Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DFS-Namespace: Nach Einrichtung NTFS-Berechtigung kein Zugriff auf Ordner lokal

Mitglied: NilsvLehn

NilsvLehn (Level 1) - Jetzt verbinden

11.10.2018 um 20:32 Uhr, 310 Aufrufe, 8 Kommentare, 1 Danke

Hallo,

ich und mein Kollege führen DFS in unserem Unternehmen ein.

Wir haben den Namespace angelegt, und die Freigabe definiert. Domänen-Admins Voll, Gruppe X ändern.

So ... NTFS Berechtigungen in den Ordnern auf jeden Fall so eingestellt, dass Domänen-Admins Vollzugriff haben. Da es sensible Daten teilweise sind, werden Domänen-Benutzer entfernt, um unbefugten den Zugriff zu verbieten.

So , jetzt könnte man denken, dass ich als Domänen Admin Zugriff auf den Ordner habe. Habe ich aber nicht. Nicht über Lokal. Wenn ich es über einen Client über den DFS-Share mache, dann schon.

Ich frage mich nur warum das nicht jetzt geht. Es geht immer erst, wenn ich die Domänen-Benutzer wieder einfüge, aber das will ich eigentlich vermeiden.

Hat einer von euch schon mit DFS zu tun gehabt, und eins aufgesetzt, und solche Erfahrungen gemacht. Ist das von Microsoft so gewollt?
Mitglied: Stefan41
12.10.2018, aktualisiert um 00:29 Uhr
Ich bin auch grade mit diesem Thema am rumbasteln. Habe letztes Wochenende in einer neu erstellten 2016er Testumgebung ähnliches bemerkt. Füge ich einen Ordner zum Namespace hinzu hatte ich auf diesem DFS Server keine Rechte über c:\dfs...\Ordner drauf zuzugreifen, trotz Dom Admin Recht. Füge ich eine UNC Freigabe (!) zum DFS hinzu, die im Dateisystem nicht unterhalb des c:\dfs...(komme nicht auf den genauen Namen) Ordners liegt funktioniert der Zugriff über das Dateisystem wie gewünscht.

Habe mich nicht genauer mit der Ursache oder der Lösung auseinandergesetzt, da das hinzufügen von Ordnern einfach durch die Freigaben zu ersetzen ist und in meiner Produktivumgebung der DFS Namespace Server nicht der Server werden wird wo am Ende die Dateien liegen werden. Namespace Server soll vorraussichtlich ein 2016er AD Controller werden und dann kommen 2 Fileserver mit rein, die sich replizieren.
Bitte warten ..
Mitglied: emeriks
12.10.2018, aktualisiert um 08:20 Uhr
Hi,
Du solltest das als erstes auseinanderklamusern.

  1. Von welchem Zugriff reden wir? Jenem auf die DFS-Wurzel oder jenem auf die DFS-Ordner?
  2. "Administratoren", "Domänen-Admins" und noch ein paar andere Gruppen fallen beim Zugriff von lokal unter den besonderen Schutz von UAC. Prüfe mal den Zugriff in einer CMD, welche Du "als Administrator" gestartet hast.
  3. "Domänen-Admins" sollte man für die Fileserverdaten-Administration überhaupt nicht verwenden. Erstelle Dir dafür explizit zwei Gruppen. Eine gedacht als Rolle und die andere gedacht für Rechtevergabe. Die Rolle (Globale Gruppe) in die Rechte-Gruppe (Domänenlokale Gruppe) verschachteln. Deinen Admin-Benutzer zum Mitglied dieser Rolle machen. Der Rechte-Gruppe Vollzugriff auf die Daten erteilen. Neu anmelden mit Deinem Admin-Benutzer und schon hast Du keine Probleme durch UAC mehr beim Zugriff auf diese Daten, wenn Du von lokal zugreifst. Siehe auch AGDLP.

E.

Edit:
Und die Freigabe-Berechtigungen nicht vergessen!
Bitte warten ..
Mitglied: erikro
12.10.2018, aktualisiert um 08:37 Uhr
Moin,

ich ahne mal, Du meinst den "lokalen" Zugriff auf den DFS-Root-Ordner, bei dem diese Fehlermeldung kommt:

dfsroot - Klicke auf das Bild, um es zu vergrößern

Works as designed. Der lokale Zugriff ist hier gar nicht möglich, da es sich hier NICHT um einen Ordner handelt, sondern um den Zeiger des DFS auf die DFS-Ordnerziele. Lokal ist da gar nichts vorhanden, was geöffnet werden könnte. Deshalb kommt auch die etwas verwirrende Fehlermeldung, dass die Netzwerkressource nicht zur Verfügung steht.

hth

Erik

<edit>Mist, vergessen das Bild zu beschneiden.</edit>
Bitte warten ..
Mitglied: Stefan41
12.10.2018 um 08:52 Uhr
Zitat von erikro:

Moin,

ich ahne mal, Du meinst den "lokalen" Zugriff auf den DFS-Root-Ordner, bei dem diese Fehlermeldung kommt:

dfsroot - Klicke auf das Bild, um es zu vergrößern


Ja, ich glaube diese Meldung ist es bei mir gewesen.
Bitte warten ..
Mitglied: erikro
12.10.2018 um 08:55 Uhr
Zitat von Stefan41:
Ja, ich glaube diese Meldung ist es bei mir gewesen.

Wie gesagt: das gehört so.
Bitte warten ..
Mitglied: emeriks
12.10.2018, aktualisiert um 08:59 Uhr
Ja, ich glaube diese Meldung ist es bei mir gewesen.
Ach, wenn es DAS ist, dann wie @erikro schon schreibt. Das sind Links, welchem man lokal nicht folgen kann. Wie z.B. der Link "Dokumente und Einstellungen" unter C:\ auf deutschen Installationen von Win10.
Bitte warten ..
Mitglied: ErikBerliner
15.10.2018 um 10:36 Uhr
Hallo Eriks und Nils,

hier ist der Kollege von Nils und noch ein weiterer Erik. ;)

Das Problem stellt sich folgendermaßen dar:
Auf eine Freigabe (CIFS) kann genau entsprechend den gesetzten Berechtigungen zugegriffen werden. Somit gibt es nach "außen" kein Problem, da alles so funktioniert, wie es gewollt ist. Hierbei ist egal, ob über den DFS-Einstiegspunkt oder über ein klassisches SMB-Share zugegriffen wird.

Soll auf die identischen Daten lokal zugegriffen werden, sieht es leider anders aus. Hat ein Domänen-Admin VZ, kommt beim (und nur bei diesem) lokalen Zugriff die Meldung: 1 - Klicke auf das Bild, um es zu vergrößern
Ich habe inzw. getestet: Erstellt man eine Gruppe mit VZ auf NTFS-Ebene, kann man in diese Mitglieder der Gruppe der Domänenadmins stecken und diese haben VZ. Es funktioniert offensichtlich nur nicht direkt mit der Gruppe der Domänenadmins. Grund ist hierbei offensichtlich eine Art Diziplinierung seitens MS. Ähnliches schrieb mir auf meine Anfrage schon einer der Eriks hier in einem anderen Thread! Diese Lösung genügt mir und ich möchte mich bei allen bedanken!

Grüße Erik
Bitte warten ..
Mitglied: emeriks
15.10.2018, aktualisiert um 11:27 Uhr
Das hatte ich doch bereits geschrieben!
Das ist logisch und hängt mit UAC zusammen. Das hat nichts mit DFS zu tun.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Ordner Berechtigungen NTFS
gelöst Frage von jbd.deWindows Netzwerk5 Kommentare

Hallo, ich versuche folgende Situation abzubilden: Es soll möglich sein einen Ordner einzustellen, auf den nur die A und ...

Entwicklung
DFS Namespace mit PS erzeugen
Frage von SunnyRainyDayEntwicklung3 Kommentare

Moin Zusammen, versuche per PS einen Namenspace zu erstellen was mir in keinster weise gelingt. Hierzu verwende ich den ...

Windows Server
Alias für DFS-Namespace setzen
gelöst Frage von hagenharryWindows Server3 Kommentare

Hallo zusammen, ein Standort ist kürzlich umgezogen und der dortige DFS-Namespace hat eine neue Bezeichnung erhalten. \\domain\standort_alt zu \\domain\standort_neu ...

Windows Server
DFS Namespace und Share Permission
gelöst Frage von BPeterWindows Server4 Kommentare

Hallo, wir berechtigen unsere User über NTFS. Auf verschiedene Ordner legen wir Freigaben mit Vollzugriff für Jeder. An unserem ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 1 TagMicrosoft4 Kommentare

Da diese Infos scheinbar unerwünscht sind, habe ich diese wider gelöscht.

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 1 TagSpeicherkarten1 Kommentar

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 1 TagSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 2 TagenHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
EuGH-Urteil - Internetanschluss für die ganze Familie - Filesharer haften trotzdem
Frage von StefanKittelSicherheitsgrundlagen40 Kommentare

Hallo, In diesem Artikel geht es darum, dass Jemand aus der Familie ein Hörbuch illegal hochgeladen hat. Der Vater ...

Apple
MacBook Pro 2018 mit 8 GB oder 16 GB
Frage von SysAdm81Apple25 Kommentare

Hallo zusammen, ich steh vor der Überlegung mir ein MacBook Pro 13 (2018) zu kaufen. Bzgl. SSD habe ich ...

Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic19 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

TK-Netze & Geräte
Low budget TK-Anlage für KMU
Frage von HeinklugTK-Netze & Geräte16 Kommentare

Hallo Admins, ich bin auf der Suche nach eine kostengünstigen Telefonanlage für mein kleines Büro mit 4-5 Mitarbeitern. Dabei ...