schraubensack
Goto Top

Rechteproblem nach Umzug des Servers in eine neue Domäne

Rechteproblem nach Umzug eines Servers in eine neue Domäne

Ich hatte auf zwei Servern zwei unabhängige Domänen laufen. Nun habe ich einen Server mit dcpromo aus der Domäner herausgenommen und danach ohne ihm einen anderen Namen zu geben in die andere Domäne integriert. Im ADR werden auch beide Domänencontroller angezeigt. Nur habe ich verschiede Probleme mit Zugriffsrechten...

1) Der unveränderte Server kann nicht auf den neuen Server zugreifen. Er fragt immer Anmeldeinformationen ab, die sich auf den alten Domänennamen beziehen. Ein Zugriff in der Gegenrichtung ist ohne weiteres möglich.
2) Auf dem umgezogenen Server kann ich lokal alles ändern. Wenn ich jedoch über einen UNC-Pfad auf dem eigenen Gerät z.B. einen Ordner anlegen möchte wird mir dieser Zugriff als administrator verweigert.

Im DNS habe ich schon alle Zonen gelöscht die mit der alten Domäne zu tun hatten. Das war mehr eine verzweiflungstat - das dies nicht hilft war mir eigentlich klar. Nur wo ich jetzt zur Lösung ansetzen soll ist mit unklar...

Hat da jemand eine Idee für mich? Vorrang haben natürlich alle Vorschläge, die eine Neuinstallation des ADR verhindern. Denn auf dem umgezogenen Server ligt ein Mailserver von Tobit mit knapp 40 Usern und jede Menge Parametrierungen....

MfG

Schraubensack

Content-Key: 172657

Url: https://administrator.de/contentid/172657

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: 60730
60730 06.09.2011 um 14:02:04 Uhr
Goto Top
auch dir keinen Gruß meiner Wahl...

Ich hatte auf zwei Servern zwei unabhängige Domänen laufen.
Nun habe ich einen Server mit dcpromo aus der Domäner herausgenommen und danach ohne ihm einen anderen Namen zu geben in die andere Domäne integriert.
Im ADR werden auch beide Domänencontroller angezeigt.

  • MIt anderen Worten, du hast was gemacht?

zu 1):

hast du mal ein
  • Net use * /d durchgeführt
  • Wie greifts du überhaupt von Server 1 auf Server 2 zu?

zu 2)

Trink mal eine Kanne Kaffe und schreib das ganze so auf, dass jemand der dir nicht beim Schrauben zugeschaut hat in den Teil treten möchte, der in deinem Nick dahinter steht.

Oder andersherum...

  • ruhig brauner, dass Hektisch übern Ecktisch nicht funktioniert, hast du ja bereits mitbekommen.
Mitglied: Schraubensack
Schraubensack 06.09.2011 um 15:02:36 Uhr
Goto Top
Hallo!

Also... Server1 läuft als DC für Domäne1, Server2 läuft als DC für Domäne2. in diesem Zustand wurden auch Datenzugriffe insbesondere für die Datensicherung von Server1 auf Server2 über Laufwerksmappings eingerichtet. Jetzt wurde Server2 mit dcpromo zurückgestuft und dann in Domäne1 als DC hinzugefügt. Hat auch alles fehlerfrei funktioniert.

Freigaben gibt es nur auf dem Server1 - und zwar für server1 und für server2. Der Zugriffsversuch war einfach über einen Doppelklick über die Netzwerkumgebung. Dann fragt er nach einem Login und PW zum Zugriff auf Domäne2\Server2. Und in Bezug auf schnelle aktivitäteten über Möbelstücke - die Anmeldungdaten waren wohl im Explorer gespeichert. Das der aber auch nicht mit dem ADR reden mag und hier ein "Update" bekommt... Also ist der Teil genereller Zugriff von Server1 auf Server2 erledigt. Das klappt nachdem ich einmal die Userdaten eingegeben habe wieder...

Nun habe ich aber immer noch Probleme im Bereich von Server2 - es gibt einige Ordnern auf die ich als Domänenadministrator nicht zugreifen kann. Wenn ich nun einen Blick in die Sicherheitseinstellungen mache, dann finde ich dort in genau diesen Ordnern ein "Unbekanntes Konto S1-XXX-X_X_X", das angeblich vererbt sein soll. In dem übergeordneten Pfad ist dieses Konto aber nicht vorhanden. Wie kann ich nun diese Altlast entfernen? Gibt es ein Repairtool für so etwas?

Gruß

Schabersack
Mitglied: 60730
60730 06.09.2011 um 15:07:30 Uhr
Goto Top
na geht doch fast

  • damit du das nicht wieder erlebst - verabschiede dich von diesem "Mappen per Klickibunti" und baue Loginscripte.
Ist einfacher, sauberer und wesentlich fehlerunanfälliger.

  • Und wegen dem anderen...

Das passiert ganz schnell, wenn mal jemand die vererbung deaktiviert, alle Einstellungen kopiert und dann den vererbenden löscht.

In dem speziellen Fall ist es wohl der ehemalige DOmainadmin der alten Domain..

  • Stichwort - Besitz übernehmen und dann die Rechte wieder neu vergeben.
Das würde ich in der Situation aber wieder über die Klickibuntigui machen, nicht per xcacls.

Gruß
Mitglied: Schraubensack
Schraubensack 07.09.2011 um 10:31:14 Uhr
Goto Top
Hallo...

Es ist zum Haareraufen.... Jetzt habe ich bei einem kleinen betroffenen Ordner die Vererbung aufgehoben und die Rechte kopiert. Dann ist erst einmal alles o.k. Wenn ich jetzt die Vererbung aber wieder aktiviere, dann ist das gleiche blöde Konto wieder da. Offensichtlich habe ich im Root von Laufwerk C: ein Problem mit einem vermurksten Kontoeintrag... Das macht keinen Spass - aber deswegen sind wir ja nicht hier...

Übrigens die Laufwerkszuordnung löse ich über Gruppenrichtlinien. Das gibt den DIngen eine ordentliche Struktur, da hier jede Gruppe auch andere Mappings braucht. Das oben Erwähnte war nur zu Servicezwecken zwischen den Servern.

Danke erst einmal - ist halt ein hoffnungsloser Fall... Bei Novell gab es mal etwas wie DS-Repair. So etwas wünsche ich mir mal für die Windows Serverfamilie...

Gruß
Mitglied: 60730
60730 07.09.2011 um 12:00:19 Uhr
Goto Top
moin,

  • ähhh.....

Zwischen deinen Zeilen lese ich, du hast einen Share auf des Servers c:\ Laufwerk?

Hoffentlich hast du da Quotas gesetzt, denn wenn dir ein User die Platte zuballert....
Und wegen Mapping - nunja - ich machs halt andersherum - für niemanden eine extra Wurst und dank ifmember/kixtart und Konsorten ist der "normale" Ansatz mit den Gruppen auch kein Thema.

PS: wegen DSRepair - das war aber für eine ganz andere Baustelle face-wink

Das Windows Werkzeug Xcacls hab ich dir ja genannt....

Gruß