11
Trotz Domänenadmin kein Zugriff auf lokale Laufwerke des Domain Controllers
Guten Tag.
Ich hoffe ihr könnt mir helfen
Ich habe einen Domaincontroller installiert.
Logge ich mit dem integrierten Administrator-Account ein, kann ich auf die Laufwerke D usw. zugreifen.
Benutze ich meinen eigenen Administrator, den ich in der Activ-Directory erstellt habe und den Gruppen Built in Administratoren und Domänen Admins zugeteilt habe, so erhalte ich die Fehlermeldung "Zugriff verweigert"
Unter Sicherheit des Laufwerks D sieht es so aus
Siehe Bild
Natürlich hat die Gruppe "Domänen-Admins" Vollzugriff
Logge ich mit dem integrierten Administrator-Account ein, kann ich auf die Laufwerke D usw. zugreifen.
Benutze ich meinen eigenen Administrator, den ich in der Activ-Directory erstellt habe und den Gruppen Built in Administratoren und Domänen Admins zugeteilt habe, so erhalte ich die Fehlermeldung "Zugriff verweigert"
Unter Sicherheit des Laufwerks D sieht es so aus
Siehe Bild
Natürlich hat die Gruppe "Domänen-Admins" Vollzugriff
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201699
Url: https://administrator.de/contentid/201699
Printed on: April 27, 2024 at 18:04 o'clock
11 Comments
Latest comment
Hi
Hast du dem Benutzer die Gruppen gegeben nachdem du dich mit ihm angemeldet hast ? Damit Gruppen ziehen muss man sich an und abmelden
LG
Hast du dem Benutzer die Gruppen gegeben nachdem du dich mit ihm angemeldet hast ? Damit Gruppen ziehen muss man sich an und abmelden
LG
Hi.
Der alte Hut 2.0: die UAC mal wieder. So lange Du da nicht namentlich drin stehst, kannst Du nur zugreifen, wenn der Prozesse, der zugreift, elevated läuft. Der Token Deines Domänenadmins kann erst dann seine Gruppenmitgliedschaft ausspielen.
Der alte Hut 2.0: die UAC mal wieder. So lange Du da nicht namentlich drin stehst, kannst Du nur zugreifen, wenn der Prozesse, der zugreift, elevated läuft. Der Token Deines Domänenadmins kann erst dann seine Gruppenmitgliedschaft ausspielen.
Ich habe gleich komplett neu gestartet.
Unter "Mitglied von"
ist Domänen-Admins eingetragen.
Warum kann ich trotzdem nicht auf dieses Laufwerk zugreifen?
Gibt es da irgend eine Regel wegen den vordefinierten Gruppen?
Das ein Domänenuser in keine lokale Gruppe kann? oder so?
übrigens Windows Server 2012
Unter "Mitglied von"
ist Domänen-Admins eingetragen.
Warum kann ich trotzdem nicht auf dieses Laufwerk zugreifen?
Gibt es da irgend eine Regel wegen den vordefinierten Gruppen?
Das ein Domänenuser in keine lokale Gruppe kann? oder so?
übrigens Windows Server 2012
Ich habe geglaubt, die UAC komplett deaktiviert zu haben...
Bist du sicher?
Wie kann ich den Explorer den mal kurz elevated starten?
Bist du sicher?
Wie kann ich den Explorer den mal kurz elevated starten?
Ich habe die UAC auf "Nie benachrichtigen" gesetzt.
Gilt das nicht als ausgeschaltet?
Gilt das nicht als ausgeschaltet?
Da bin ich mir sicher, ja. Ob die UAC aus ist, solltest Du merken, bzw. prüfen können. Jedenfalls ist es so, dass sie für den integrierten Admin nicht gilt, aber für alle anderen.
Starte nicht den explorer, soindern notepad elevated, einfach mit der rechten Taste anklicken und "ausführen als Administrator" wählen - wenn hiernach, also noch vor dem Start von Notepad eine UAC-Abfrage kommt, ist sie an. Nach Bestätigung dieser Abfrage darf notepad dann alles, was der Domadmin dürfen soll, Du kannst den Öffnen-Dialog von notepad als Dateibrowser zum Test gebrauchen.
Starte nicht den explorer, soindern notepad elevated, einfach mit der rechten Taste anklicken und "ausführen als Administrator" wählen - wenn hiernach, also noch vor dem Start von Notepad eine UAC-Abfrage kommt, ist sie an. Nach Bestätigung dieser Abfrage darf notepad dann alles, was der Domadmin dürfen soll, Du kannst den Öffnen-Dialog von notepad als Dateibrowser zum Test gebrauchen.
Ganz interessant! Es funktioniert nicht aber:
Die Abfrage des UAC beim Starten von Notepad erscheint nicht.
Wenn ich dann mit "öffnen" die Laufwerke durchsuche, kann ich tatsächlich alle Dateien sehen.
Gehe ich aber in den normalen Explorer
(Server 2012) so habe ich auf die Laufwerke keinen Zugriff.
Die UAC scheint also irgendwie noch zu laufen, nur fürs "elevaten" gibt sie keinen Muks mehr von sich.
komisch? Da noch eine Idee?
Muss man sie irgendwie komplett ausschalten?
Übrigens funktioniert es nicht, wenn ich "explorer.exe" versuche elevated zu starten
Die Abfrage des UAC beim Starten von Notepad erscheint nicht.
Wenn ich dann mit "öffnen" die Laufwerke durchsuche, kann ich tatsächlich alle Dateien sehen.
Gehe ich aber in den normalen Explorer
(Server 2012) so habe ich auf die Laufwerke keinen Zugriff.
Die UAC scheint also irgendwie noch zu laufen, nur fürs "elevaten" gibt sie keinen Muks mehr von sich.
komisch? Da noch eine Idee?
Muss man sie irgendwie komplett ausschalten?
Übrigens funktioniert es nicht, wenn ich "explorer.exe" versuche elevated zu starten
Dann werden wir es auch lösen können.
Was wurde denn an der UAC gemacht, wirklich nur der Schieber auf "nie benachrichtigen"? Keine weiteren Policies oder "Murks-Tools"?
Was wurde denn an der UAC gemacht, wirklich nur der Schieber auf "nie benachrichtigen"? Keine weiteren Policies oder "Murks-Tools"?
Wirklich nur am schieber!
Das ist eine Neuinstallation
Das ist eine Neuinstallation
Seehr merkwürdig. Ist bei meinem 2012 nicht so, sondern genau wie zu erwarten.
Hi wir haben hier das selbe Phänomen
Hat irgendwas mit den builtin Gruppen in einer Domäne zutun, und nur wenn er zum DC promotet wird, stimmts? Dann werden ja die lokalen Gruppen gelöscht und irgendwas haut da dann nicht hin.
Der Default dom Admin hat weiter zugriff, alle selbst erstellten Admins die Mitglieder einer builtin Gruppe sind scheitern, berechtigt man sie direkt oder mit einer non builtingruppe klappt der zugriff.
Letzte Sache die mir auffiel, es scheint irgendwas mit dem Explorer zutun zu haben, kannst du mal prüfen ob du per CMD mit "dir d:\" ebenfalls zugriff hast und alle Ordner angezeigt bekommst.
Update: per Powershell gibt es ebenfalls kein zugriff aber mit treesize und "run as Administrator", lässt sich das Laufwerk durchsuchen
Grüße atroX87
Hat irgendwas mit den builtin Gruppen in einer Domäne zutun, und nur wenn er zum DC promotet wird, stimmts? Dann werden ja die lokalen Gruppen gelöscht und irgendwas haut da dann nicht hin.
Der Default dom Admin hat weiter zugriff, alle selbst erstellten Admins die Mitglieder einer builtin Gruppe sind scheitern, berechtigt man sie direkt oder mit einer non builtingruppe klappt der zugriff.
Letzte Sache die mir auffiel, es scheint irgendwas mit dem Explorer zutun zu haben, kannst du mal prüfen ob du per CMD mit "dir d:\" ebenfalls zugriff hast und alle Ordner angezeigt bekommst.
Update: per Powershell gibt es ebenfalls kein zugriff aber mit treesize und "run as Administrator", lässt sich das Laufwerk durchsuchen
Grüße atroX87
