Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sicherheit auf Dateifreigaben in Windows 2008 nicht eindeutig via VPN

Frage Netzwerke

Mitglied: erb-wa

erb-wa (Level 1) - Jetzt verbinden

07.10.2009 um 00:53 Uhr, 5473 Aufrufe, 12 Kommentare

Sehr geehrte Damen und Herren,
vielen Dank an alle Mitwirkenden für dieses ausgezeichnete Forum.

Wir bitten um Hilfe zu einem Problem unter folgendem Szenario:

Windows 2003 Domäne mit 1x W2k3-SP2 und 2x W2k8-SP2 x64 Domänencontrollern, 1x Storagesystem (NAS) ebenfalls unter W2k8-Sp2 x64 als Mitgliedsserver.
Ca. 120 Clients gemischt WinXP-SP3 und Vista-SP2 w32 und Vista-SP2 x64 auf hauptsächlich CAD-Anlagen und BüroPCs, ca. 30 Notebooks.
Die FSMO-Rollen werden bald vom alten W2k3 PDC auf einen der beiden W2k8-Server übertragen. Der Globale Katalog ist auch auf beiden W2k8-DCs vorhanden.

Der gesamte Datenbestand und die Roaming Userprofiles wurden bereits vom W2k3-Server auf das NAS (W2k8) umgezogen.

Die Domäne soll bald in den einheitlichen 2008-Modus geschaltet werden, der W2k3-Server wird entfernt.

Internetzugang via Lancom 7111 an TDSL-Business. In der DMZ ein FTP- und Exchange-2003-Server - beide (noch) unter W2k3-SP2.
Die Notebooks greifen von unterwegs via VPN (NCP-Client) auf Netzwerkfreigaben zu. Die Lancom 7111 ist als RADIUS-Client eingetragen. In den Notebooks existieren Einträge zu allen Servern in den host-Dateien.
An den DCs sind alle erforderlichen Rollen installiert, NAP ist für VPN konfiguriert.

Beispiel für Ordnerfreigabe:

auf Partition D:\ des NAS ist der Ordner D:\Allgemein als "ALLGEMEIN" freigegeben. Freigaberechte: jeder (ändern/voll), administrator (voll) System (voll). Die Sicherheit ist auf Gruppe "Jeder" (ändern), administrator (voll), System (voll) gesetzt.

Im Ordner D:\Allgemein existieren Unterordner, z.B.: D:\Allgemein\Formular. Dieser Unterordner ist im AD als Freigabe "FORMULAR" freigegeben. Die Rechte lauten hier Freigaberechte: Gruppe TECHNIK (ändern), administrator (voll) System (voll). Die Sicherheit ist auf Gruppe TECHNIK (ändern), administrator (voll), System (voll) gesetzt.
Expliziet sollen auf die Freigabe FORMULAR nur Mitglieder der Usergruppe TECHNIK zugreifen können.

Solange die Zugriffe auf die Freigaben innerhalb des Netzwerkes erfolgen (Notebook ist im LAN) treten keine Probleme auf.

Nun das Problem:
Ein Notebook baut von unterwegs via VPN eine Verbindung zum Firmennetz auf. Ein Zugriff auf Dateien und nicht freigegebene Ordner aus der Freigabe "ALLGEMEIN" ist problemlos möglich. Der Zugriff auf freigegebene Unterordner, z.B. FORMULAR , mit abweichender Sicherheit wird mit der Meldung "Zugriff verweigert" abgelehnt. Diese Sperre tritt nur beim Zugriff via VPN auf und erst seitdem die Datenbestände auf Windows 2008 umgezogen wurden. Am alten W2k3-Server funktionieren vergleichbare Freigaben noch problemlos.

Wird die Sicherheit im Unterordner "FORMULAR" um die Gruppe "Jeder" erweitert, dann funktionieren auch die Remotezugriffe wieder.
Die Gruppe " Jeder " verhält sich offensichtlich kritisch.

Wir kämpfen nun schon seit Tagen mit diesem eigentlich lapidarem Problem und finden keine Lösung.
Hat irgendjemand eine Idee ...?

viele Grüße und Dank
erb-wa
Mitglied: sysadmbonn
07.10.2009 um 01:06 Uhr
Hallo,


muss der Ordner "FORMULAR" zwingend ein Unterordner von "ALLGEMEIN" sein? Ich denke mal Du hast hier Probleme mit den vererbten Rechten. Hast Du mal probiert die Rechte zu kopieren und dann mit den "effektiven Berechtigungen" zu überprüfen?

sysadmbonn
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 07:56 Uhr
Guten Morgen,
danke für Deine schnelle Antwort.

Die Ordnerstruktur ist mit Laufwerksbuchstaben gemappt. Diese
muss zwingend beibehalten werden, da tausende Verlinkungen von Officedokumenten und AutoCAD-DWGs mit xRefs existieren.

Die Rechte haben wir natürlich schon kopiert, die effektiven Berechtigungen sind OK.

Es funktioniert nicht einmal, wenn man z.B. der Freigabe FORMULAR in der Sicherheit die Gruppe SCHEMA-ADMINS hinzufügt und die Gruppe TECHNIK in die SCHEMA-ADMINS aufnimmt. Es steht und fällt mit der Gruppe JEDER !

erbwa
Bitte warten ..
Mitglied: speedhub
07.10.2009 um 08:46 Uhr
Hallo,
Mit der Gruppe Jeder werden hier nur die Probleme umgangen, die bei anderen Gruppen vorliegen.

Zitat:
[Der Zugriff auf freigegebene Unterordner, z.B. FORMULAR , mit abweichender Sicherheit wird mit der Meldung "Zugriff verweigert" abgelehnt.]

Hierzu meine Frage: nur bei Zugriff durch die Gruppe Technik oder auch von der Gruppe Administratoren?

Wenn beides problematisch ist würde ich zur Analyse sagen, dass eigentlich bei den über VPN zugreifenden keine der Gruppenmitgliedschaften erkannt wird.

Grüße
Speedhub
Bitte warten ..
Mitglied: sysadmbonn
07.10.2009 um 08:52 Uhr
Noch mal ich ...

@ speedhub: Meinst Du der Radius zerschießt die Gruppenzugehörigkeit?

Nur so ein Gedanke: Ich weiß jetzt nicht genau den Fachbegriff dafür, aber es gibt doch diese Zoneneinstellungen um den Zugriff auf Dateien aus dem Internet einzuschränken. Vielleicht erkennt das OS die gemappten LW nicht als vertrauens würdiges Intranet?
Bitte warten ..
Mitglied: speedhub
07.10.2009 um 09:12 Uhr
@sysadmbonn

naja, zunächst kommen alle als Remote Access User und wenn weiter nichts funktioniert, dann sind Sie vom AD nicht den Gruppen "Administratoren" oder "Technik" zuzuordnen.

Speedhub
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 09:22 Uhr
Hallo,

die Gruppe ADMINISTRATOREN wären ja die lokalen Administratoren auf dem NAS.
Wie auch immer, die Administratoren - lokale oder domänen - haben das Problem nicht.

Unser Ansatz geht deshalb auch in Richtung RADIUS. Ich denke die Zoneneinstellung sollte unkritisch sein, da der Weg ja von aussen nach innen via VPN geht. Ausserdem funktioniert das Ganze ja bei Freigaben auf den alten Windows 2003.

Kann es sein das JEDER unter W2k8 anders behandelt wird ?
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 09:48 Uhr
Die Gruppe TECHNIK ist Mitglied bei den Remotedesktop Usern.

Trotzdem das Problem.
Bitte warten ..
Mitglied: speedhub
07.10.2009 um 09:48 Uhr
@erb-wa
Kann es sein dass man mit JEDER (voll/ändern) schon immer Zugriffsprobleme ausschalten konnte?

Speedhub
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 10:04 Uhr
Noch ein Hinweis:

wir haben gerade ein vergleichbares Szenario auf einem der W2k8 DCs eingerichtet. Und dort funktioniert auch der Remotezugriff (!!!)

Am NAS funktioniert es dagegen nicht. Am NAS sind nur die Rollen Active Directory Lightwight Directory Services und die Dateidienste installiert.
Fehlt hier etwa eine Rolle oder ein Feature das auch der Remotezugriff klappt ?
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 10:07 Uhr
Nein, das war immer unkritisch. JEDER war nie zwingend erforderlich um Zugriff auf Freigaben zu erhalten. Ausserdem funktioniert die Rechtevergabe ja solange die Notebooks am LAN angeschlossen sind und nicht von remote kommen.
Bitte warten ..
Mitglied: speedhub
07.10.2009 um 17:18 Uhr
Hallo erb-wa,


[Die Gruppe TECHNIK ist Mitglied bei den Remotedesktop Usern.

Trotzdem das Problem.]


Schade, dass die Remotedesktop User nicht Mitglied in der Gruppe TECHNIK sind.

Speedhub
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 22:45 Uhr
Verstehe ich jetzt nicht ganz was Du meinst.
Jedenfalls sind alle User der Gruppe TECHNIK auch automatisch Mitglieder der Gruppe Remotedesktop-User, wenn TECHNIK Mitglied der Remotedesktop-User ist. Sollte zumindest so sein. Siehe ff.

Aber ist jetzt auch egal, da wir die Ursache nach 3,5 Tagen gefunden haben:

Die Remotedesktop-User wurden ja beim Hinzufügen der W2k8-DCs im Zuge der AD-Replikation auf die neuen Server übertragen.

Wie haben den Mitgliedsstatus zig-mal überprüft, aber nie bemerkt, dass die Replikation nicht OK war (keine Fehlermeldung, keine negativen Ereigniseinträge, nichts).

Heute abend haben wir einfach alle Mitglieder der Remotedesktop-User entfernt und wieder hinzugefügt. Danach die Replikation erzwungen. Seitdem funktioniert auch der Remotezugriff.

Aus meiner Sicht ein extrem dummer Replikationsfehler, der sich in einem für uns verwirrenden Verhalten äußerte. Offensichtlich muß man bei MS das Gleiche öfters machen damit's auch wirklich funktioniert.

Ich schließe nun den Fall und danke Dir recht herzlich für Deine Mithilfe.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Windows Server
Windows 2008 Terminalserver hängt (10)

Frage von Aubanan zum Thema Windows Server ...

Windows Server
gelöst Oracle ODBC Treiber in Windows 2008 R2 (3)

Frage von kschi12 zum Thema Windows Server ...

Windows 10
gelöst Windows 10 interner vpn client funktioniert nicht (3)

Frage von tobias3355 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...