m.marz
Goto Top

Keine Berechtigung trotz Domänen-Admin User

Hallo zusammen,

ich würde gerne die NTFS-Berechtigung in einer Ordnerfreigabe anpassen, da sich die Konfigs zerschossen haben.

Da ich jeden Tag um 12 Uhr eine Schattenkopie erstellen lasse, würde ich gerne die Schattenkopie die paar Stunden vor dem Fall hier einsehen und die richtigen Berechtigungen einsehen.

Leider zeigt mit der Win2008R2 Server an, das ich keine Berechtigung habe mir die Berechtigungen anzuzeigen.

Ich bin Domänen-Admin und wundere mich das ich keine Berechtigung habe diese einzusehen.

Was kann ich machen um mir die NTFS-Berechtigung eines Ordners anzusehen, dass in der Schattenkopie existiert?

Danke


LG

Content-Key: 322960

Url: https://administrator.de/contentid/322960

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: emeriks
emeriks 05.12.2016 um 20:04:22 Uhr
Goto Top
Hi,
in der Schattenkopie kannst Du gar nichts machen. Die Berechtigungen würden 1:1 wiederhergestellt werden, wenn Du diese VSS-Kopie im Originalpfad wiederherstellst. Solltest Du aber jetzt erstmal nicht machen!

Du bist also der Meinung, dass die NTFS-Berechtigungen erst kürzlich geändert wurden, sodass Du da jetzt nicht mehr rankommst?
  1. Von wem geändert? --> An diesen Admin wenden
  2. Schon mal versucht, die CMD "als Administrator" zu starten, um dann in dieser auf den Ordner zuzugreifen und Berechtigungen einzusehen bzw. zu ändern? (z.B. mit cacls.exe)
  3. Ein Domänen-Admin ist nur per Default auf einem Member Server auch lokaler Admin. Das kann geändert worden sein. Also: Bist Du mit diesem Domänen-Admin tatsächlich auch Administrator auf dem Fileserver?
  4. Als Administrator des Fileservers könntest Du den Besitz des Ordners oder der Datei übernehmen. Dann könntest Du auch wieder die ACL bearbeiten. Aber mach sowas nur, wenn Du weißt, was Du tust. Also besser vorher an einer Test-Ordnerstruktur üben.

E.
Mitglied: M.Marz
M.Marz 05.12.2016 um 20:08:58 Uhr
Goto Top
danke Emeriks,

nein es wurde von keinem Admin verändert.

Vorger waren die Berechtigungen anders gesetzt, bis ich plötzlich bemerkt habe das eine User-Gruppe seine Berechtigungen auf "spizielle Berechtigung" automatisch setzt.

Beim nächsten kontrollieren waren plötzlich die meisten Gruppen aus den Berechtigungen geflogen aus welchem Grund auch immer.

Da täglich schatten Kopien erstellt werden, wollte ich mir die NTFS-Berechtigungen schnell daraus einsehen um die wieder wie vorher zu setzen.

Lokaler Admin bin ich, das stelle ich ja so fest, dass ich zb die CMD als Administrator ausführen kann.
Mitglied: Chonta
Chonta 06.12.2016 um 08:45:04 Uhr
Goto Top
Hallo,

Beim nächsten kontrollieren waren plötzlich die meisten Gruppen aus den Berechtigungen geflogen aus welchem Grund auch immer.
Als erstes die SMART Werte der Platte auslesen und dann das Dateisystemgradebiegen und den Server neu starten.
Gut möglich, das danach die Dateisystemrechte wieder stimmen.

Wenn bei dem Verzeichniss keine Gruppe in der Du drin bist Lesezugriff hat , Admin hin oder her, dann hast Du da keinen Zugriff und kannst nix machen.
Du kannst ggf den besitzübernehmen und dann die Rechte anpassen.

In der Volumenschattenasicht zum öffnen und zurücksichern kannst Du auch oben auf die Verzeichnisse rechts klicken und dann Eigenschaften > Sicherheit nachschauen was da für Rechte bei sind.
Wenns nicht geht, dann musst Du wieter zurück gehen.

Gruß

Chonta
Mitglied: emeriks
emeriks 06.12.2016 um 09:04:33 Uhr
Goto Top
nein es wurde von keinem Admin verändert.

Vorger waren die Berechtigungen anders gesetzt, bis ich plötzlich bemerkt habe das eine User-Gruppe seine Berechtigungen auf "spizielle Berechtigung" automatisch setzt.
Also von Zauberhand geändert? Hexerei? ..... Voodoo?
Ich hatte in all den Jahren noch nie einen Fall, bei dem sich ein Problem in der Hardware o.ä. als eine geänderte ACL ausgewirkt hätten. Wenn, dann werden hier einfach Datenblöcke geschrottet. Im Fall der ACL würde das bedeuten, dass diese komplett im Eimer wäre und nicht etwa einzelne Einträge.
Wenn die ACL verändert wurde, dann von jemanden bewusst manuell, oder durch ein Script oder Programm. Oder sie wurden gar nicht verändert sondern sind genau so wie sie sein sollen, weil z.B. die eingestellte Vererbung das genau so vorsieht und Du das bloß nicht überblickst.
(Kannst ja mal z.B. eine Ausgabe von CACLS des relevanten Verzeichnis hier posten.)
Beim nächsten kontrollieren waren plötzlich die meisten Gruppen aus den Berechtigungen geflogen aus welchem Grund auch immer.
Grund: Jemand hat es geändert.

Da täglich schatten Kopien erstellt werden, wollte ich mir die NTFS-Berechtigungen schnell daraus einsehen um die wieder wie vorher zu setzen.
Kann man ja machen. Aber wie schon gesagt: Wenn man in der Version der Schattenkopie keine Berechtigungen hatte, die ACL zu lesen, dann kommt man da über die Schattenkopie auch nicht einfach so ran.

Lokaler Admin bin ich, das stelle ich ja so fest, dass ich zb die CMD als Administrator ausführen kann.
OK.
Mitglied: emeriks
emeriks 06.12.2016 um 09:05:52 Uhr
Goto Top
Als erstes die SMART Werte der Platte auslesen und dann das Dateisystemgradebiegen und den Server neu starten.
Gut möglich, das danach die Dateisystemrechte wieder stimmen.
Sehr unwahrscheinlich.
Mitglied: Holle1991
Holle1991 06.12.2016 um 10:34:39 Uhr
Goto Top
Bist du "mehrfach" berechtigt, also ist dein User ggf. "direkt" berechtigt und zusätzlich über eine Gruppe?

Ich habe jetzt schon öfter das Problem gehabt, dass wenn bspw. der User "Hildegard" direkt in der ACL steht und zusätzlich noch in der Gruppe "Putzfrau", dass keine Rechte mehr übernommen werden. Frag mich nicht warum das so ist. Den Fehler konnte ich nur beheben, in dem ich "Hildegard" aus der ACL gelöscht habe.
Mitglied: emeriks
emeriks 06.12.2016 um 10:44:43 Uhr
Goto Top
Bist du "mehrfach" berechtigt, also ist dein User ggf. "direkt" berechtigt und zusätzlich über eine Gruppe?

Ich habe jetzt schon öfter das Problem gehabt, dass wenn bspw. der User "Hildegard" direkt in der ACL steht und zusätzlich noch in der Gruppe "Putzfrau", dass keine Rechte mehr übernommen werden. Frag mich nicht warum das so ist. Den Fehler konnte ich nur beheben, in dem ich "Hildegard" aus der ACL gelöscht habe.
NTFS-Berechtigungen sind kumulativ. Sofern da keine Verweigerungen andere Gewährungen übersteueren gelten also immer die "Summen" aller gewährten Rechte, die ein Benutzer über sich selbst und alle seiner Gruppen erlangt.
Mitglied: Holle1991
Holle1991 06.12.2016 um 10:51:47 Uhr
Goto Top
NTFS-Berechtigungen sind kumulativ. Sofern da keine Verweigerungen andere Gewährungen übersteueren gelten also immer die "Summen" aller gewährten Rechte, die ein Benutzer über sich selbst und alle seiner Gruppen erlangt.

Dessen bin ich mir bewusst und trotzdem habe ich schon mehrfach dieses Phänomen gehabt. Mit "verweigern" Rechten arbeite ich nicht.
Mitglied: emeriks
emeriks 06.12.2016 um 10:56:22 Uhr
Goto Top
Dessen bin ich mir bewusst und trotzdem habe ich schon mehrfach dieses Phänomen gehabt. Mit "verweigern" Rechten arbeite ich nicht.
War das Ziel ein Windows oder ein Samba, NAS o.ä.?
Mitglied: Holle1991
Holle1991 06.12.2016 aktualisiert um 11:00:36 Uhr
Goto Top
Dessen bin ich mir bewusst und trotzdem habe ich schon mehrfach dieses Phänomen gehabt. Mit "verweigern" Rechten arbeite ich nicht.
War das Ziel ein Windows oder ein Samba, NAS o.ä.?

Das letzte mal war es auf meinem HomeServer (HP Microserver n54l, Win2012R2).
Sowohl per RDP direkt aufm dem Server, als auch über SMB vom MBP aus. Da nur von mir verwendet, überall Vollzugriff mit dem Admin. Keine Vererbungen unterbrochen oä. Auf allen Laufwerken das gleiche Problem.