Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Berechtgungen für lokale Gruppen unter Windows 7 als Domänenmitglied

Frage Microsoft Windows Userverwaltung

Mitglied: Matzescd

Matzescd (Level 1) - Jetzt verbinden

16.02.2010, aktualisiert 13:07 Uhr, 7500 Aufrufe, 6 Kommentare

Hallo zusammen,

wir sind gerade dabei, die ersten Windows7 Pro Rechner in unser Netz aufzunehmen und haben folgendes Problem:

Bisher unter Windows XP haben wir das Userprofil, eigene Dateien, etc. auf das lokale Laufwerk D ausgelagert.
Die Zugriffsrechte haben wir immer folgendermaßen geregelt:

D: System Vollzugriff, lokale Admins Vollzugriff, lokale Hauptbenutzer lesen
D:\Dateien System Vollzugriff, lokale Admins Vollzugriff, lokale Hauptbenutzer ändern (hierhin verweist "eigene Dateien")
D:\Profiles identisch zu oben aber Hauptbenutzer Vollzugriff (Hier liegt das Userprofil)

Dazu haben wir den speziellen User aus der AD-Domäne in die lokalen Hauptbenutzer aufgenommen, damit er alleine Zugriff auf die Daten hat.
In den lokalen Admins befindet sich eine Gruppe aus dem AD mit den Systemverwaltern.

Exakt diese Situation habe ich unter Windows7 Pro nachgestellt, mit dem Ergebnis, dass mir ein "Zugriff verweigert" um die Ohren gehauen wird.
Die effektiven Rechte habe ich überprüft. Da passt alles.
Sobald ich eine AD Gruppe in die Rechte von D: aufnehme geht es.

Im Moment sieht es so aus, als würde Win7 die AD Mitglieder lokaler Gruppen ignorieren, denn wenn ich mich mit dem lokalen Admin anmelde, dann kann ich zugreifen.

Beispiel wäre hier, dass eine AD Gruppe (nennen wir sie "installer") Mitglied in den lokalen Admins ist, trotzdem hat die Gruppe keinen Zugriff auf D:
Der lokale Administrator (gleiche Mitgliedschaft) hat Zugriff
Nehme ich jetzt die AD Gruppe Installer direkt in die NTFS Rechte rein, kann ich zugreifen.

Ist evtl. noch jemand in diese Falle getappt?
Mitglied: DerWoWusste
16.02.2010 um 13:50 Uhr
Hi.
Die effektiven Berechtigungen passen, dann sollte es gehen.
Was sein kann: die eff.-Berechtigungsabfrage nutzt den aktualisierten Token (denn sie fragt den DC), Dein Testzugriff erfolgt mit dem alten Token. Lösung: einmal neu anmelden.
Bitte warten ..
Mitglied: DerWoWusste
16.02.2010 um 13:53 Uhr
Ich untersuch das Mal zu Hause.
Bitte warten ..
Mitglied: Matzescd
16.02.2010 um 14:04 Uhr
Token kann man ausschließen, da ich mit dem Problem seit Gestern rummache.

ZU "untersuchen zuhause" Kannst Du das Problem nachvollziehen?
Bitte warten ..
Mitglied: DerWoWusste
16.02.2010 um 14:46 Uhr
Wenn Du mich fragst "kannst Du es Dir vorstellen" - ja. Nachvollziehen/nachstellen mach ich in meiner Testdomäne zu Hause.
Bitte warten ..
Mitglied: Matzescd
16.02.2010 um 15:07 Uhr
Noch ein Zusatz.

Jetzt habe ich einen speziellen AD Benutzer mit identischen Rechten wie die lokale Gruppe direkt aufgenommen... Und schon geht es.
Macht die Imageverwaltung mehr als umständlich...
Bitte warten ..
Mitglied: DerWoWusste
16.02.2010 um 22:41 Uhr
So, hab's gemacht.
Es verhält sich so: Domänenuser in lokale Gruppen funktioniert natürlich wie erwartet - NUR nicht mit den Hauptbenutzern.
Diese Gruppe ist - laut Hilfe - entmachtet und nur noch aus Kompatibilitätsgründen da.
Dass sie (in Punkto Privilegien) behandelt wird, wie die Gruppe "Benutzer", war mir bewusst - dass es diese Nebeneffekte gibt, nicht.

Warum es bei Dir mit der Gruppe der lokalen Admins nicht geht, wird daran liegen, dass die Benutzerkontensteuerung die Nutzer nur als Admins behandelt, wenn sie hochgestuft wurden (elevation) - hab ich auch getestet ->erwartetes Verhalten.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...