lubowitz
Goto Top

Windows Server 2008 - Ist der Administrator in Wirklichkeit ein Superadministrator?

Hallo zusammen,

ich bin eigentlich Entwickler und zum Administrieren unseres Servers gekommen wie das Kind zu Bade, d.h. das Folgende ist von einem ausgesprochenen Server-Laien geschrieben (lässt mich allerdings hoffen, dass mein Problem nur aus einer kleinen Dummheit resultiert und vielleicht einfach zu lösen ist).

Ich habe mit einem gerade frisch installierten Windows Server 2008 R2 Betriebssystem folgendes Problem:

Nach der Betriebssystem-Installation (als Standalone-Server, kein Domänencontroller und auch nicht Mitglied einer Domäne) habe ich ein paar Anwendungen installiert sowie Daten-Dateien von anderen Rechnern kopiert. Das habe ich unter dem Account "Administrator" gemacht. Es gab keinerlei Probleme und alles lief wie gewünscht.

Dann habe ich einen zweiten Account "XYZ" angelegt, den ich in der lokalen Account-Verwaltung konfiguriert habe wie den "Administrator", d.h. er ist insbesondere (und ausschließlich) der Gruppe "Administratoren" zugeordnet. Ich kann keine Unterschiede in den Accounts "Administrator" und "XYZ" erkennen.

Wenn ich mich nun als "XYZ" anmelde, kann ich keine der vorhandenen Dateien ändern und ich kann in den vorhandenen Ordnern keine Dateien anlegen. Ich kann jedoch neue Ordner anlegen (und in denen auch neue Dateien erstellen). Außerdem kann ich die vorhandenen Dateien löschen! (Ja, löschen, aber nicht ändern!) Desweiteren kann ich die vorhandenen Dateien kopieren und dann diese Kopien verändern.

Wenn ich mir (z.B. bei einer simplen Textdatei) unter Eigenschaften/Sicherheit die Einstellungen ansehe, finde ich (neben der Gruppe "SYSTEM" und "Benutzer" auch die Gruppe "Administratoren" mit allen Zugriffsrechten (u.a. Vollzugriff). (Wie gesagt, gehört "XYZ" zur Gruppe "Administratoren"; ich würde also Vollzugriff und Änderungsrecht erwarten, hat XYZ aber anscheinend nicht.)
Als aktueller "Besitzer" der Datei ist ebenfalls die Gruppe "Administratoren" angegeben (wirklich die GRUPPE, nicht der Benutzer "Administrator").

Das Ganze ist nicht umkehrbar, d.h.: Wenn ich als "XYZ" einen Ordner und eine Datei darin anlege, kann ich unter dem Konto "Administrator" dennoch diese Datei ändern und ich kann im angelegten Ordner neue Dateien erstellen.

Ein weiterer Unterschied ist mir aufgefallen: Wenn ich eine neue Datei als "Administrator" anlege, finde ich unter den Sicherheitseinstellungen für diese Datei die GRUPPE "Administratoren", aber nicht den Benutzer "Administrator". Lege ich eine Datei als "XYZ" an, so haben die Sicherheitseinstellungen sowohl die GRUPPE "Administratoren" als auch den Benutzer "XYZ".

D.h. "Administrator" und "XYZ" verhalten sich nicht "symmetrisch" zueinander, obwohl die Konteneinstellungen (scheinbar) völlig identisch sind.

Meine Fragen nun:

1) Hat das Konto "Administrator" intern versteckt noch mehr Rechte als ein Benutzer, welcher der Gruppe "Administratoren" angehört? Ist der "Administrator" also sozusagen eine Art Superadministrator?

2) Hab' ich möglicherweise irgendwas falsch gemacht beim Setup des OS, beim Anlegen der Konten, bei der Installation der Programme, ... ?

3) Und am wichtigsten: Wie bekomme ich das Elend der fehlenden Zugriffsberechtigungen für XYZ wieder in den Griff?


Vielen Dank für jede Hilfe und für Tips im Voraus!

Content-Key: 127306

Url: https://administrator.de/contentid/127306

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: tikayevent
tikayevent 16.10.2009 um 17:32:40 Uhr
Goto Top
Unter Windows 2000 und Windows Server 2003 gabs noch die Unterscheidung Domänen-Admins und Administratoren. Waren zwei verschiedene Benutzergruppen.

Eventuell bist du dadrauf reingefallen (ist mir auch schon ein paar mal passiert).
Mitglied: Lubowitz
Lubowitz 16.10.2009 um 17:46:25 Uhr
Goto Top
Hm, ich glaub' nicht. Sowohl der Benutzer "Administrator" als auch "XYZ" gehören zur vordefinierten Gruppe namens "Administratoren". Eine Gruppe "Domänen-Admins" oder ähnlich habe ich gar nicht.

Wie gesagt, ist der Server auch kein Domänencontroller und nicht Mitglied irgendeiner Domäne. Die Active-Directory Rolle ist gar nicht installiert (falls das relevant sein könnte für das Problem). Die einzigen installierten Rollen sind Dateidienste, Remotedesktopdienste und Hyper-V (Problem bestand allerdings schon vor der Installation von Hyper-V).
Mitglied: DerWoWusste
DerWoWusste 16.10.2009 um 20:15:44 Uhr
Goto Top
Hallo.
Liebe Leute...setzt Euch mit der UAC (=Benutzerkontensteuerung) auseinander. Diese gibt es seit Vista/2008 Server nunmehr seit knapp 3 Jahren und dennoch ist sie nach wie vor kaum verstanden und Ursache der meisten Probleme unter Vista und 2008 (nicht MS' Schuld).
"Admin ohne elevation=User" lautet die Quintessenz. Nur der eingebaute User "Administrator" bildet die Ausnahme. Diese ist immer hochgestuft (=elevated).
Mitglied: Lubowitz
Lubowitz 16.10.2009 um 20:39:54 Uhr
Goto Top
Haha, kurios, gerade als Du das geantwortet hast, war ich dabei, das hier zu lesen:

http://technet.microsoft.com/en-us/library/cc709628(WS.10).aspx

Ich glaub', ich hab's jetzt kapiert. Ja, ich gebe zu, ich bin auf WinNT und 2003 Level, was Server angeht und Vista habe ich auf dem Desktop ausgelassen (bin XP-User), also "UAC" -> nie gehört bis heute.

Ich sehe also zwei Lösungen für mein "Problem":

1) Lokale Sicherheitsrichtlinie/Lokale Richtlinien/Sicherheitsoptionen:
"Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen" auf Deaktiviert setzen.

Hab' ich gemacht -> klappt! (gilt aber wohl als etwas unanständig)

2) Für meine gewünschten Dateien der Gruppe "Benutzer" Vollzugriff einräumen (da XYZ als Admin ohne elevation ja "Benutzer" ist)

Hab' ich auch gemacht -> klappt auch! (Ich werde diesen Weg gehen.)

(War mir übrigens klar, dass dies kein MS-Problem sein kann, sondern nur eine Folge meiner Unwissenheit. Ich hatte allerdings auch nach langem Googlen nichts gefunden - bis vor einer halben Stunde diesen UAC-Artikel.)

So, wieder was dazugelernt.

Vielen Dank für die Hinweise!