tf00723
Goto Top

Lokaler Administrator vs. Domänen Benutzer

Hallo Newsgemeinde,

habe folgende Konstellation.

Ich selbst bin Mitglied (Domänen-Benutzer) einer Win2003 AD-Umgebung. Lokal habe ich meine Domänenbenutzeraccount den lokalen Administratoren hinzugefügt, um lokal Adminrechte zu haben. Zusätzlich lege ich jetzt eine weitere lokale Gruppe an und füge mein Domänen-Konto dieser Gruppe hinzu.

Jetzt will ich einen lokalen Ordner anlegen, und nur dieser lokalen Gruppe den Besitz und die Rechte geben. Sprich in der Lasche Sicherheit wurde die Vererbung entfernt, und diese Lokale Gruppe als Besitzer und als User mit Vollzugriff angelegt. Versuche ich jetzt im Explorer den Ordner mir anzusehen kommt von Windows die Fehlermeldung "Zugriff verweigert".

Was mache ich falsch?

Vielen Dank schon jetzt für Eure Hilfe.

Gruß,

Roland Breitschaft

Content-Key: 110042

Url: https://administrator.de/contentid/110042

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: DerSchorsch
DerSchorsch 26.02.2009 um 10:44:04 Uhr
Goto Top
Hallo,

hast du dich neu angemeldet, nachdem du dich zur lokalen Gruppe hinzugefügt hast? Wenn nicht, macht das mal, Windows wertet die Gruppenzugehörigkeit sonst nicht aus.

Gruß,
Schorsch
Mitglied: tf00723
tf00723 26.02.2009 um 10:56:03 Uhr
Goto Top
Hallo,

danke für die Antwort. Neuboot wurde gemacht. Die Anlage der Konten ist schon ein paar Tage her. Also kann es denke ich mit der Replizierung nichts mehr zu tun haben.

Gruß,

Roland
Mitglied: jadefalke
jadefalke 26.02.2009 um 12:26:56 Uhr
Goto Top
nun wenn du dich anmeldest bist du in erster linie lokaler admin.
Wo liegt den der Ordner ? Liegt er auf C:/ oder auf C:/Ordner1/Ordner2....
Du hast zwar die Vererbung aufgehoben, schau dir aber erstmal an wer der Besitzer ist.
Wenn du dein Ordner in C:/Ordner1/Ordner2.... angelegt hast sieht es so aus dass du bis Ordner1 mit deinen lok Adminrechten zugreifst. Plötzlich sind aber die Adminrechte aber nicht mehr da, da die lokale Gruppe der Administratoren nicht auf diesen Ordner zugreifen darf, sondern nur deine neu angelegte lokale Gruppe.

Teste mal folgendes.

lege einen neuen lokalen User an. (Mitglied der Gruppe Benutzer und deine Neue lokale Gruppe). Melde diesen an und schau ob du auf dein Ordner zugreifen kannst. (Wenn dein Ordner unter C:/ordner1/ordner2 liegt dann muss dieser Benutzer bis dahin navigieren dürfen im Explorer). Kommt der auf den Ordner?

Du musst den lokalen Admin oder die lokale Gruppe der Administratoren mit aufnehmen in der NTFS Berechtigung.

Aber mal eine andere Frage, So wie du das beschrieben hast, wozu soll das gut sein ?
Mitglied: tf00723
tf00723 26.02.2009 um 14:25:35 Uhr
Goto Top
Hallo,
also Besitzer ist die lokale Gruppe. Die lokale Gruppe hat auch Vollzugriff auf diesen Ordner. In dieser lokalen Gruppe ist das Domänenkonto enthalten, mit dem ich auch eingeloggt bin. Mit dieser Einstellung sollte der Zugrifft klappen.

Sinn des ganzen ist:
Ich möchte hier einen Ordner für mehrere Domänen-User freigeben, und habe dazu eine lokale Gruppe angelegt. In diese Gruppen sollen alle Domänenuser kommen, denen der Zugriff auf die Freigabe erlaubt wird.

Gruß,

Roland
Mitglied: jadefalke
jadefalke 26.02.2009 um 15:05:11 Uhr
Goto Top
das ist ja auch ok,
deswegen sagte ich probiere es mit anderen Benutzern die keine lok Admins sind. Einer der Benutzer die wirklich darauf zugreifen sollen.
Da du den lok Admin ausgesperrt hast, kommt du auch nicht mehr rein, da du Mitglied der lok Admingruppe bist.
Du kannst ja Mitglied der lok Usergruppe sein die du angelegt hast, du klopfst aber am Ordner mit den Rechten des lok. Admin und der darf nunmal nicht reinschauen.

Die Gruppe der lok. Administratoren hat mehr Rechte als die angelegte Usergruppe, aber genau diese Gruppe darf nicht reinschauen... deswegen "zugriff verweigert". Die Rechte mehreren Gruppen addieren sich nicht. Der stärkere gewinnt. In diesem Fall - verliert.
Mitglied: tf00723
tf00723 26.02.2009 um 16:18:57 Uhr
Goto Top
Und da fiel es ihm wie Schuppen von den Augen. Vielen Dank. Das ist die Lösung. Habe es verstanden face-wink)

Grüße,

Roland