4
NTFS Sicherheitsberechtigung nach Neuinstallation defekt ?
Hallo zusammen,
ich habe ein Problem mit einem File-Server. Der Server wollte nach einem Reboot einfach nicht mehr starten. Man kam noch nichtmal zu dem Auswahlpunkt für die Systemreparatur.
Also dachte ich mir da die Daten auf dem zweiten RAID liegen kann ich den Server ja einfach neu installieren.
Ich hab den Server dann händisch aus der Domäne geworfen ihn neu installiert mit demselben Namen und die Freigaben wieder eingerichtet. Die ACL's funktionieren auch noch alle eigentlich. Also User haben keine Probleme auf ihre Dateien zuzugreifen.
Nur die Administratoren nicht
Das Problem war schon nach der Neuinstallation das er mich nicht auf das Root-Verzeichnis der Festplatte lassen wollte. Ich komme über die administrative Freigabe auf alles dahinter drauf. Allerdings kommt vorher noch das Fenster das ich momentan keinen Zugriff habe und bestätigen muss dauerhaften Zugriff zu erhalten. Das muss ich jetzt bei jedem Ordner tun den es auf dem Server gibt.
Wenn ich danach in die ACL schaue sehe ich das mein User jetzt drinsteht und ich auch dran komme. Aber die Gruppe Administratoren hat ja auch Zugriff darauf. Und in der bin ich ja auch drin. Ich hab halt irgendwie das Gefühl das er die Zuordnung der Domänen-Admins zu den lokal-Admins nicht ganz hinbekommt.
Die Vererbung kann ich leider nicht benutzen, auf dem Server sind ca 300000 Ordner und etwa 8 Mio. Dateien. Alle speziell eingerichtet für die User. Wenn ich da von Root vererbe bin ich mehrere Wochen beschäftigt das wieder so einzurichten wie vorher.
Ich schätze mal das Problem liegt daran das ich den Server wieder gleich benannt habe und die lokale Administratoren-Gruppe eine andere SID hat als die vom alten Server.
Ich wüßte jetzt aber auch nicht wie ich das berichtigen kann ohne mir die komplette ACL-Struktur zu killen.
Hat jemand von euch da vielleicht ne Idee zu ?
Gruß
Beowulf
ich habe ein Problem mit einem File-Server. Der Server wollte nach einem Reboot einfach nicht mehr starten. Man kam noch nichtmal zu dem Auswahlpunkt für die Systemreparatur.
Also dachte ich mir da die Daten auf dem zweiten RAID liegen kann ich den Server ja einfach neu installieren.
Ich hab den Server dann händisch aus der Domäne geworfen ihn neu installiert mit demselben Namen und die Freigaben wieder eingerichtet. Die ACL's funktionieren auch noch alle eigentlich. Also User haben keine Probleme auf ihre Dateien zuzugreifen.
Nur die Administratoren nicht
Das Problem war schon nach der Neuinstallation das er mich nicht auf das Root-Verzeichnis der Festplatte lassen wollte. Ich komme über die administrative Freigabe auf alles dahinter drauf. Allerdings kommt vorher noch das Fenster das ich momentan keinen Zugriff habe und bestätigen muss dauerhaften Zugriff zu erhalten. Das muss ich jetzt bei jedem Ordner tun den es auf dem Server gibt.
Wenn ich danach in die ACL schaue sehe ich das mein User jetzt drinsteht und ich auch dran komme. Aber die Gruppe Administratoren hat ja auch Zugriff darauf. Und in der bin ich ja auch drin. Ich hab halt irgendwie das Gefühl das er die Zuordnung der Domänen-Admins zu den lokal-Admins nicht ganz hinbekommt.
Die Vererbung kann ich leider nicht benutzen, auf dem Server sind ca 300000 Ordner und etwa 8 Mio. Dateien. Alle speziell eingerichtet für die User. Wenn ich da von Root vererbe bin ich mehrere Wochen beschäftigt das wieder so einzurichten wie vorher.
Ich schätze mal das Problem liegt daran das ich den Server wieder gleich benannt habe und die lokale Administratoren-Gruppe eine andere SID hat als die vom alten Server.
Ich wüßte jetzt aber auch nicht wie ich das berichtigen kann ohne mir die komplette ACL-Struktur zu killen.
Hat jemand von euch da vielleicht ne Idee zu ?
Gruß
Beowulf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 166742
Url: https://administrator.de/contentid/166742
Printed on: April 19, 2024 at 02:04 o'clock
4 Comments
Latest comment
Hast Du mal geschaut, welche Benutzer in der lokalen Admin-Gruppe sind?
Sind die Zugffsrechte für die Domänenadmins vergeben oder nur für die lokalen Admins?
Du könntest ggf. über die Shell die Zugriffsrechte für die Domänen-Admins hinzufügen.
lks
Hi,
ja in der lokalen Admin-Gruppe sind die Domänen-Admins drin.
Und vergeben waren die Rechte immer für die Lokal-Admins.
Auf die Root-Ebene hatte ich wieder Zugriff nachdem ich explizit für meinen Account auf der Rootebene ohne Unterordner den Zugriff wieder gesetzt habe. Und jetzt kommt halt bei jedem Ordner den ich anwähle die Meldung das ich keinen Zugriff und ob ich mir den geben will. Bestätige ich das wird halt mein Account in die ACL eingetragen und ab dann kann ich da auch wieder ran. Aber das ist bei so vielen Ordnern ja auch nicht Sinn der Sache und meine Kollegen haben dadurch auch noch keinen Zugriff.
Kommandozeile hatte ich auch schon gedacht aber dann müsste ich ja erstmal mit takeown alle Besitzrechte übernehmen für die paar Mio. Dateien. Das würde ich eigentlich gerne umgehen.
Kennst du denn ein Tool mit dem man in allen ACL's eine Gruppe austauschen kann ?
Gruß
Beowulf
ja in der lokalen Admin-Gruppe sind die Domänen-Admins drin.
Und vergeben waren die Rechte immer für die Lokal-Admins.
Auf die Root-Ebene hatte ich wieder Zugriff nachdem ich explizit für meinen Account auf der Rootebene ohne Unterordner den Zugriff wieder gesetzt habe. Und jetzt kommt halt bei jedem Ordner den ich anwähle die Meldung das ich keinen Zugriff und ob ich mir den geben will. Bestätige ich das wird halt mein Account in die ACL eingetragen und ab dann kann ich da auch wieder ran. Aber das ist bei so vielen Ordnern ja auch nicht Sinn der Sache und meine Kollegen haben dadurch auch noch keinen Zugriff.
Kommandozeile hatte ich auch schon gedacht aber dann müsste ich ja erstmal mit takeown alle Besitzrechte übernehmen für die paar Mio. Dateien. Das würde ich eigentlich gerne umgehen.
Kennst du denn ein Tool mit dem man in allen ACL's eine Gruppe austauschen kann ?
Gruß
Beowulf
Vielleicht liest das hier nochmal jemand der mir helfen kann.
Ich habe jetzt die Datenplatte gebackuped die Platte formatiert und alle Verzeichnisse ohne SIcherheitsberechtigung wiederhergestellt. Somit war die Platte wieder richtig eingestellt und alle Verzeichnisse hatten dieselben NTFS-Sicherheitseinstellungen. Damit war der Zugriff für alle Administratoren wiederhergestellt.
Nachdem ich jetzt angefangen habe die alten Berechtigungen wiederherzustellen fängt es wieder an.
Ich muss jedes mal bestätigen wenn ich wieder in ein Verzeichnis rein will.
Lustigerweise kann ich aber über eine als Administrator ausgeführte Kommandozeile an alles dran. Leider funktioniert der Trick mit ausführen als nicht mit dem Windows-Explorer.
Es passiert aber auch nicht bei allen Verzeichnissen.
Das ist echt komisch. SO ein Dreck.
Ich hab keine Idee was ich noch versuchen könnte ?
Jemand hier noch eine Idee ?
Gruß
Beowulf
Ich habe jetzt die Datenplatte gebackuped die Platte formatiert und alle Verzeichnisse ohne SIcherheitsberechtigung wiederhergestellt. Somit war die Platte wieder richtig eingestellt und alle Verzeichnisse hatten dieselben NTFS-Sicherheitseinstellungen. Damit war der Zugriff für alle Administratoren wiederhergestellt.
Nachdem ich jetzt angefangen habe die alten Berechtigungen wiederherzustellen fängt es wieder an.
Ich muss jedes mal bestätigen wenn ich wieder in ein Verzeichnis rein will.
Lustigerweise kann ich aber über eine als Administrator ausgeführte Kommandozeile an alles dran. Leider funktioniert der Trick mit ausführen als nicht mit dem Windows-Explorer.
Es passiert aber auch nicht bei allen Verzeichnissen.
Das ist echt komisch. SO ein Dreck.
Ich hab keine Idee was ich noch versuchen könnte ?
Jemand hier noch eine Idee ?
Gruß
Beowulf
Ok also ich bin schonmal soweit das ich festgestellt habe wenn ich die lokale Benutzer-Gruppe hinzufüge komme ich auch wieder als Admin dran.
Das liegt wohl irgendwie daran das ich keine Chance haben den WIndows-Explorer als Admin zu starten. Weil der Explorer-Prozess schon beim Windows-Start geladen wird und alle Child-Prozesse die ich danach aufrufe mit den gleichen Berechtigungen laufen.
Abhilfe konnte ich mir jetzt schaffen in dem ich einen alternativen Dateibrowser installiert habe.
Den kann ich als Admin starten und dann durch die Verzeichnisse gehen. Ist zwar ein unschöner Umweg aber ne bessere Lösung kann ich nicht finden.
Gruß
Beowulf
Das liegt wohl irgendwie daran das ich keine Chance haben den WIndows-Explorer als Admin zu starten. Weil der Explorer-Prozess schon beim Windows-Start geladen wird und alle Child-Prozesse die ich danach aufrufe mit den gleichen Berechtigungen laufen.
Abhilfe konnte ich mir jetzt schaffen in dem ich einen alternativen Dateibrowser installiert habe.
Den kann ich als Admin starten und dann durch die Verzeichnisse gehen. Ist zwar ein unschöner Umweg aber ne bessere Lösung kann ich nicht finden.
Gruß
Beowulf
