben Namen und Passwort?!
Nein, schön wärs gewesen. Die einzigsten Konten auf dem Server sind der lokale Admin und der Domänen-Admin.
Habe mal zum Testen einen neuen Ordner "test" angelegt, auf den nur der Domänenadministrator Berechtigungen hat.
Kann den Ordner jedoch trotzdem mit dem betroffenen User-Profil sehen.
Wo könnten denn noch die Admin-Informationen hinterlegt sein?
Wo kann ich sehen, woher die Rechte (siehe gpresult Ergebnisse im 1. Post) herkommen?
Bin echt am Verzweifeln
Kann den Ordner jedoch trotzdem mit dem betroffenen User-Profil sehen.
Wo könnten denn noch die Admin-Informationen hinterlegt sein?
Wo kann ich sehen, woher die Rechte (siehe gpresult Ergebnisse im 1. Post) herkommen?
Bin echt am Verzweifeln
Niemand mehr eine Idee? Meiner Meinung nach muss es doch eigentlich am lokalen Rechner liegen. Weil wenn ich mich auf einem anderen Rechner anmelde, ist die Berechtigung weg. Wo werden denn lokal noch Benutzereinstellungen (wo eventuell der Admin hinterlegt ist) gespeichert?
Hi.
Der Titel "Lokaler Administrator hat auf einem Server Adminrechte" trifft den Sachverhalt doch keineswegs. Du siehst von einem Clientrechner aus Ordner, die ABE eigentlich unsichtbar machen sollte. Du schreibst nicht einmal, ob der User darauf Zugriff hat, oder nicht - denn sehen allein heißt doch nicht zugreifen. Prüf das.
Der Titel "Lokaler Administrator hat auf einem Server Adminrechte" trifft den Sachverhalt doch keineswegs. Du siehst von einem Clientrechner aus Ordner, die ABE eigentlich unsichtbar machen sollte. Du schreibst nicht einmal, ob der User darauf Zugriff hat, oder nicht - denn sehen allein heißt doch nicht zugreifen. Prüf das.
Hi ich hab doch geschrieben ih weiss nicht wie ich es anders ausdrücken soll ;) Ich sehe die Ordner aber kann sie auch löschen, berechtigungen ändern, obwohl nur der Adminietrator Berechtigungen besitzt.
Was mich halt stutzig macht ist dass es nicht so ist, wenn ich mich an einem anderrn Rechner anmelde.
LG renė
Was mich halt stutzig macht ist dass es nicht so ist, wenn ich mich an einem anderrn Rechner anmelde.
LG renė
Das ist ganz klar ein Defekt. Prüf noch ergänzend, ob Dein Benutzeraccount, welches defacto löschen kann, "offiziell" löschen darf. Geh dazu in die effektiven Berechtigungen einer Datei auf dem Reiter Sicherheit - erweitert.
Also hab eben geschaut, nur der Administrator darf löschen. Von meinem Benuutzeraccount ist garnichts hinterlegt.
Hab letzt auch getestet, selbst wenn ich meinem Benutzer alle Rechte verweigere, hab ich weiterhin vollzugriff. Ausser wenn ich auf einem anderen Rechner angemeldet bin, dort geh alles. Muss doch dann irgend ne Einstellung an meim Rechner sein, oder irre ich mich?
Hab letzt auch getestet, selbst wenn ich meinem Benutzer alle Rechte verweigere, hab ich weiterhin vollzugriff. Ausser wenn ich auf einem anderen Rechner angemeldet bin, dort geh alles. Muss doch dann irgend ne Einstellung an meim Rechner sein, oder irre ich mich?
Du irrst Dich, das ist ein Defekt. Man kann nicht einstellen "NTFS-Rechte, bitte spielt mal verrückt".
Sorry aber das versteh ich nich. Was soll denn da defekt sein? es is ja nur auf einem rechner so. Ergibt für mich keinen Sinn. Bitte klär mich auf und sag mir was ich tun kann 
Du glaubst, es wäre "eine Einstellung" - aber so eine Einstellmöglichkeit ergäbe keinen Sinn und es gibt sie nicht. Wenn es auf anderen Rechnern geht, dann ist diese Installation defekt. Irgendwie übermittelt sie falsche Anmeldeinformationen, die sie sonstwo gecachet hat - und das darf sie nicht tun.
Es sei denn, Du hast die Anmeldeinfos eines Admins absichtlich gespeichert (Netzwerkkennwörter). Du hast schon geschriebn "die Verbindung wird unter meinem Namen hergestellt" - dürfte also nicht gegeben sein.
Es sei denn, Du hast die Anmeldeinfos eines Admins absichtlich gespeichert (Netzwerkkennwörter). Du hast schon geschriebn "die Verbindung wird unter meinem Namen hergestellt" - dürfte also nicht gegeben sein.
Wenn die Daten irgendwo gespeichert sind is das doch aber kein defekt? aber ist ja auch egal ob defekt oder nicht, würde nur gerne herausfinden, wie ich den fehler beheben kann. Wollen den Server demnächst umstellen und man kann sih ja denken, was passieren kann, wenn ein user die falschen rechte hat. würde sowas halt gerne verhindern. wäre schön, wenn du mir eventuell eine hilfestellung zum beheben des fehlers geben könntest.
Wenn auf Dem Server nach Eingabe des Befehls "net sessions" das selbe Nutzerkonto auftaucht, egal ob von dem "defekten" oder vom normalen Cleint aus verbunden, dann solltest Du den Client aus dem Verkehr ziehen=neu installieren.
Ich schaus mir morgen mal an und geb dann bescheid. danke schonmal fur die hilfe. gn8
Sorry, bin jetzt erst dazu gekommen.
Ergebnis von net session:
\\10.81.1.4 ADMINISTRATOR Windows 2002 S... 3 00:00:16
Erstaunt mich doch sehr. Also meldet sich mein Client doch mit Administratorenrechten an. Hat jemand eine Idee?
LG René
Ergebnis von net session:
\\10.81.1.4 ADMINISTRATOR Windows 2002 S... 3 00:00:16
Erstaunt mich doch sehr. Also meldet sich mein Client doch mit Administratorenrechten an. Hat jemand eine Idee?
LG René
Du hast zwischengespeicherte Anmeldeinfos. Kontrollier das erneut ->gespeicherte Netzwerkkennwörter anschauen.
Hab mit dem Tool rundll32 keymgr.dll, KRShowKeyMgr die Logininformationen gelöscht. War ein Eintrag vom besagten Server vorhanden (ich vermute von RDP). Leider hat das das Problem noch nicht behoben. Logge mich mit RDP über den Administratorenaccount an nicht mit meinem Benutzer.
LG René
LG René
Neustart beider Geräte ist zur Sicherheit erfolgt?
Hast Du die Vererbung von Verzeichnisrechten auch ausgeschaltet?
Was sagt der Eigenschaftsdialog beim Ordner mit dem du die effektiven Berechtigungen prüfen kannst?
Was sagt der Eigenschaftsdialog beim Ordner mit dem du die effektiven Berechtigungen prüfen kannst?
Soo Neustart Server und Rechner.
Und siehe da: ES FUNKTIONIERT!!!
Problem lag wohl an den gespeicherten Admindaten im RDP. Muss ich dort halt leider immer die Daten eingeben.
Vielen Dank für deinen Support.
LG René
Und siehe da: ES FUNKTIONIERT!!!
Problem lag wohl an den gespeicherten Admindaten im RDP. Muss ich dort halt leider immer die Daten eingeben.
Vielen Dank für deinen Support.
LG René
