Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Userverwaltung

Berechtgungen für lokale Gruppen unter Windows 7 als Domänenmitglied

Mitglied: Matzescd

Matzescd (Level 1) - Jetzt verbinden

16.02.2010, aktualisiert 13:07 Uhr, 7552 Aufrufe, 6 Kommentare

Hallo zusammen,

wir sind gerade dabei, die ersten Windows7 Pro Rechner in unser Netz aufzunehmen und haben folgendes Problem:

Bisher unter Windows XP haben wir das Userprofil, eigene Dateien, etc. auf das lokale Laufwerk D ausgelagert.
Die Zugriffsrechte haben wir immer folgendermaßen geregelt:

D: System Vollzugriff, lokale Admins Vollzugriff, lokale Hauptbenutzer lesen
D:\Dateien System Vollzugriff, lokale Admins Vollzugriff, lokale Hauptbenutzer ändern (hierhin verweist "eigene Dateien")
D:\Profiles identisch zu oben aber Hauptbenutzer Vollzugriff (Hier liegt das Userprofil)

Dazu haben wir den speziellen User aus der AD-Domäne in die lokalen Hauptbenutzer aufgenommen, damit er alleine Zugriff auf die Daten hat.
In den lokalen Admins befindet sich eine Gruppe aus dem AD mit den Systemverwaltern.

Exakt diese Situation habe ich unter Windows7 Pro nachgestellt, mit dem Ergebnis, dass mir ein "Zugriff verweigert" um die Ohren gehauen wird.
Die effektiven Rechte habe ich überprüft. Da passt alles.
Sobald ich eine AD Gruppe in die Rechte von D: aufnehme geht es.

Im Moment sieht es so aus, als würde Win7 die AD Mitglieder lokaler Gruppen ignorieren, denn wenn ich mich mit dem lokalen Admin anmelde, dann kann ich zugreifen.

Beispiel wäre hier, dass eine AD Gruppe (nennen wir sie "installer") Mitglied in den lokalen Admins ist, trotzdem hat die Gruppe keinen Zugriff auf D:
Der lokale Administrator (gleiche Mitgliedschaft) hat Zugriff
Nehme ich jetzt die AD Gruppe Installer direkt in die NTFS Rechte rein, kann ich zugreifen.

Ist evtl. noch jemand in diese Falle getappt?
Mitglied: DerWoWusste
16.02.2010 um 13:50 Uhr
Hi.
Die effektiven Berechtigungen passen, dann sollte es gehen.
Was sein kann: die eff.-Berechtigungsabfrage nutzt den aktualisierten Token (denn sie fragt den DC), Dein Testzugriff erfolgt mit dem alten Token. Lösung: einmal neu anmelden.
Bitte warten ..
Mitglied: DerWoWusste
16.02.2010 um 13:53 Uhr
Ich untersuch das Mal zu Hause.
Bitte warten ..
Mitglied: Matzescd
16.02.2010 um 14:04 Uhr
Token kann man ausschließen, da ich mit dem Problem seit Gestern rummache.

ZU "untersuchen zuhause" Kannst Du das Problem nachvollziehen?
Bitte warten ..
Mitglied: DerWoWusste
16.02.2010 um 14:46 Uhr
Wenn Du mich fragst "kannst Du es Dir vorstellen" - ja. Nachvollziehen/nachstellen mach ich in meiner Testdomäne zu Hause.
Bitte warten ..
Mitglied: Matzescd
16.02.2010 um 15:07 Uhr
Noch ein Zusatz.

Jetzt habe ich einen speziellen AD Benutzer mit identischen Rechten wie die lokale Gruppe direkt aufgenommen... Und schon geht es.
Macht die Imageverwaltung mehr als umständlich...
Bitte warten ..
Mitglied: DerWoWusste
16.02.2010 um 22:41 Uhr
So, hab's gemacht.
Es verhält sich so: Domänenuser in lokale Gruppen funktioniert natürlich wie erwartet - NUR nicht mit den Hauptbenutzern.
Diese Gruppe ist - laut Hilfe - entmachtet und nur noch aus Kompatibilitätsgründen da.
Dass sie (in Punkto Privilegien) behandelt wird, wie die Gruppe "Benutzer", war mir bewusst - dass es diese Nebeneffekte gibt, nicht.

Warum es bei Dir mit der Gruppe der lokalen Admins nicht geht, wird daran liegen, dass die Benutzerkontensteuerung die Nutzer nur als Admins behandelt, wenn sie hochgestuft wurden (elevation) - hab ich auch getestet ->erwartetes Verhalten.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Lokale Richtlinie teilweise bei Domänenmitgliedern vorhanden
gelöst Frage von michi12Windows Server2 Kommentare

Hallo zusammen, ich bin noch Neuling im Gebiet Windows Server, aber dank dieser Seite schon habe ich schon vieles ...

Windows Server
Lokale Gruppe verschwunden
Frage von raba34Windows Server3 Kommentare

Hallo, auf einem PC, der in eine Domäne eingebunden ist, fehlt plötzlich die lokale Gruppe der Remotedesktopbenutzer. Ich hatte ...

Linux Userverwaltung
AD,LDAP Gruppe auf Lokale Gruppe abbilden
Frage von Phill93Linux Userverwaltung9 Kommentare

Hallo, ich habe folgendes Problem: Ich nutze die Software OPSI diese benötigt für die Administration 2 Lokale Gruppen (pcpatch ...

DNS
Nicht Domänenmitglieder werden nicht in der Forward-Lookupzone angelegt
Frage von AndreasOCDNS12 Kommentare

Hallo zusammen, da wir immer wieder Testmaschinen haben die nicht in unserer Domäne sind wäre es super wenn die ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 20 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 21 StundenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 22 StundenSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
gelöst Frage von Windows10GegnerNetzwerkgrundlagen21 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit18 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...