• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

NTFS: Lokale Gruppen Benutzer, Administratoren und UAC

Jul 14, 2016 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow, Konfiguration |

 

NTFS: Lokale Gruppen Benutzer, Administratoren und UAC

Lese- oder Schreibrechte auf File Servern, die Benutzer über Berechtigungsgruppen erhalten, wirken manchmal nicht:
– Benutzer ohne „Lese“-Berechtigungen können Verzeichnisse sehen.
– Benutzer ohne „Schreib“-Berechtigungen können Verzeichnisse erstellen.

Ich möchte in diesem Artikel näher auf Probleme mit den lokalen Gruppen „Benutzer“ und „Administratoren“ sowie deren Verbindung zu UAC eingehen und Lösungsmöglichkeiten aufzeigen.

 
In den vergangen Wochen habe ich immer wieder Diskussionen über die lokale Gruppe „Benutzer“ und „Administratoren“ im Zusammenhang mit UAC (User Account Control) und NFTS Berechtigungen unter Windows Server 2008R2 und Windows Server 2012R2 geführt. Die Sache erscheint zunächst glasklar und wirft dennoch Fragen auf.

Inhaltsverzeichnis

  • 1 Theorie – Berechtigungsvergabe für File Server
  • 2 Praxis – Berechtigung Share und File System
    • 2.1 Wir erwarten, dass:
    • 2.2 Wir stellen fest, dass
  • 3 Erläuterung des Berechtigungskonflikts
    • 3.1 Lösung für die lokale Gruppe Benutzer
  • 4 UAC – User Access Control
    • 4.1 SID der lokalen Gruppe Administratoren fehlt
    • 4.2 Lösung 1 – Administrative Domänengruppe
    • 4.3 Lösung 2 – UAC deaktivieren
 

Theorie – Berechtigungsvergabe für File Server

Die Berechtigungsvergabe für File Server erfolgt über den kleinsten gemeinsamen Nenner zwischen:

  • den Share Berechtigungen und
  • den NTFS Berechtigungen

Vergibt man für eine Gruppe lediglich „Lese“-Berechtigungen auf der Freigabe, so wird der Zugriff auf maximal „Lesen“ eingeschränkt. Dies geschieht unabhängig davon ob im NTFS vielleicht höhere Berechtigungen vergeben wurden.

In der Praxis werden meist „Ändern“ Berechtigungen auf der Freigabe vergeben und die NTFS Rechte steuern dann ob „Ändern“ oder „Lesen“ erlaubt wird.
 

Praxis – Berechtigung Share und File System

Zur Verdeutlichung des Problems der Berechtigungsvergabe für lokale Gruppen ein kleines Beispiel:

  1. Wir erstellen eine Freigabe für den Ordner „D:\Daten“ mit dem Namen „Daten“.
  2. Wir erstellen eine Berechtigungsgruppe in der Active Directory Domäne „RF-Daten-R“
  3. Wir vergeben der Gruppe „Lese“-Berechtigungen auf den Ordner „D:\Daten“
  4. Wir vergeben der Freigabe „Ändern“-Berechtigungen
  5. Wir erstellen ggfs. weitere Unterverzeichnisse und Berechtigungsgruppen.

ABE (Access Based Enumeration) ist für das Share aktiviert. Ein Benutzerkonto wird Mitglied in diversen Gruppen, auch in „RF-Daten-R“.
 

Wir erwarten, dass:

  • mit ABE nur die Verzeichnisse anzeigten werden,
    welche aufgrund der Mitgliedschaft in Berechtigungsgruppen für den Benutzer erlaubt sind
  • der Benutzer „Lese“-Berechtigung in den Ordern hat,
    bei denen er „Lese“-Berechtigungen über eine Gruppenmitgliedschaft bekommen hat (also diese auch wirken).

Wir stellen fest, dass

  • der Benutzer alle Verzeichnisse sehen kann,
    auch Verzeichnisse für die er eigentlich keine Berechtigungen hat und daher mittels ABE ausgeblendet sein sollten
  • der Benutzer in Verzeichnissen dennoch Dateien und Order anlegen kann,
    obwohl er in diesen durch die Gruppenmitgliedschaften nur „Lese“-Berechtigungen haben.
     

Erläuterung des Berechtigungskonflikts

Ein Blick in die NTFS Berechtigungen verrät warum es anders gekommen ist.
Standardmäßig ist die lokale Gruppe „Benutzer“ (Users) auf jedem NTFS Volume berechtigt.
Zum einen mit „Read & execute“ und zum anderen mit speziellen Berechtigungen „Create files / write data„.

rechte-users-C

Der erste Gedanke ist vielleicht:
„Der Benutzer ist ja nicht Mitglied der lokalen Gruppe des File Servers“ – Doch leider stimmt dies nicht.
Ein Blick in die MSDN Library zu lokalen Standardgruppen erklärt den Grund:
 

Lokale Gruppe Benutzer:
„Die Gruppen Domänenbenutzer, Authentifizierte Benutzer und Interaktiv sind standardmäßig Mitglieder dieser Gruppe. Daher wird jedes in der Domäne erstellte Benutzerkonto zu einem Mitglied dieser Gruppe.“
 

Lösung für die lokale Gruppe Benutzer

Die Lösung ist denkbar einfach. Wir entfernen die Berechtigung der lokalen Gruppe „Benutzer“ auf dem obersten Level eines neuen NTFS Volumes, bevor wir mit der Einrichtung der Verzeichnisse und Freigaben beginnen.
Leider bringt diese Lösung einen neue Komponente mit in Spiel: UAC.
 

UAC – User Access Control

Nachdem wir die lokale Gruppe „Benutzer“ aus den NTFS ACLs entfernt haben und uns evtl. neu per RDP an unserem neuen File Server angemeldet haben, stellen wir fest, dass wir keinen Zugriff mehr auf die Verzeichnisse haben. Wir kontrollieren die Mitgliedschaft in den lokalen Administratoren und wundern uns…

 UAC-access-denied2

SID der lokalen Gruppe Administratoren fehlt

Der Hintergund dieses Problems ist, dass UAC bei der Anmeldung per RDP die SID der lokalen Gruppe der Administratoren aus dem Access Token entfernt. Somit ist man faktisch kein Administrator mehr. Bei vielen administrativen Programmen kommt automatisch eine Abfrage, ob man das Programm mit erhöhten Rechten ausführen möchte, oder man startet es direkt per Rechtsklick mit „Als Administrator ausführen„. Der Windows Explorer wird immer im Kontext des angemeldeten Benutzers ausgeführt, ein „Run-As“ gibt es hier nicht.

Somit lässt sich das zunächst seltsam anmutende Verhalten erklären:

  • kein lokaler Administrator dank UAC
  • keine NTFS Berechtigung für die lokale Gruppe Benutzer (wurde zuvor entfernt)
  • ergibt: keinen Zugriff auf die Verzeichnisse des NTFS Volumes
     

Lösung 1 – Administrative Domänengruppe

Auch für die UAC gibt es eine einfache Lösung. Es empfiehlt sich die Definition einer administrativen Domänengruppe, welche zur Administration der File Services delegiert wird. Diese File-Admin Gruppe wird Mitglied der Gruppe der lokalen Administratoren und bekommt „Vollzugriff“ auf das NTFS Volume. Zusätzlich erteilen wir dieser Gruppe „Vollzugriff“-Berechtigungen auf dem Share, damit die NTFS Berechtigungen auch über das Netzwerk verwaltet werden können.
 

Lösung 2 – UAC deaktivieren

Eine etwas radikalere Art mit der UAC Problematik umzugehen, ist UAC einfach per Regitry zu deaktivieren. Dies will ich hier nicht empfehlen, dennoch zur Vollständigkeit aber erwähnen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
UAC aktivieren: EnableLUA = 0x00000001
UAC deaktivieren: EnableLUA = 0x00000000

UAC deaktivieren - registry

 

Mit Lösung 1 oder 2 sollten die Berechtigungen für die lokale Gruppe Benutzer auf NTFS dann korrekt funktionieren.


Sie suchen Spezialisten für Ihre Active Directory Migration oder File Server Migration? Wir unterstützen Sie gerne.

Für Fragen zu unseren Leistungen stehen wir Ihnen unter Kontakt gern zur Verfügung.


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 07.09.2015
Tags: Berechtigunggrouplokale Gruppen
1

You also might be interested in

Titel-Verschachtelte-Gruppen

Verschachtelung von Gruppen im AD

Apr 20, 2016

Ich werde des Öfteren gefragt, welcher Gruppentyp in welchen Gruppen[...]

Least Privileg: Minimale Berechtigungen um Computer ins AD zu joinen

Jan 6, 2012

Welche Berechtigungen sind nötig um einen Computer zu einer Domäne[...]

ntf-authorization-creator-owner-berechtigung

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

Okt 23, 2015

Einführung und Beschreibung der Creator Owner-Berechtigung. Potentielle Gefahren die von[...]

2 Comments

Leave your reply.
  • RM
    · Antworten

    23. September 2016 at 12:36 PM

    und wo ist die Lösung für das unsichtbar machen ??

    • Matthias Rudolph
      · Antworten

      4. Oktober 2016 at 3:55 PM

      Weitere Lösungsvorschläge können Sie gern hier beschreiben oder falls es ausführlicher wird per Mail an uns senden. Vielen Dank.

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next