Hallo,
wenn ich bei uns, mich lokal auf einen Domäne Server anmelde (OS: 2008R2 oder 2016) und in ein freigegebenen Ordner hineinschauen möchte (als Dom-admin) bekomme ich folgenden Hinweis:
Sie verfügen nicht über die Berechtigung des Zugriffs auf diesen Ordner mit den Buttons Fortsetzen(admin) oder Abbrechen.
Bild darf ich leider noch nicht einfügen.
Schlimm daran ist, wenn ich nun auf Fortsetzen klicke, ich namentlich mit meinem ADM Konto in alle Unterordner mit Vollzugriff eingetragen werde.
Probiere ich den gleichen Zugriff über die SMB Freigabe (\\Server\Freigabe\Ordner) so funzt das einwandfrei ohne Nachfrage und namentlichen Einträgen.
Bei den NTFS Berechtigungen, sieht es so aus, dass die lokalen Administratoren Vollzugriff haben und die Dom-Admins Mitglied der lokalen Administratoren sind.
Freigabe Jeder / ändern bzw. Vollzugriff (variert bei manchen Servern)
Besitzer: lokale Administratoren
Wenn ich nun einen lokale Testgruppe erstelle, die auf das fragliche Verzeichnis Vollzugriff hat und die Dom-Admins Mitglied sind, dann tritt das Problem auch nicht auf. Erschwerend kommt hinzu, dass dieses Problem auf allen unseren Servern reproduzierbar
ist. Leider kann ich ich auch zeitlich das Problem nicht eingrenzen, weil es schon existierte bevor ich hier angefangen habe.
Warum nehme ich die Gruppe der lokalen Admins nicht einfach weg und ersetze sie durch Dom-Admins?
Weil das Problem beim Erstellen der Homeshares am meisten Schmerzen bereitet und diese Ordner vom AD erstellt werden und zwar immer mit den lokalen Admins, die dort neben den User Vollzugriff haben.
Neu aufsetzte Server haben das selbe Phänomen
So wie ich dass hier geschildert habe, scheint für mich das Problem im Konstrukt der lokalen Administratoren zu liegen, welche aber irgendwie von der Domäne durchgedrückt werden.
Achja, ich habe meinen Testserver auch von allen GPO's befreit und hatte das Problem dennoch an den Hacken.
Also GPO's scheiden aus
Vielen Dank für die Mühe sich hier rein zudenken...