6
Windows Server 2012 R2 nach DC promoten kein Zugriff auf Laufwerk D
Hallo Admins
Wir haben ein Phänomen in der Umgebung das mir Rätsel aufgibt.
Sind grad dabei an verschiedenen Standorten DC's auf 2012 R2 zu migrieren. Sie haben alle ein D Laufwerk. Bis zum Promoten ist alles OK, danach gibt es für Mitglieder der Gruppe Domänenadmins die wiederum Mitglied der Gruppe Administratoren ist kein Zugriff auf das D Laufwerk. Die Gruppe Administratoren sind natürlich berechtigt und ein alter Hauptadmin account (seit NT Zeiten) hat auch Zugriff, aber er unterscheidet sich marginal von den neueren Domänadmin Accounts.
Meldung: Der Pfad ist nicht verfügbar / Auf D:\ kann nicht zugegriffen werden. Zugriff verweigert.
Wenn man einen User direkt Berechtigt hat dieser auch Zugriff, aber warum haben Mitglieder der Gruppe Administratoren keinen obwohl diese eigentlich sauber Berechtigt sind.
Struktur und Funktionsebene ist noch 2003, kann auch nicht eben geändert werden, benötige nur eine Erklärung
-Tritt nur ab Server 2012 auf
-nach dem promoten zum DC
-explizite Berechtigung gewährt zugriff
Woran liegt das und hat jemand ähnliche Erfahrungen gemacht?
Danke
Grüße atroX
Wir haben ein Phänomen in der Umgebung das mir Rätsel aufgibt.
Sind grad dabei an verschiedenen Standorten DC's auf 2012 R2 zu migrieren. Sie haben alle ein D Laufwerk. Bis zum Promoten ist alles OK, danach gibt es für Mitglieder der Gruppe Domänenadmins die wiederum Mitglied der Gruppe Administratoren ist kein Zugriff auf das D Laufwerk. Die Gruppe Administratoren sind natürlich berechtigt und ein alter Hauptadmin account (seit NT Zeiten) hat auch Zugriff, aber er unterscheidet sich marginal von den neueren Domänadmin Accounts.
Meldung: Der Pfad ist nicht verfügbar / Auf D:\ kann nicht zugegriffen werden. Zugriff verweigert.
Wenn man einen User direkt Berechtigt hat dieser auch Zugriff, aber warum haben Mitglieder der Gruppe Administratoren keinen obwohl diese eigentlich sauber Berechtigt sind.
Struktur und Funktionsebene ist noch 2003, kann auch nicht eben geändert werden, benötige nur eine Erklärung
-Tritt nur ab Server 2012 auf
-nach dem promoten zum DC
-explizite Berechtigung gewährt zugriff
Woran liegt das und hat jemand ähnliche Erfahrungen gemacht?
Danke
Grüße atroX
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 264757
Url: https://administrator.de/contentid/264757
Printed on: April 16, 2024 at 19:04 o'clock
6 Comments
Latest comment
Ihr verteilt bestimmt nach GPO/GPP, in 2003 war das ja nur mit mehreren GPOs möglich. Das war noch mit Berechtigung (J/N), D.h. pro Laufwerk musste man 1 Gruppenrichtlinienobjekt machen. Diese GPOs hat man dann unter die Domain gehangen, d.h. das Laufwerk wurde erst angeboten, dann aber auf Grund fehlender Berechtigung verweigert. Den Quatsch sieht man dann im Event Log.
Dein Fehler zielt in die Richtung.
AB 2008 reicht da eine Einzige und die funktioniert anders, die muss aber neu gemacht werden. Und dann hast du ja AD-Gruppen die du zu den Laufwerken zuordnest.
Mach am Besten eine neue:
GPO_U_Laufwerk
Gruppenrichtlinienverwaltungs-Editor > Benutzerkonfiguration > Einstellungen > Windows Einstellungen > Laufwerkszuordnung
Hier kannst du alle Laufwerk in einer GPO zusammenfassen und Gruppen zuordnen.
per cmd
gp/result /r
prüfen ob die Berechtigung nach einer Neu-Anmeldung zieht.
Für XP übernehm ich keine Haftung... . Da glaub ich ziehen die neuen GPOs nicht, andere Struktur.
Dein Fehler zielt in die Richtung.
AB 2008 reicht da eine Einzige und die funktioniert anders, die muss aber neu gemacht werden. Und dann hast du ja AD-Gruppen die du zu den Laufwerken zuordnest.
Mach am Besten eine neue:
GPO_U_Laufwerk
Gruppenrichtlinienverwaltungs-Editor > Benutzerkonfiguration > Einstellungen > Windows Einstellungen > Laufwerkszuordnung
Hier kannst du alle Laufwerk in einer GPO zusammenfassen und Gruppen zuordnen.
per cmd
gp/result /r
prüfen ob die Berechtigung nach einer Neu-Anmeldung zieht.
Für XP übernehm ich keine Haftung... . Da glaub ich ziehen die neuen GPOs nicht, andere Struktur.
Hi Danke erst mal für deine Rückmeldung
Ich will mal noch ein paar Erkenntnisse ergänzen.
Der Zugriff auf die versteckte Freigabe aus der Ferne mit einem User der lokal aufgrund des Problems keinen Zugriff hat, funktioniert. Geh ich mit RDP drauf und will Laufwerk D direkt im Explorer aufrufen oder von selbiger Maschine auf D$ zugreifen wird dies verweigert.
Wie gesagt bis 2008R2 gab es keine Probleme dieser Art, erst ab 2012.
Noch was, erstelle ich eine neue globale Gruppe und berechtige diese auf dem Laufwerk und packe die Domänenadmins da rein, geht es. Berechtige ich aber direkt Domänen Admins oder Administratoren Gruppe geht's nicht.
Grüße
Ich will mal noch ein paar Erkenntnisse ergänzen.
Der Zugriff auf die versteckte Freigabe aus der Ferne mit einem User der lokal aufgrund des Problems keinen Zugriff hat, funktioniert. Geh ich mit RDP drauf und will Laufwerk D direkt im Explorer aufrufen oder von selbiger Maschine auf D$ zugreifen wird dies verweigert.
Wie gesagt bis 2008R2 gab es keine Probleme dieser Art, erst ab 2012.
Noch was, erstelle ich eine neue globale Gruppe und berechtige diese auf dem Laufwerk und packe die Domänenadmins da rein, geht es. Berechtige ich aber direkt Domänen Admins oder Administratoren Gruppe geht's nicht.
Grüße
Hat irgendwas mit den builtin Gruppen in einer Domäne zutun, und nur wenn er zum DC promotet wird. Dann werden ja die lokalen Gruppen gelöscht und irgendwas haut da dann nicht hin.
Der Default dom Admin hat weiter zugriff, alle selbst erstellten Admins die Mitglieder einer builtin Gruppe sind scheitern, berechtigt man sie direkt oder mit einer non builtingruppe klappt der zugriff.
Letzte Sache die mir auffiel, es scheint irgendwas mit dem Explorer und der PS zutun zu haben und mit welchen Berechtigungen sie laufen. Per CMD besteht weiter Zugriff und auch mit treesize und run as Administrator lässt sich das Laufwerk durchsuchen.
Der Default dom Admin hat weiter zugriff, alle selbst erstellten Admins die Mitglieder einer builtin Gruppe sind scheitern, berechtigt man sie direkt oder mit einer non builtingruppe klappt der zugriff.
Letzte Sache die mir auffiel, es scheint irgendwas mit dem Explorer und der PS zutun zu haben und mit welchen Berechtigungen sie laufen. Per CMD besteht weiter Zugriff und auch mit treesize und run as Administrator lässt sich das Laufwerk durchsuchen.
Ja das passt schon, weil
\\Servername\d$
ein anderer Pfad für Windows ist, auch wenn du zufällig in der Laufwerksfreigabe den gleichen meinst, also \\Servername\d.
Das $ ist ein Default Wert, hierfür musst du keine Freigabe einrichten, sondern der geht immer für Admins.
\\Servername\d$
ein anderer Pfad für Windows ist, auch wenn du zufällig in der Laufwerksfreigabe den gleichen meinst, also \\Servername\d.
Das $ ist ein Default Wert, hierfür musst du keine Freigabe einrichten, sondern der geht immer für Admins.
Naja nicht wirklich.
Lassen wir mal die versteckte Freigabe außen vor... dennoch gibt es trotz Berechtigung für ein Laufwerk D: keinen zugriff über den Explorer, per cmd schon.
Das muss doch auch anderen so gehen, wir haben den Effekt mittlerweile auf 5 2012R2 Servern.
Lassen wir mal die versteckte Freigabe außen vor... dennoch gibt es trotz Berechtigung für ein Laufwerk D: keinen zugriff über den Explorer, per cmd schon.
Das muss doch auch anderen so gehen, wir haben den Effekt mittlerweile auf 5 2012R2 Servern.
Das mit dem DC war etwas voreilig geschossen, das Problem ist auf allen Servern ab 2012, Grund ist die UAC, genauer der Punkt "enable LUA", Administratoren können dadurch nicht auf das Filesystem zugreiffen wenn sie "nur" Mitglied einer buildin Admin Gruppe sind.
Enable LUA auf 0 und alles geht wieder.
Danke Grüße
Enable LUA auf 0 und alles geht wieder.
Danke Grüße
