Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lokaler Administrator hat auf einem Server Adminrechte

Frage Microsoft Exchange Server

Mitglied: tekken

tekken (Level 1) - Jetzt verbinden

15.03.2011 um 16:29 Uhr, 4859 Aufrufe, 32 Kommentare

Hallo zusammen, entschuldigt bitte den Thread-Titel, aber mir ist leider kein besserer eingefallen. Ich hoffe, dass Ihr mir trotzdem helft ;)

Ich habe folgendes Problem:

Habe einen neuen Fileserver (Windows Server 2008 R2) hochgezogen um den alten Fileserver (noch auf Windows 2000) nach und nach umzuziehen.
Dabei wurde auch gleich das Berechtigungskonzept überdacht. Dies soll in Zukunft mit Access-Based-Enumeration erfolgen (nur Benutzer mit NTFS-Berechtigungen zum Lesen sehen den Unterordner der Freigabe auch)

Dies funktioniert soweit auch, die Benutzer sehen nur die Ordner, auf die sie NTFS-Leseberechtigungen haben.

Mein Benutzer sieht jedoch alle Unterordner auf diesem Server und kann Berechtigungen usw. bearbeiten. (Quasi als wäre er Administrator). Der Benutzer ist jedoch in keiner Administratorgruppe auf einem der DCs oder sonstwo hinterlegt. Der Befehl: gpresult bringt folgendes Ergebnis:

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:
--------------------------------------------------
Domänen-Benutzer
Jeder
Administratoren
Benutzer
INTERAKTIV
Authentifizierte Benutzer
LOKAL

Habe im ADS alle Gruppen durchsucht und auch im Benutzer selber sind keine Berechtigungen vergeben.

Melde ich mich mit diesem Benutzer auf einem anderen Rechner an, funktioniert das Ganze wieder. Dann sehe ich nur die mir freigegebene Ordner.

Ich blick da nicht mehr ganz durch und hoffe ihr könnt mir helfen ;)

Gruß René
32 Antworten
Mitglied: Flatcher
15.03.2011 um 16:40 Uhr
Wenn ich das jetzt richtig verstanden habe, liegt es an der >Administrator<-Gruppe.
Bitte warten ..
Mitglied: tekken
15.03.2011 um 16:45 Uhr
Ja aber das Problem ist dass ich nicht weiss, wo er sih diese gruppe bezieht. Es muss meiner Meinung nach auch irgendwas mit dem Rechner zu tun haben. Anmelden an einem anderen Rechner behebt das Problem. Umbenennen und neueinfügen des Problemrechners in die Domäne leider nicht...

Gruß Renė
Bitte warten ..
Mitglied: Flatcher
15.03.2011 um 16:48 Uhr
Lokale Gruppe der Administratoren eventuell?
Bitte warten ..
Mitglied: tekken
15.03.2011 um 16:50 Uhr
Ja der Benutzer ist in den lokalen Administratoren, aber selbst wenn ich ihn dort lösche geht es nicht.
Bitte warten ..
Mitglied: Flatcher
15.03.2011 um 16:51 Uhr
Meldest du dich dann als lokaler oder als Dom-Admin an?
Bitte warten ..
Mitglied: tekken
15.03.2011 um 17:21 Uhr
Ich melde mich als lokaler Admin an (normaler Benutzer-Account)
Bitte warten ..
Mitglied: kingkong
15.03.2011 um 17:22 Uhr
Könnte es vielleicht sein, dass Du die Verbindung auf Deinem Rechner schon einmal mit anderen Benutzerdaten hergestellt hast und diese Daten noch gespeichert sind?
Bitte warten ..
Mitglied: tekken
15.03.2011 um 17:24 Uhr
Der Domänen-Admin war auf dem Rechner schonmal angemeldet.
Bitte warten ..
Mitglied: kingkong
15.03.2011 um 17:49 Uhr
Diese Antwort interpretiere ich jetzt so, dass Du sagst, Du oder jemand anderes hast bzw. hat sich schon einmal als Domänen-Admin mit eigenem Profil auf dem Rechner angemeldet. Das ist aber nicht das, was ich meine. Ich denke an die Verbindungsherstellung zu der Freigabe unter anderen Benutzerdaten als denen, mit denen man am Rechner angemeldet ist. Beispielsweise melde ich mich am Rechner als "beispieldomäne\mustermann" mit Passwort "max" an, stelle dann aber die Verbindung zum Netzlaufwerk mit den Benutzerdaten "beispieldomäne\administrator" mit Passwort "passwort" her. Wird jetzt das Passwort gecacht, dann habe ich zukünftig unter Umständen vollen Zugriff...
Bitte warten ..
Mitglied: tekken
15.03.2011 um 22:59 Uhr
Ah okay jetzt habe ich verstanden. Da schau ich Morgen gern nochmal rein, das istne gute Idee. Eigentlich werden die Netzlaufwerke ohne Benutzername verbunden aber man weiß ja nie. Schonmal vielen Dank für die Hilfe.Falls jemand noch eine andere Idee hat immer her damit. Ich schau Morgen nohnal und melde mich dann. Gute Nacht
Bitte warten ..
Mitglied: tekken
16.03.2011 um 08:25 Uhr
Also hab geschaut und Verbindung ist unter meinem Benutzernamen hergestellt worden. Das wars also auch nicht.
Bitte warten ..
Mitglied: tekken
16.03.2011 um 12:57 Uhr
Sonst keiner eine Idee? Bin echt am Verzweifeln...
Bitte warten ..
Mitglied: kingkong
16.03.2011 um 13:21 Uhr
Mal ganz primitiv gefragt: Auf dem Server existiert kein lokales Administratorkonto mit dem selben Namen und Passwort?!
Bitte warten ..
Mitglied: tekken
16.03.2011 um 13:37 Uhr
Nein, schön wärs gewesen. Die einzigsten Konten auf dem Server sind der lokale Admin und der Domänen-Admin.
Bitte warten ..
Mitglied: tekken
17.03.2011 um 09:06 Uhr
Habe mal zum Testen einen neuen Ordner "test" angelegt, auf den nur der Domänenadministrator Berechtigungen hat.
Kann den Ordner jedoch trotzdem mit dem betroffenen User-Profil sehen.

Wo könnten denn noch die Admin-Informationen hinterlegt sein?

Wo kann ich sehen, woher die Rechte (siehe gpresult Ergebnisse im 1. Post) herkommen?


Bin echt am Verzweifeln
Bitte warten ..
Mitglied: tekken
18.03.2011 um 08:26 Uhr
Niemand mehr eine Idee? Meiner Meinung nach muss es doch eigentlich am lokalen Rechner liegen. Weil wenn ich mich auf einem anderen Rechner anmelde, ist die Berechtigung weg. Wo werden denn lokal noch Benutzereinstellungen (wo eventuell der Admin hinterlegt ist) gespeichert?
Bitte warten ..
Mitglied: DerWoWusste
18.03.2011 um 21:07 Uhr
Hi.
Der Titel "Lokaler Administrator hat auf einem Server Adminrechte" trifft den Sachverhalt doch keineswegs. Du siehst von einem Clientrechner aus Ordner, die ABE eigentlich unsichtbar machen sollte. Du schreibst nicht einmal, ob der User darauf Zugriff hat, oder nicht - denn sehen allein heißt doch nicht zugreifen. Prüf das.
Bitte warten ..
Mitglied: tekken
18.03.2011 um 21:12 Uhr
Hi ich hab doch geschrieben ih weiss nicht wie ich es anders ausdrücken soll ;) Ich sehe die Ordner aber kann sie auch löschen, berechtigungen ändern, obwohl nur der Adminietrator Berechtigungen besitzt.

Was mich halt stutzig macht ist dass es nicht so ist, wenn ich mich an einem anderrn Rechner anmelde.

LG renė
Bitte warten ..
Mitglied: DerWoWusste
18.03.2011 um 21:22 Uhr
Das ist ganz klar ein Defekt. Prüf noch ergänzend, ob Dein Benutzeraccount, welches defacto löschen kann, "offiziell" löschen darf. Geh dazu in die effektiven Berechtigungen einer Datei auf dem Reiter Sicherheit - erweitert.
Bitte warten ..
Mitglied: tekken
18.03.2011 um 21:35 Uhr
Also hab eben geschaut, nur der Administrator darf löschen. Von meinem Benuutzeraccount ist garnichts hinterlegt.
Hab letzt auch getestet, selbst wenn ich meinem Benutzer alle Rechte verweigere, hab ich weiterhin vollzugriff. Ausser wenn ich auf einem anderen Rechner angemeldet bin, dort geh alles. Muss doch dann irgend ne Einstellung an meim Rechner sein, oder irre ich mich?
Bitte warten ..
Mitglied: DerWoWusste
18.03.2011 um 22:25 Uhr
Du irrst Dich, das ist ein Defekt. Man kann nicht einstellen "NTFS-Rechte, bitte spielt mal verrückt".
Bitte warten ..
Mitglied: tekken
18.03.2011 um 22:42 Uhr
Sorry aber das versteh ich nich. Was soll denn da defekt sein? es is ja nur auf einem rechner so. Ergibt für mich keinen Sinn. Bitte klär mich auf und sag mir was ich tun kann
Bitte warten ..
Mitglied: DerWoWusste
18.03.2011 um 23:03 Uhr
Du glaubst, es wäre "eine Einstellung" - aber so eine Einstellmöglichkeit ergäbe keinen Sinn und es gibt sie nicht. Wenn es auf anderen Rechnern geht, dann ist diese Installation defekt. Irgendwie übermittelt sie falsche Anmeldeinformationen, die sie sonstwo gecachet hat - und das darf sie nicht tun.
Es sei denn, Du hast die Anmeldeinfos eines Admins absichtlich gespeichert (Netzwerkkennwörter). Du hast schon geschriebn "die Verbindung wird unter meinem Namen hergestellt" - dürfte also nicht gegeben sein.
Bitte warten ..
Mitglied: tekken
18.03.2011 um 23:08 Uhr
Wenn die Daten irgendwo gespeichert sind is das doch aber kein defekt? aber ist ja auch egal ob defekt oder nicht, würde nur gerne herausfinden, wie ich den fehler beheben kann. Wollen den Server demnächst umstellen und man kann sih ja denken, was passieren kann, wenn ein user die falschen rechte hat. würde sowas halt gerne verhindern. wäre schön, wenn du mir eventuell eine hilfestellung zum beheben des fehlers geben könntest.
Bitte warten ..
Mitglied: DerWoWusste
18.03.2011 um 23:19 Uhr
Wenn auf Dem Server nach Eingabe des Befehls "net sessions" das selbe Nutzerkonto auftaucht, egal ob von dem "defekten" oder vom normalen Cleint aus verbunden, dann solltest Du den Client aus dem Verkehr ziehen=neu installieren.
Bitte warten ..
Mitglied: tekken
18.03.2011 um 23:53 Uhr
Ich schaus mir morgen mal an und geb dann bescheid. danke schonmal fur die hilfe. gn8
Bitte warten ..
Mitglied: tekken
21.03.2011 um 11:24 Uhr
Sorry, bin jetzt erst dazu gekommen.

Ergebnis von net session:
\\10.81.1.4 ADMINISTRATOR Windows 2002 S... 3 00:00:16

Erstaunt mich doch sehr. Also meldet sich mein Client doch mit Administratorenrechten an. Hat jemand eine Idee?

LG René
Bitte warten ..
Mitglied: DerWoWusste
21.03.2011 um 11:30 Uhr
Du hast zwischengespeicherte Anmeldeinfos. Kontrollier das erneut ->gespeicherte Netzwerkkennwörter anschauen.
Bitte warten ..
Mitglied: tekken
21.03.2011 um 11:44 Uhr
Hab mit dem Tool rundll32 keymgr.dll, KRShowKeyMgr die Logininformationen gelöscht. War ein Eintrag vom besagten Server vorhanden (ich vermute von RDP). Leider hat das das Problem noch nicht behoben. Logge mich mit RDP über den Administratorenaccount an nicht mit meinem Benutzer.

LG René
Bitte warten ..
Mitglied: kingkong
21.03.2011 um 11:58 Uhr
Neustart beider Geräte ist zur Sicherheit erfolgt?
Bitte warten ..
Mitglied: Jolly12
21.03.2011 um 12:34 Uhr
Hast Du die Vererbung von Verzeichnisrechten auch ausgeschaltet?
Was sagt der Eigenschaftsdialog beim Ordner mit dem du die effektiven Berechtigungen prüfen kannst?
Bitte warten ..
Mitglied: tekken
21.03.2011 um 12:34 Uhr
Soo Neustart Server und Rechner.

Und siehe da: ES FUNKTIONIERT!!!

Problem lag wohl an den gespeicherten Admindaten im RDP. Muss ich dort halt leider immer die Daten eingeben.

Vielen Dank für deinen Support.

LG René
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
E-Mail
Lokaler Relay-Server (10)

Frage von eccos01 zum Thema E-Mail ...

Server-Hardware
Dell server administrator (2)

Frage von meister00 zum Thema Server-Hardware ...

Windows Server
gelöst Administrator kann auf Server keine EXE-Dateien kopieren, löschen, anlegen (5)

Frage von Winfried-HH zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...