14
Win2008 R2 Administrator hat andere Rechte als Mitglied der Admingruppe
Hallo Leute,
also folgendes Problem.
Ich habe mehrere win2008 R2 Server. Alle sind standalone ( das heisst keine Domänenmitglieder).
Wenn ich nun untereinander oder auch von einem Windows Xp Rechner auf die Adminstandardfreigaben
( z.B. c$ ) zugreifen möchte, kann dieses keines der Administratorenmitglieder.
Der einzige der auf diese Freigaben zugreifen darf, ist namentlich der Administrator.
Lege ich ein anderes Freigabeverzeichnis an, darf auf diesem Verzeichnis jedes Adminmitglied drauf zugreifen.
Ich habe zusätzlich die erweiterte Freigabe auf dem Server aktiviert. Auch dieses hat nichts daran geändert.
Hat irgendjemand von euch das gleiche Problem schon mal gehabt?
Gruß
bernd
also folgendes Problem.
Ich habe mehrere win2008 R2 Server. Alle sind standalone ( das heisst keine Domänenmitglieder).
Wenn ich nun untereinander oder auch von einem Windows Xp Rechner auf die Adminstandardfreigaben
( z.B. c$ ) zugreifen möchte, kann dieses keines der Administratorenmitglieder.
Der einzige der auf diese Freigaben zugreifen darf, ist namentlich der Administrator.
Lege ich ein anderes Freigabeverzeichnis an, darf auf diesem Verzeichnis jedes Adminmitglied drauf zugreifen.
Ich habe zusätzlich die erweiterte Freigabe auf dem Server aktiviert. Auch dieses hat nichts daran geändert.
Hat irgendjemand von euch das gleiche Problem schon mal gehabt?
Gruß
bernd
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171831
Url: https://administrator.de/contentid/171831
Printed on: April 18, 2024 at 02:04 o'clock
14 Comments
Latest comment
Moin,
versteh ich das richtig:
Du hast Server 1 bis n!
Es gibt keine Domäne - sprich alles einfache Installationen.
Dann versuchst du von Server 1 auf die Adminfreigabe von Server 2 mit dem Adminaccount von Server 1 zuzugreifen?
VG
versteh ich das richtig:
Du hast Server 1 bis n!
Es gibt keine Domäne - sprich alles einfache Installationen.
Dann versuchst du von Server 1 auf die Adminfreigabe von Server 2 mit dem Adminaccount von Server 1 zuzugreifen?
VG
Moin, Moin,
Ja stimmt. Kann es aber auch von einem XP-Client machen..
der Account: Admiistrator darf das. Der Account: Willy (Mitglied der Administratorengruppe) darf das nicht.
VG
Ja stimmt. Kann es aber auch von einem XP-Client machen..
der Account: Admiistrator darf das. Der Account: Willy (Mitglied der Administratorengruppe) darf das nicht.
VG
Hallo,
ist der User auf jedem einzelnen System in eingerichtet und in die Admin-Gruppe aufgenommen? Oder nur auf dem Ausgangssystem?
ist der User auf jedem einzelnen System in eingerichtet und in die Admin-Gruppe aufgenommen? Oder nur auf dem Ausgangssystem?
Hallo BerniBär!
Wie sieht's denn bei Dir mit der Antwort auf die letzte Frage in diesem Thread aus? Vista und Startscripts
Ansonsten noch: Windows 7x64 - Voller Zugriff auf alles
Grüße
bastla
Wie sieht's denn bei Dir mit der Antwort auf die letzte Frage in diesem Thread aus? Vista und Startscripts
Ansonsten noch: Windows 7x64 - Voller Zugriff auf alles
Grüße
bastla
Zitat von @winf-hst:
Hallo,
ist der User auf jedem einzelnen System in eingerichtet und in die Admin-Gruppe aufgenommen? Oder nur auf dem Ausgangssystem?
Hallo,
ist der User auf jedem einzelnen System in eingerichtet und in die Admin-Gruppe aufgenommen? Oder nur auf dem Ausgangssystem?
Der user ist auf allen Systemen "gleich" eingerichtet.
Hallo Bastia,
Das mit dem LocalAccountTokenFilterPolicy hatte ich natürlich auch schon gemacht und den Server neu gebootet.
Leider ohne Erfolg. Da soll es noch einen zweiten Registrywert geben......
Werd noch mal suchen. Melde mich dann sofort wieder.
Erst mal danke.
P.S.: ich glaube das größte Problem ist immer, einen sinnvollen Titel für solche Peobleme zu finden
Gruß Bernd
Das mit dem LocalAccountTokenFilterPolicy hatte ich natürlich auch schon gemacht und den Server neu gebootet.
Leider ohne Erfolg. Da soll es noch einen zweiten Registrywert geben......
Werd noch mal suchen. Melde mich dann sofort wieder.
Erst mal danke.
P.S.: ich glaube das größte Problem ist immer, einen sinnvollen Titel für solche Peobleme zu finden
Gruß Bernd
Hi,
Wenn die UAC ON ist dann hast du nicht automatisch Administrator Privilegien auch wenn du in der lokalen Administrator Gruppe drinnen bist; weil eben die UAC
REMOTE KEINEN Zugriff auf die Standard-Shares erlaubt.
Also probier mal aus, die UAC zu disablen um zu sehen, ob das das Problem ist.
Ansonsten folgende Lösung:
Folgendes Registry-Setting erlaubt allen Members der lokalen Admin-Gruppe den Zugriff auf Admin-Shares (C$ usw.)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy
Dword:
0 = einen gefilterten Token erstellen
Dies ist der Standardwert. (Remote UAC enabled)
1 = einen Token mit erhöhten Rechten erstellen
(Remote UAC disabled)
lg/p
PS: Das sollte der KB-Artikel sein: http://support.microsoft.com/kb/947232
edit: ups.....hab jetzt erst gelesen, daß Du die Registry schon geändert hast nach dem Tipp von Bastla........
aber teste es trotzdem mal mit disabled UAC zwecks Fehlereingrenzung und dann könntest ja noch den Tipp von der KB folgen....
Wenn die UAC ON ist dann hast du nicht automatisch Administrator Privilegien auch wenn du in der lokalen Administrator Gruppe drinnen bist; weil eben die UAC
REMOTE KEINEN Zugriff auf die Standard-Shares erlaubt.
Also probier mal aus, die UAC zu disablen um zu sehen, ob das das Problem ist.
Ansonsten folgende Lösung:
Folgendes Registry-Setting erlaubt allen Members der lokalen Admin-Gruppe den Zugriff auf Admin-Shares (C$ usw.)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy
Dword:
0 = einen gefilterten Token erstellen
Dies ist der Standardwert. (Remote UAC enabled)
1 = einen Token mit erhöhten Rechten erstellen
(Remote UAC disabled)
lg/p
PS: Das sollte der KB-Artikel sein: http://support.microsoft.com/kb/947232
edit: ups.....hab jetzt erst gelesen, daß Du die Registry schon geändert hast nach dem Tipp von Bastla........
aber teste es trotzdem mal mit disabled UAC zwecks Fehlereingrenzung und dann könntest ja noch den Tipp von der KB folgen....
XP hat keine UAC und aufm Server isse idR auch aus - also wo soll er sie deaktivieren?!
VG
VG
'abend
Auf dem Server auf den er Zugreifen will.
Auf einem 2k8 R2 Server kann man die UAC nicht so einfach disablen (Registry, secpol) also ist die sicher nicht in der der Regel ausgeschalten.
Ich weiß auch nicht ob diese Remote-UAC Gschicht mit der 'normalen' Benutzerkontensteuerung zusammenhängt; ist aber 'ne Idee.
@Xaero1982: Kannst Du mir mal verraten, warum du mich jetzt schon zum 2. mal so unhöflich anranzt ?
Auf dem Server auf den er Zugreifen will.
Auf einem 2k8 R2 Server kann man die UAC nicht so einfach disablen (Registry, secpol) also ist die sicher nicht in der der Regel ausgeschalten.
Ich weiß auch nicht ob diese Remote-UAC Gschicht mit der 'normalen' Benutzerkontensteuerung zusammenhängt; ist aber 'ne Idee.
@Xaero1982: Kannst Du mir mal verraten, warum du mich jetzt schon zum 2. mal so unhöflich anranzt ?
Fülltext!Fülltext!Fülltext!
@polYtoX:
Regel 1:
Private Auseinandersetzungen sind außerhalb des Forums, bzw. per PN (=privates Nachrichtensystem) oder im Chat (sofern verfügbar), zu regeln.
VG
@polYtoX:
Regel 1:
Private Auseinandersetzungen sind außerhalb des Forums, bzw. per PN (=privates Nachrichtensystem) oder im Chat (sofern verfügbar), zu regeln.
VG
Auf einem 2k8 R2 Server kann man die UAC nicht so einfach disablen
Mach's einfach, würde uns echt weiterbringen, wenm Du wüsstest, ob es daran liegt.
So, hallo Leute,
Also habe noch mal geschaut. Ich habe den Registrywert noch einmal kontrolliert.
Wert steht auch auf 1. Trotzdem klappt es nicht
Irgendwie fehlt mir da die Logik.
Warum darf der Administrator das, und die anderen nicht ?
Ich gebe doch den normalen Netzadmins nicht das Administratorkennwort, nur um auf den Share zugreifen zu können.
Das UAC macht ja normalerweise Sinn, aber doch nicht bei soetwas.
Gruß
Bernd
Also habe noch mal geschaut. Ich habe den Registrywert noch einmal kontrolliert.
Wert steht auch auf 1. Trotzdem klappt es nicht
Irgendwie fehlt mir da die Logik.
Warum darf der Administrator das, und die anderen nicht ?
Ich gebe doch den normalen Netzadmins nicht das Administratorkennwort, nur um auf den Share zugreifen zu können.
Das UAC macht ja normalerweise Sinn, aber doch nicht bei soetwas.
Gruß
Bernd
Was hindert Dich daran, das mit der UAC auszutesten? Ein Neustart? Vorher hat es keinen Sinn, weiter zu spekulieren.
Sodale.
Habe erst mal ein paar Tests gemacht. Hat ein bisschen gedauert.
Nur beides zusammen
- als Admin die Regsitry anpassen
Und(!)
- UAC of Low stellen
(und einem Neustart)
funktioniert Windows in der Adminfreigabe wie es soll
Ein Dank an die Gemeinde und ein Verständnisloses Kopfschütteln an Microschrott
Habe erst mal ein paar Tests gemacht. Hat ein bisschen gedauert.
Nur beides zusammen
- als Admin die Regsitry anpassen
Und(!)
- UAC of Low stellen
(und einem Neustart)
funktioniert Windows in der Adminfreigabe wie es soll
Ein Dank an die Gemeinde und ein Verständnisloses Kopfschütteln an Microschrott
