Zugriff verweigert

Ulrich Horn

Moderator
Teammitglied
Jetzt steh' ich auch mal auf dem Schlauch :(

ich habe hier einen Rechner unter Win2000prof, der sich plötzlich beharrlich weigert, dass irgend jemand (Benutzer, lokaler Administrator, Domänen-Admin) auf Laufwerk C: zugreift. Die anderen Laufwerke sind kein Problem.

Die meisten Systemprogramme lassen sich zwar starten, aber man kann folgerichtig keinerlei Konfiguration ändern, da sich Änderungen nicht speichern lassen.. :mad:

Sowas istmir noch nie untergekommen.. hat jemand eine Idee, was das sein könnte?

Grüße, Ulrich
 
hmm klingt wirklich sehr komisch

sowas hatte ich allerdings auch noch nicht kann ja fast nur an der policy liegen

fra doch mal bei www.mcseboard.de nach

vielleicht könne die dir weiterhelfen

ich habe allerdings auch intresse an der lösung also meld dich wenn du was raus bekommen hast

gruss manuel
 

Steffen

User
Moin,

typischerweise verstellte Benutzerrechte.

Rechtsklick auf c:\, Eigenschaften, Sicherheit. Dort die Benutzerrechte untersuchen.

Ciao, Steffen
 

Ulrich Horn

Moderator
Teammitglied
Ahhh...

Ahhh...

nicht verzagen - RC-Network fragen :)

Danke, Steffen - das war's. Die Benutzerrechte für "Jeder" waren komplett auf Null gesetzt. Anscheinend übersteuert das individuelle Rechte.
Wie auch immer das passiert ist..

Hast mindestens ein Bier bei mir gut!

Grüße, Ulrich
 
?? versteh ich jetzt nicht ganz aber ok ... wie kann den das lokale recht über das des "Domänen-Admin" admin gehen ? scheint ne etwas komische domäne zu sein ...
 

Steffen

User
Moin Manuel,

in einer Domäne kann das nicht passieren, da die Domäne die Benutzerrechte komplett beim Hochfahren ersetzt. Will man da einen Ordner zB für eine zickige Applikation freier gestalten, muss dies in der Domänenrichtlinie gesetzt werden oder es ist am nächsten Tag weg.

Ansonsten gibt es die Grundregel: ein Verbot ist dominant über einer Erlaubnis.
Danach gilt: eine Erlaubnis über eine Mitgliedschaft reicht um zum Zugriff frei zu sein.

Ist man also Mitglied in der Gruppe 'Pappnasen' und die darf nur lesen, aber man ist auch in 'Dumpfbacken', die auch ausführen darf, darf man eben ausführen und lesen.

Spannende Dinge gibt es trotzdem immer wieder. So fahre ich hier eine Domäne via Samba 3 und gebe einem Ordner für den User <Domäne>\<Benutzername> als Vollzugriff frei. Der Benutzer kann trotzdem keine Dateien im Verzeichnis anlegen. Setze ich die lokale Grupe 'Benutzer' auf Vollzugriff, so geht es.


@Ulrich:
Jeder sollte wirklich geschlossen sein. Es soll ja nicht jeder auf der Wurzel von C: rumfingern können. So öffnest Du Viren Tür und Tor (wenn Du nicht eh schon als Admin arbeitest)

So sieht es typischerweise aus (XP Pro):
lokal\Administratoren: Vollzugriff
Benutzer: Lesen, Ausführen, auflisten
Ersteller/Besitzer: spezielle Berechtigungen
Jeder: Spezielle Berechtigungen
SYSTEM: Vollzugriff

Und es gab eine Lösung, alles auf die Defaultrechte zurückzusetzen, weiß aber gerade nicht welches Programm das war (wird auch bei FAT->NTFS-Konvertierung angewendet)

Ciao, Steffen
 
@steffen

hmm merkwürdig .. ich mach das selber beruflich und mir ist es ein rätzel wenn der pc in einer domäne ist (er spricht von domän admin also gehe ich davon aus das er eine hat)
das er sagt das der domäne admin das nicht darf den normal abebeitet man mit serverbasierten profilen und nicht lokalen.

das hat zu folge das der domän admin immer alle recht hat (es sei den man beschneidet dies im AD was auch keinen sin macht) also muss etwas an der policy verbogen sein das sie c:\ so dicht macht das nicht mal dem domän admin drauf kommt ...

ich hab es noch nie gesehen das es einer geschaft hat mit als domän admin lokal die rechte zu streichen .. bei einem lokalen user ist das etwas ganz anders .. da ist das kein problem aber so ? hmm ist mir neu
 

Ulrich Horn

Moderator
Teammitglied
normal abebeitet man mit serverbasierten profilen und nicht lokalen
Ich nicht.. allerdings hätte ich das gleich präzisieren können. Bei lokalen Profilen hat der Domänen-Admin keine besonderen Rechte, ich hatte ihn nur der Vollständigkeit halber erwähnt.

Man muss noch unterscheiden zwischen Freigaben und lokalen Ressourcen. Letztere sind bei mir normalerweise nicht freigegeben, daher habe ich mit der Gruppe "Jeder" keine Probleme, denn sie bezieht sich nur auf die Benutzer des Computers, nicht auf Domänenbenutzer.

Steffen, du widersprichst dir in deiner Erklärung ein wenig. Wenn das Verbot über die Erlaubnis dominiert, müsste man in jeder Gruppe, der man angehört, über eine Erlaubnis verfügen (denn keine Erlaubnis entspricht ja einem Verbot).
Die Benutzerverwaltung von Win2K hat da aber auch ihre Probleme mit..

Egal, Hauptsache funzt wieder :)

Grüße, Ulrich
 

Steffen

User
Hi,

Ulrich Horn schrieb:
Steffen, du widersprichst dir in deiner Erklärung ein wenig. Wenn das Verbot über die Erlaubnis dominiert, müsste man in jeder Gruppe, der man angehört, über eine Erlaubnis verfügen (denn keine Erlaubnis entspricht ja einem Verbot).
Nö, ein Verbot ist nicht das gleiche wie 'keine Erlaubnis' :)

Unter Win gibt es immer zwei Möglichkeiten der Rechtevergabe:
Eine Erlaubnis und ein Verbot.

Guggstuh hiä:
attachment.php


Ciao, Steffen
 

Anhänge

  • Grafik1.gif
    Grafik1.gif
    29,9 KB · Aufrufe: 112
Ansicht hell / dunkel umschalten
Oben Unten