Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2008 - Ist der Administrator in Wirklichkeit ein Superadministrator?

Frage Microsoft Windows Server

Mitglied: Lubowitz

Lubowitz (Level 1) - Jetzt verbinden

16.10.2009 um 16:54 Uhr, 7640 Aufrufe, 4 Kommentare

Hallo zusammen,

ich bin eigentlich Entwickler und zum Administrieren unseres Servers gekommen wie das Kind zu Bade, d.h. das Folgende ist von einem ausgesprochenen Server-Laien geschrieben (lässt mich allerdings hoffen, dass mein Problem nur aus einer kleinen Dummheit resultiert und vielleicht einfach zu lösen ist).

Ich habe mit einem gerade frisch installierten Windows Server 2008 R2 Betriebssystem folgendes Problem:

Nach der Betriebssystem-Installation (als Standalone-Server, kein Domänencontroller und auch nicht Mitglied einer Domäne) habe ich ein paar Anwendungen installiert sowie Daten-Dateien von anderen Rechnern kopiert. Das habe ich unter dem Account "Administrator" gemacht. Es gab keinerlei Probleme und alles lief wie gewünscht.

Dann habe ich einen zweiten Account "XYZ" angelegt, den ich in der lokalen Account-Verwaltung konfiguriert habe wie den "Administrator", d.h. er ist insbesondere (und ausschließlich) der Gruppe "Administratoren" zugeordnet. Ich kann keine Unterschiede in den Accounts "Administrator" und "XYZ" erkennen.

Wenn ich mich nun als "XYZ" anmelde, kann ich keine der vorhandenen Dateien ändern und ich kann in den vorhandenen Ordnern keine Dateien anlegen. Ich kann jedoch neue Ordner anlegen (und in denen auch neue Dateien erstellen). Außerdem kann ich die vorhandenen Dateien löschen! (Ja, löschen, aber nicht ändern!) Desweiteren kann ich die vorhandenen Dateien kopieren und dann diese Kopien verändern.

Wenn ich mir (z.B. bei einer simplen Textdatei) unter Eigenschaften/Sicherheit die Einstellungen ansehe, finde ich (neben der Gruppe "SYSTEM" und "Benutzer" auch die Gruppe "Administratoren" mit allen Zugriffsrechten (u.a. Vollzugriff). (Wie gesagt, gehört "XYZ" zur Gruppe "Administratoren"; ich würde also Vollzugriff und Änderungsrecht erwarten, hat XYZ aber anscheinend nicht.)
Als aktueller "Besitzer" der Datei ist ebenfalls die Gruppe "Administratoren" angegeben (wirklich die GRUPPE, nicht der Benutzer "Administrator").

Das Ganze ist nicht umkehrbar, d.h.: Wenn ich als "XYZ" einen Ordner und eine Datei darin anlege, kann ich unter dem Konto "Administrator" dennoch diese Datei ändern und ich kann im angelegten Ordner neue Dateien erstellen.

Ein weiterer Unterschied ist mir aufgefallen: Wenn ich eine neue Datei als "Administrator" anlege, finde ich unter den Sicherheitseinstellungen für diese Datei die GRUPPE "Administratoren", aber nicht den Benutzer "Administrator". Lege ich eine Datei als "XYZ" an, so haben die Sicherheitseinstellungen sowohl die GRUPPE "Administratoren" als auch den Benutzer "XYZ".

D.h. "Administrator" und "XYZ" verhalten sich nicht "symmetrisch" zueinander, obwohl die Konteneinstellungen (scheinbar) völlig identisch sind.

Meine Fragen nun:

1) Hat das Konto "Administrator" intern versteckt noch mehr Rechte als ein Benutzer, welcher der Gruppe "Administratoren" angehört? Ist der "Administrator" also sozusagen eine Art Superadministrator?

2) Hab' ich möglicherweise irgendwas falsch gemacht beim Setup des OS, beim Anlegen der Konten, bei der Installation der Programme, ... ?

3) Und am wichtigsten: Wie bekomme ich das Elend der fehlenden Zugriffsberechtigungen für XYZ wieder in den Griff?


Vielen Dank für jede Hilfe und für Tips im Voraus!
Mitglied: tikayevent
16.10.2009 um 17:32 Uhr
Unter Windows 2000 und Windows Server 2003 gabs noch die Unterscheidung Domänen-Admins und Administratoren. Waren zwei verschiedene Benutzergruppen.

Eventuell bist du dadrauf reingefallen (ist mir auch schon ein paar mal passiert).
Bitte warten ..
Mitglied: Lubowitz
16.10.2009 um 17:46 Uhr
Hm, ich glaub' nicht. Sowohl der Benutzer "Administrator" als auch "XYZ" gehören zur vordefinierten Gruppe namens "Administratoren". Eine Gruppe "Domänen-Admins" oder ähnlich habe ich gar nicht.

Wie gesagt, ist der Server auch kein Domänencontroller und nicht Mitglied irgendeiner Domäne. Die Active-Directory Rolle ist gar nicht installiert (falls das relevant sein könnte für das Problem). Die einzigen installierten Rollen sind Dateidienste, Remotedesktopdienste und Hyper-V (Problem bestand allerdings schon vor der Installation von Hyper-V).
Bitte warten ..
Mitglied: DerWoWusste
16.10.2009 um 20:15 Uhr
Hallo.
Liebe Leute...setzt Euch mit der UAC (=Benutzerkontensteuerung) auseinander. Diese gibt es seit Vista/2008 Server nunmehr seit knapp 3 Jahren und dennoch ist sie nach wie vor kaum verstanden und Ursache der meisten Probleme unter Vista und 2008 (nicht MS' Schuld).
"Admin ohne elevation=User" lautet die Quintessenz. Nur der eingebaute User "Administrator" bildet die Ausnahme. Diese ist immer hochgestuft (=elevated).
Bitte warten ..
Mitglied: Lubowitz
16.10.2009 um 20:39 Uhr
Haha, kurios, gerade als Du das geantwortet hast, war ich dabei, das hier zu lesen:

http://technet.microsoft.com/en-us/library/cc709628(WS.10).aspx

Ich glaub', ich hab's jetzt kapiert. Ja, ich gebe zu, ich bin auf WinNT und 2003 Level, was Server angeht und Vista habe ich auf dem Desktop ausgelassen (bin XP-User), also "UAC" -> nie gehört bis heute.

Ich sehe also zwei Lösungen für mein "Problem":

1) Lokale Sicherheitsrichtlinie/Lokale Richtlinien/Sicherheitsoptionen:
"Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen" auf Deaktiviert setzen.

Hab' ich gemacht -> klappt! (gilt aber wohl als etwas unanständig)

2) Für meine gewünschten Dateien der Gruppe "Benutzer" Vollzugriff einräumen (da XYZ als Admin ohne elevation ja "Benutzer" ist)

Hab' ich auch gemacht -> klappt auch! (Ich werde diesen Weg gehen.)

(War mir übrigens klar, dass dies kein MS-Problem sein kann, sondern nur eine Folge meiner Unwissenheit. Ich hatte allerdings auch nach langem Googlen nichts gefunden - bis vor einer halben Stunde diesen UAC-Artikel.)

So, wieder was dazugelernt.

Vielen Dank für die Hinweise!
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows SBS 2008 oder Windows Server 2008 Standard
gelöst Frage von malkieWindows Server7 Kommentare

Hallo, folgende Frage. Auf einem Server läuft zur Zeit Windows Server 2003 Standart (Dell PowerEdge 2850). Dieser Server wird ...

Windows Server
Windows Server 2008 wiederherstellen
gelöst Frage von BerndPWindows Server3 Kommentare

Servus, beim Umbau eines Servers der als ESXi Host diente wurden 2 Festplatten vom Raidcontroller gelöscht. Auf einer lief ...

Windows Server
Meldung Windows Server 2008
Frage von alijoschiWindows Server3 Kommentare

Hallo Leute! Habe hier einen Windows Terminal Server (Windows Server 2008). Seit einiger Zeit bekomme ich immer wieder folgende ...

Windows Server
2 Domänencontroller Windows Server 2008 auf Windows Server 2008 R2 updaten
gelöst Frage von CharlyXLWindows Server4 Kommentare

Hallo zusammen, wie im Titel geschrieben, habe ich genanntes Update vor. Hat jemand damit Erfahrungen? Kann ich einfach die ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 23 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...