Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trotz Domänenadmin kein Zugriff auf lokale Laufwerke des Domain Controllers

Frage Microsoft Windows Server

Mitglied: Reptile

Reptile (Level 1) - Jetzt verbinden

13.02.2013, aktualisiert 17:13 Uhr, 3357 Aufrufe, 11 Kommentare

Guten Tag.
Ich hoffe ihr könnt mir helfen

Ich habe einen Domaincontroller installiert.
Logge ich mit dem integrierten Administrator-Account ein, kann ich auf die Laufwerke D usw. zugreifen.

Benutze ich meinen eigenen Administrator, den ich in der Activ-Directory erstellt habe und den Gruppen Built in Administratoren und Domänen Admins zugeteilt habe, so erhalte ich die Fehlermeldung "Zugriff verweigert"

Unter Sicherheit des Laufwerks D sieht es so aus

Siehe Bild

5e92a0a0535426447636fa7a323adb0c - Klicke auf das Bild, um es zu vergrößern

Natürlich hat die Gruppe "Domänen-Admins" Vollzugriff
Mitglied: catachan
13.02.2013 um 17:14 Uhr
Hi

Hast du dem Benutzer die Gruppen gegeben nachdem du dich mit ihm angemeldet hast ? Damit Gruppen ziehen muss man sich an und abmelden

LG
Bitte warten ..
Mitglied: DerWoWusste
13.02.2013 um 17:40 Uhr
Hi.

Der alte Hut 2.0: die UAC mal wieder. So lange Du da nicht namentlich drin stehst, kannst Du nur zugreifen, wenn der Prozesse, der zugreift, elevated läuft. Der Token Deines Domänenadmins kann erst dann seine Gruppenmitgliedschaft ausspielen.
Bitte warten ..
Mitglied: Reptile
13.02.2013, aktualisiert um 17:42 Uhr
Ich habe gleich komplett neu gestartet.
Unter "Mitglied von"
ist Domänen-Admins eingetragen.
Warum kann ich trotzdem nicht auf dieses Laufwerk zugreifen?
Gibt es da irgend eine Regel wegen den vordefinierten Gruppen?
Das ein Domänenuser in keine lokale Gruppe kann? oder so?

übrigens Windows Server 2012
Bitte warten ..
Mitglied: Reptile
13.02.2013 um 17:43 Uhr
Ich habe geglaubt, die UAC komplett deaktiviert zu haben...
Bist du sicher?

Wie kann ich den Explorer den mal kurz elevated starten?
Bitte warten ..
Mitglied: Reptile
13.02.2013 um 17:45 Uhr
Ich habe die UAC auf "Nie benachrichtigen" gesetzt.
Gilt das nicht als ausgeschaltet?
Bitte warten ..
Mitglied: DerWoWusste
13.02.2013 um 17:49 Uhr
Da bin ich mir sicher, ja. Ob die UAC aus ist, solltest Du merken, bzw. prüfen können. Jedenfalls ist es so, dass sie für den integrierten Admin nicht gilt, aber für alle anderen.

Starte nicht den explorer, soindern notepad elevated, einfach mit der rechten Taste anklicken und "ausführen als Administrator" wählen - wenn hiernach, also noch vor dem Start von Notepad eine UAC-Abfrage kommt, ist sie an. Nach Bestätigung dieser Abfrage darf notepad dann alles, was der Domadmin dürfen soll, Du kannst den Öffnen-Dialog von notepad als Dateibrowser zum Test gebrauchen.
Bitte warten ..
Mitglied: Reptile
13.02.2013 um 17:55 Uhr
Ganz interessant! Es funktioniert nicht aber:
Die Abfrage des UAC beim Starten von Notepad erscheint nicht.
Wenn ich dann mit "öffnen" die Laufwerke durchsuche, kann ich tatsächlich alle Dateien sehen.
Gehe ich aber in den normalen Explorer
(Server 2012) so habe ich auf die Laufwerke keinen Zugriff.

Die UAC scheint also irgendwie noch zu laufen, nur fürs "elevaten" gibt sie keinen Muks mehr von sich.

komisch? Da noch eine Idee?
Muss man sie irgendwie komplett ausschalten?
Übrigens funktioniert es nicht, wenn ich "explorer.exe" versuche elevated zu starten
Bitte warten ..
Mitglied: DerWoWusste
13.02.2013 um 17:59 Uhr
Dann werden wir es auch lösen können.
Was wurde denn an der UAC gemacht, wirklich nur der Schieber auf "nie benachrichtigen"? Keine weiteren Policies oder "Murks-Tools"?
Bitte warten ..
Mitglied: Reptile
13.02.2013 um 18:42 Uhr
Wirklich nur am schieber!
Das ist eine Neuinstallation
Bitte warten ..
Mitglied: DerWoWusste
13.02.2013 um 19:35 Uhr
Seehr merkwürdig. Ist bei meinem 2012 nicht so, sondern genau wie zu erwarten.
Bitte warten ..
Mitglied: atroX87
02.03.2015, aktualisiert um 11:11 Uhr
Hi wir haben hier das selbe Phänomen

Hat irgendwas mit den builtin Gruppen in einer Domäne zutun, und nur wenn er zum DC promotet wird, stimmts? Dann werden ja die lokalen Gruppen gelöscht und irgendwas haut da dann nicht hin.

Der Default dom Admin hat weiter zugriff, alle selbst erstellten Admins die Mitglieder einer builtin Gruppe sind scheitern, berechtigt man sie direkt oder mit einer non builtingruppe klappt der zugriff.

Letzte Sache die mir auffiel, es scheint irgendwas mit dem Explorer zutun zu haben, kannst du mal prüfen ob du per CMD mit "dir d:\" ebenfalls zugriff hast und alle Ordner angezeigt bekommst.

Update: per Powershell gibt es ebenfalls kein zugriff aber mit treesize und "run as Administrator", lässt sich das Laufwerk durchsuchen

Grüße atroX87
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
gelöst Windows 10: Standardprofil für lokale und Domain-Konten erstellen

Frage von Wintektiv zum Thema Windows 10 ...

Windows Server
gelöst Lokale Laufwerke auf Terminalserver ausblenden (1)

Frage von Aubanan zum Thema Windows Server ...

Microsoft
gelöst GPO - Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen (3)

Frage von Philipp711 zum Thema Microsoft ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...