19
Nutzer auf neuem Clientrechner ohne Adminrechte
Ich habe unserem Netzwerk (Windows 2003 SBS, Clients mit XP Prof) einen neuen Rechner wie üblich hinzugefügt. Alles funktioniert auch problemlos, aber ein Nutzer mit Adminrechten in der Domäne hat vom neuen Client aus keine Admin- sondern nur normale Benutzerrechte, die er von einem der anderen Clients aber ausüben kann! Nicht mal der Administrator erhält die üblichen Rechte! Es kann nicht an den Userrechten liegen, sondern muss mit dem Clientrechner zusammenhängen?!
Vielen Dank für schnelle Hilfe!
Vielen Dank für schnelle Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 66785
Url: https://administrator.de/contentid/66785
Printed on: April 24, 2024 at 12:04 o'clock
19 Comments
Latest comment
Gibts Meldungen im Eventlog des Rechners? Im Zweifelsfall würd' ich den PC einfach nochmal aus der Domäne rausnehmen und danach nochmal joinen.
Nutzt du eine Richtlinie, welche die Domänen-Admins der Gruppe der lokalen Administratoren hinzufügt?
Danke für die schnelle Antwort!
Eventlog, wo finde ich das?
Das habe ich bereits einmal getan, das Ergebnis war leider das gleiche!
Eventlog, wo finde ich das?
Das habe ich bereits einmal getan, das Ergebnis war leider das gleiche!
Wie kann ich das herausfinden?
in dem du:
a) auf dem PC schaust, wer alles Mitglied der Gruppe Administratoren ist
b) Mit dem Gruppenrichtlinienergebnisassistenten
Falls die Domänen-Admins nicht Mitglied sind, solltest du eine entsprechende Richtlinie erstellen.
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Eingeschränkte Gruppen
-> Gruppe hinzufügen: Administratoren
-> Mitglieder dieser Gruppe: Hinzufügen -> Domänen-Admins
Dafür sorgen, das die Richtlinie auf den PCs angewendet wird (Gruppenrichtlinienergebnisassistenten)
a) auf dem PC schaust, wer alles Mitglied der Gruppe Administratoren ist
b) Mit dem Gruppenrichtlinienergebnisassistenten
Falls die Domänen-Admins nicht Mitglied sind, solltest du eine entsprechende Richtlinie erstellen.
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Eingeschränkte Gruppen
-> Gruppe hinzufügen: Administratoren
-> Mitglieder dieser Gruppe: Hinzufügen -> Domänen-Admins
Dafür sorgen, das die Richtlinie auf den PCs angewendet wird (Gruppenrichtlinienergebnisassistenten)
Eventlog, wo finde ich das?
Arbeitsplatz -> Verwalten -> Ereignisprotokoll
Die Domänen-Admins sind Mitglied der Gruppe Administratoren auf dem Client.
Kannst du mal ein Beispiel geben, wo die fehlenden Adminrechte auftreten?
Vielen Dank für Deine Geduld!
Aufgefallen ist das Problem beim Hinzufügen eines Clients zu einem auf dem Server liegenden Programm. Dabei ist die Erstellung von Ordnern auf dem Server zur Ablage der Client-Rechner-Informationen notwendig. Diese Ordnererstellung wird nicht gestattet. Der Versuch, als User mit Adminrechten einen Ordner auf dem Server vom (neuen) Client aus in einem Verzeichnis, in welchem das "normalen" Benutzern nicht erlaubt ist, zu erstellen, scheitert mit der Meldung "... konnte nicht erstellt werden, Zugriff verweigert". Von einem beliebigen anderen Client funktioniert das bei gleichem Anmeldenamen problemlos!
Aufgefallen ist das Problem beim Hinzufügen eines Clients zu einem auf dem Server liegenden Programm. Dabei ist die Erstellung von Ordnern auf dem Server zur Ablage der Client-Rechner-Informationen notwendig. Diese Ordnererstellung wird nicht gestattet. Der Versuch, als User mit Adminrechten einen Ordner auf dem Server vom (neuen) Client aus in einem Verzeichnis, in welchem das "normalen" Benutzern nicht erlaubt ist, zu erstellen, scheitert mit der Meldung "... konnte nicht erstellt werden, Zugriff verweigert". Von einem beliebigen anderen Client funktioniert das bei gleichem Anmeldenamen problemlos!
Wer genau legt muß dieses Verzeichnis anlegen (Admin-Account oder Computer-Account)?
Was passiert, wenn du versuchst vom Client aus dieses Verzeichnis manuell anzulegen (ich gehe davon aus, das du in deiner Beschreibung ein automatisches Erstellen meinst)
Was passiert, wenn du versuchst vom Client aus dieses Verzeichnis manuell anzulegen (ich gehe davon aus, das du in deiner Beschreibung ein automatisches Erstellen meinst)
Für die Installation benötigt man Administratorenrechte. Dabei müssen u.a. auch vorhandene Dateien überschrieben/ersetzt werden.
Das manuelle Anlegen des Ordners habe ich schon versucht (siehe meine letzte Antwort).
Das manuelle Anlegen des Ordners habe ich schon versucht (siehe meine letzte Antwort).
Hast Du schon mal die "üblichen Verdächtigen" abgeschaltet/überprüft: Firewall- und Antiviren-Software?
Steht denn jetzt was auffälliges im Eventlog des Rechners?
Als letzte Option bleibt Dir immernoch eine komplette Neuinstallation des Rechners incl. Format - damit kommt mann erfahrungsgem. schneller zum Ziel als mit aufwendiger Fehlersuche mit ungewissem Ergebniss.
Steht denn jetzt was auffälliges im Eventlog des Rechners?
Als letzte Option bleibt Dir immernoch eine komplette Neuinstallation des Rechners incl. Format - damit kommt mann erfahrungsgem. schneller zum Ziel als mit aufwendiger Fehlersuche mit ungewissem Ergebniss.
Wie sehen denn die Rechte für die Freigabe, das Verzeichnis und die zu überschreibenden Dateien aus?
Sind die Uhrzeiten auf Server und Client synchron?
Sind die Uhrzeiten auf Server und Client synchron?
Das Abschalten des Virenscanners etc. habe ich schon getestet, leider ohne Erfolg!
Vor der Neuinstallation werde ich nun erst einmal den Dell-Support mit dem Problem beschäftigen, evtl. kennen die das ja schon.
Vor der Neuinstallation werde ich nun erst einmal den Dell-Support mit dem Problem beschäftigen, evtl. kennen die das ja schon.
Admins und Domänen-Admins haben Vollzugriff, Benutzer nur Lesen und Ordner auflisten.
Die Zeiten sind identisch.
Habe gerade mal mit einem weiteren Spezialisen telefoniert. Der hat mich in etwa die gleichen Dinge nachschauen lassen wie hier empfohlen, leider auch ohne Erfolg. Er ist aber sehr an der Lösung interessiert
Ich versuch´s jetzt mal mit dem Dell-Support.
Die Zeiten sind identisch.
Habe gerade mal mit einem weiteren Spezialisen telefoniert. Der hat mich in etwa die gleichen Dinge nachschauen lassen wie hier empfohlen, leider auch ohne Erfolg. Er ist aber sehr an der Lösung interessiert
Ich versuch´s jetzt mal mit dem Dell-Support.
Der Dell-Support wollte mir nicht helfen, das würden sie nicht dürfen, da der Rechner in einer Domäne verwendet wird.
Es gibt nun zwei Benutzerverzeichnisse unter Dokumente und Einstellungen: __sbs_netsetup__ und __sbs_netsetup__.AALTO (AALTO heißt der Client). Was ist das?
Nach dem Netzwerkassistenten startet der Computer 2x hintereinander neu, ist das richtig? Kann es ein, dass an dieser Stelle schon irgendetwas schief geht?
Es gibt nun zwei Benutzerverzeichnisse unter Dokumente und Einstellungen: __sbs_netsetup__ und __sbs_netsetup__.AALTO (AALTO heißt der Client). Was ist das?
Nach dem Netzwerkassistenten startet der Computer 2x hintereinander neu, ist das richtig? Kann es ein, dass an dieser Stelle schon irgendetwas schief geht?
Hallo,
hätte vielleicht auch noch ne idee:
Hast du bei deinen Gruppenrichtlinien verschiedene OU eingerichtet in denen die User bzw. Computer stecken?
Beispiel:
Ich habe bei mir für User und Comupter eigene Gruppenrichtlinien. Wenn ich nun einen Computer neu ins Netz nehme muss ich diesen erst in die entsprechende OU verschieben bevor meine dort hinterlegten Startscripts laufen.
Nicht das sich da ein paar Einstellenungen gegenseitig aufheben (um das herauszufinden habe ich den Server gleich zweimal neu installiert !!!
)
mfg
d.t.soko
edit:
Na toll! Ich dachte ich hätte den Beitrag gelesen aber irgendwie sind hier die Postings durcheinandergeraten?!? Wahl66 hat die Antwort schon geschrieben.
mfg
d.t.soko
hätte vielleicht auch noch ne idee:
Hast du bei deinen Gruppenrichtlinien verschiedene OU eingerichtet in denen die User bzw. Computer stecken?
Beispiel:
Ich habe bei mir für User und Comupter eigene Gruppenrichtlinien. Wenn ich nun einen Computer neu ins Netz nehme muss ich diesen erst in die entsprechende OU verschieben bevor meine dort hinterlegten Startscripts laufen.
Nicht das sich da ein paar Einstellenungen gegenseitig aufheben (um das herauszufinden habe ich den Server gleich zweimal neu installiert !!!
)mfg
d.t.soko
edit:
Na toll! Ich dachte ich hätte den Beitrag gelesen aber irgendwie sind hier die Postings durcheinandergeraten?!? Wahl66 hat die Antwort schon geschrieben.
mfg
d.t.soko
Admins und Domänen-Admins haben
Vollzugriff, Benutzer nur Lesen und Ordner
auflisten.
Vollzugriff, Benutzer nur Lesen und Ordner
auflisten.
Gilt die Berechtigung sowohl im Filesystem als auch auf der Freigabe?
Und DAS wäre die richtige Antwort gewesen!!!
Nachdem wir kurz vor der Neuinstallation standen, haben wir einen Test mit einem neuen Ordner gemacht und bei der Freigabe, siehe da: weitere Eintragungsmöglichkeiten für Berechtigungen! Hier stand "Jeder" drin nur mit Leseberechtigung! Zum Test auf Vollzugriff gestellt und schon gehte es! Danke Steffen, das hätten wir also mit Deiner Hilfe auch hingekriegt!
Doch auch das wirft Fragen auf:
1. Wieso gibt es zwei verschiedene Bereiche für die Eintragung von Berechtigungen?!
2. Warum funktionierten die vorhandenen Einstellungen bei den vorhandenen Clients und nicht bei den neuen?!
Morgen werde ich den Telefon-Spezi (siehe oben) anrufen, der wird sich freuen!
Nachdem wir kurz vor der Neuinstallation standen, haben wir einen Test mit einem neuen Ordner gemacht und bei der Freigabe, siehe da: weitere Eintragungsmöglichkeiten für Berechtigungen! Hier stand "Jeder" drin nur mit Leseberechtigung! Zum Test auf Vollzugriff gestellt und schon gehte es! Danke Steffen, das hätten wir also mit Deiner Hilfe auch hingekriegt!
Doch auch das wirft Fragen auf:
1. Wieso gibt es zwei verschiedene Bereiche für die Eintragung von Berechtigungen?!
2. Warum funktionierten die vorhandenen Einstellungen bei den vorhandenen Clients und nicht bei den neuen?!
Morgen werde ich den Telefon-Spezi (siehe oben) anrufen, der wird sich freuen!
