derghostrider
Goto Top

Windows 7 User erhalten nicht die zugewiesenen Berechtigungen der ihnen zugewiesenen Gruppen

Hallo liebe Community!

Dies wird soetwas wie die Fortsetzung von Anmeldung von beliebigen (neuen) Domänenusern an Windows 7 Clients nur mit temporärem Profil, auf Windows 10 PCs kein Problem!

Aktueller Stand:
- Domäne mit AD läuft auf Windows Server 2016 Standard
- Clients teilweise Windows 7 (noch, werden bald umgestellt), teilweise Windows 10
- Die User sind bestimmten Sicherheitsgruppen zugewiesen. Diese Gruppen sind auf dem Fileserver auf unterschiedliche Freigaben berechtigt.
- Es gibt zwei Freigaben, die allgemein für "Domänen-Benutzer" berechtigt sind: Ändern "temp" (zum Austausch von Daten, wird am WE gelöscht) und Lesen "Vorlagen".
- Es existiert eine GPO: Diese Freigaben als feste Netzwerklaufwerke an alle Domänen-User verteilen. Zugriffskontrolle wird dann über die berechtigten Sicherheitsgruppen per Freigabe geregelt.

Die Windows 10 User sehen alle Freigaben und können problemlos auf die Laufwerke zugreifen, für die ihre Gruppen berechtigt sind, mit den passenden Berechtigungsstufen. Also lesend und schreibend oder nur lesend.


Problem:
Die Windows 7 User sehen ausschließlich die beiden Freigaben für alle Domänen-User. Die Anmeldung dauert sehr lange (vermutlich, da vergeblich versucht wird die anderen Laufwerke zu erreichen).
Es ist nach der Anmeldung nicht möglich manuell die Laufwerke, auf denen der User über seine Gruppe berechtigt ist, zu mappen. (Zugriff verweigert)
Die effektiven Berechtigungen sind laut Fileserver für die Gruppen i.O. UND ebenfalls für einen User dieser Gruppe, der jedoch tatsächlich nicht zugreifen kann.
1. Laufwerk wird bei der Anmeldung nicht gemappt
2. Manuelles mapping: Es wird nach Benutzer und Kennwort gefragt
3. Nach der Eingabe der obigen: "Zugriff verweigert" .

Das User-Profil ist NEU. Das gleiche tritt auch mit anderen nagelneu angelegten Profilen auf. Es gibt keine GPOs, die Zugriffsrechte einschränken. Es gibt keine NTFS-Rechte, die etwas verbieten.

WENN man einen solchen Test-User nimmt, der auf Windows 7 die Laufwerke nicht mappen kann, und ihn auf einer Windows 10-Maschine anmeldet, funktioniert der Zugriff.

Ich sehe einfach nicht, was hier die Ursache für die fehlenden Berechtigungen ist - vor allem, da es Client-OS-Abhängig ist.
Hat da irgendjemand eine Idee oder weiß, was ich noch nachschauen kann?

Content-Key: 340621

Url: https://administrator.de/contentid/340621

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: emeriks
emeriks 14.06.2017 aktualisiert um 11:21:00 Uhr
Goto Top
Hi,
was ist das für ein Fileserver, welches OS?

Da Du den Test bereits mit diesen Benutzern unter Win10 absolviert hast, würde ich auch davon ausgehen, dass es rein mit den Berechtigungen nichts zu tun haben kann.

Was steht in den Eventlogs der Win7-Kisten?
Schon mal mit Wireshark gelauscht, was da zwischen den Win7-Kisten und dem Fileserver kommuniziert wird?

SMB-Versionen ?

E.

Edit:
Hast Du die Win7-Kisten seit der Umstellung auf Win2016 AD schonmal neu der Domäne hinzugefügt? (Austritt, Boot, Eintritt, Boot)
Mitglied: derGhostrider
derGhostrider 14.06.2017 um 11:55:59 Uhr
Goto Top
Ich habe meine Frage gerade selbst gelöst:

Für alle anderen Freigaben hatte ich ausgewählt, dass der Zugriff verschlüsselt erfolgen soll.
Das kann Windows 7 offenbar nicht.


Wieder ein Grund mehr Windows 7 in die Tonne zu treten.
Mitglied: emeriks
Lösung emeriks 14.06.2017 um 12:04:00 Uhr
Goto Top
Für alle anderen Freigaben hatte ich ausgewählt, dass der Zugriff verschlüsselt erfolgen soll.
Damit wäre dann meine Frage beantwortet: Es ist ein Win2016?

Das kann Windows 7 offenbar nicht.
Nein, das kann es nicht. Weil es kein SMB 3 kennt.
Mitglied: derGhostrider
derGhostrider 14.06.2017 um 14:43:20 Uhr
Goto Top
Jupp, es ist Windows Server 2016.

... ich hätte es ja gut gefunden, wenn in der Beschreibung der Hinweis zu finden gewesen wäre: "Nur ab Windows..." oder "nicht unterstützt bis Windows 7" oder so.

Aber wenn wir gerade schon so plaudern (nein, ich werde keinen neuen Thread öffnen) habe ich im Eventviewer noch etwas gefunden bei den Windows 10 Kisten, was ich gar nicht bemerkt hatte:
Hast Du spontan eine Idee, wieso die Umleitung von "Documents" nicht funktioniert, die von Bilder, Musik und Videos aber schon?

Die Fehlermeldung dazu finde ich unglücklich, da der Ordner, der angeblich nicht erstellt werden kann, existiert und darin bereits die Ordner Music & Co liegen:
Fehler bei der Richtlinienanwendung und beim Umleiten des Ordners "Documents" nach "\\SERVERNAME\Home$\USER\".  
 Umleitungsoptionen=0x80001211.
 Der folgende Fehler ist aufgetreten: "Der Ordner "\\SERVERNAME\Home$\USER" kann nicht erstellt werden.".  
 Fehlerdetails: "Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.  
".  
(Servername und Username ersetzt)
Mitglied: emeriks
emeriks 14.06.2017 um 14:58:03 Uhr
Goto Top
Prüfe mal, ob der betreffende Benutzer im NTFS der Besitzer seines Home-Stammordners ist. (\\SERVERNAME\Home$\USER). Falls nein, mach ihn mal zum Besitzer. Dann nochmal anmelden lassen.
Mitglied: derGhostrider
derGhostrider 14.06.2017 um 20:14:15 Uhr
Goto Top
Benutzer zum Besitzer gemacht: Das war es nicht.


Ich habe die Regeln etwas entwirrt und dabei Profil und Stammordner auseinander gefummelt.

Viele Fehlermeldungen aus dem Eventlog sind weg.

Wenn ich den Rechner neu starte, dann dauert das Anmelden lange. Es wird nur ein temporäres Profil verwendet und im Eventlog steht:
Das Serverexemplar des Roamingprofils wurde nicht gefunden. Sie werden mit einem lokalen Benutzerprofil angemeldet. Änderungen an dem Profil werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte. 

 Details - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Wenn ich den User einmal abmelde und wieder anmelde, funktioniert alles super. Ich glaub' ich sollte ins Wochenende. Das wird heute nichts mehr...
Mitglied: derGhostrider
derGhostrider 15.06.2017 um 11:56:27 Uhr
Goto Top
Nach dem Posting den Rechner noch 5 oder 6 mal neu gestartet:
Der Rechner startete ganz normal, Fehlermeldungen waren nicht mehr zu sehen.

Ach, manchmal ist das alles etwas mysteriös.