ComputerBase Menü
Aktuelles

Domänenbenutzer können Freigaben nicht öffnen

MasterBlaster_

MasterBlaster_

Lt. Junior Grade
Registriert
Juli 2005
Beiträge
305
Hallo Leute,

ich habe zuhause einen Server mit Win Server 2012, auf dem ich ein Active Directory samt Domäne und DNS-Server eingerichtet habe. Desweiteren habe ich dort einen Domänen-Admin (mich), mehrere Domänenbenutzer und ein paar Freigaben.
Ich möchte nun, dass Domänenbenutzer meine Freigaben lesen, aber die Inhalte nicht bearbeiten können. Der Domänen-Admin (ich) soll Vollzugriff auf die Freigabeninhalte haben. Die Freigabenkonfiguration wird an folgendem Bild beispielhaft aufgezeigt:

Unbenannt.png

Soweit es den DomAdmin angeht, klappt das auch. Meine DomUser können die Freigaben zwar sehen, kommen aber nicht rein. (Dafür können sie SYSVOL und NETLOGON lesen, was ich eigentlich verstecken wollte. Das aber nur nebenbei.)
DomUser unterscheiden sich bei den Gruppenmitgliedschaften von den DomAdmins darin, dass die Admins zur Builtin-Gruppe Administratoren gehören, die User zur Builtin-Gruppe Benutzer. Adde ich die DomUser noch zu den Administratoren, können die DomUser die Freigaben lesen. Leider können sie dann auch Inhalte bearbeiten, was ausdrücklich nicht erwünscht ist.

Die Clients sind korrekt zur Domäne hinzugefügt, sonst könnten sie die Freigaben gar nicht sehen.
Wenn ich auf dem Server "net share Musikvideos" aufrufe (die Freigabe aus obigem Screenshot), bekomme ich Folgendes:

Unbenannt2.png

"Bassmachine" ist der DomAdmin.

Wo liegt der Fehler? Wisst ihr mehr als ich? Danke im Voraus für eure Hilfe.
 
Du zeigst nur die Freigabeeigenschaften. Wie sehen denn die Berechtigungen auf dem Ordner selbst aus? Auf dem zweiten Screenshot sieht es so aus als hätte Jeder Vollzugriff?
 
Stimmt, die hatte ich vergessen.
Die Berechtigungen im Dialog "Erweiterte Sicherheitseinstellungen":

Unbenannt.png

Und die Freigaben:

Unbenannt2.png

Wenn man sich den effektiven Zugriff anschaut, sieht man, dass das eigentlich gehen sollte (Lana ist einer der DomUser):

Unbenannt3.png

Trotzdem kann eben jene Lana nicht zugreifen. Die Gruppenmitgliedschaften von Lana:

Unbenannt4.png
 
Ist der Fehler so offensichtlich? Falls ja, sagt es mir bitte trotzdem, ich seh ihn nicht :(
 
Ich seh den Fehler zwar auch nicht, aber hast du schon mal versucht den Ordner als Netzlaufwerk zu verbinden?
Bist du dir sicher, dass du dich am Client mit einem Domänenkonto angemeldet hast und nicht mit einem lokalen Konto, das den gleichen Namen hat?
 
Hi,

ich kann mich leider weder als DomUser noch als DomAdmin an den lokalen Rechnern anmelden (Fehlermeldung: momentan kein Anmeldeserver verfügbar), nur als die lokalen Admins. Woran das liegt, weiß ich auch noch nicht. Das Hinzufügen der Rechner zur Domäne hatte jedoch geklappt.
Wenn ich dann das erste Mal auf den Serverrechner zugreifen will, werde ich nach Zugangsdaten gefragt. Ich gebe dann die Zugangsdaten der DomUser / des DomAdmin ein und komme in die Freigabenübersicht rein. Der DomAdmin kann die Freigaben öffnen, die DomUser nicht.
Es funktioniert wie gesagt auch für DomUser, wenn sie zur Gruppe 'Administratoren' gehören. Warum, ist mir ein Rätsel.
 
Schon mal geschaut, was passiert, wenn du den Ordner auch explizit für die DomUser Gruppe bzw. die einzelnen user freigibst?
 
Ich meine, das schon mal geprüft zu haben. Ich probier es aber heute Abend nach der Arbeit nochmal aus...
Ergänzung ()

Hab beides getestet, jeweils ohne Erfolg :(
 
MasterBlaster_ schrieb:
Hi,

ich kann mich leider weder als DomUser noch als DomAdmin an den lokalen Rechnern anmelden (Fehlermeldung: momentan kein Anmeldeserver verfügbar), nur als die lokalen Admins. Woran das liegt, weiß ich auch noch nicht. Das Hinzufügen der Rechner zur Domäne hatte jedoch geklappt.
Wenn ich dann das erste Mal auf den Serverrechner zugreifen will, werde ich nach Zugangsdaten gefragt. Ich gebe dann die Zugangsdaten der DomUser / des DomAdmin ein und komme in die Freigabenübersicht rein. Der DomAdmin kann die Freigaben öffnen, die DomUser nicht.
Es funktioniert wie gesagt auch für DomUser, wenn sie zur Gruppe 'Administratoren' gehören. Warum, ist mir ein Rätsel.
Zum Vergrößern anklicken....

Irgendwas stimmt mit deinem AD nicht oder DNS. Du müsstest dich ohne Probleme als Domain User an dem Client anmelden können. Wie gibst du Benutzername an bei der PW abfrage. In deinem Fall muss das DOMAIN\user als Benutzer sein.
 
Hi,

kannst du auf die Freigabe von einem "nicht domänengejointen" PC über die IP des Dateiservers zugreifen?
Ich tippe auch auf Probleme mit deinem DNS, da die Meldung "Fehlermeldung: momentan kein Anmeldeserver verfügbar" bei einem korrekt funktionierenden DC/DNS nicht auftauchen sollte.
 
Bei einem nicht gejointen ist der Rechner des Domain-Servers nicht sichtbar.
Ich habe bei der Einrichtung meines Servers diese Anleitung hier befolgt: http://mntechblog.de/artikelserie-a...s-server-2012-installieren-und-konfigurieren/
Gibts da ne bessere, einfachere oder ist bei der hier sogar ein Fehler drin? Ich habe die Artikel 1-4 durchgearbeitet.
Bei der Einrichtung verhielt sich alles erwartungsgemäß, nur bei der Weiterleitung im DNS-Server auf den Router konnte er die Adresse nicht auflösen.
 
Führe auf einem Client mal "cmd -> gpresult /R" aus. Du solltest ziemlich weit oben einen Eintrag haben, "Last time Group Policy was applied" mit einem aktuellen Datum. Wenn das nicht geht, ist was mit deiner AD.
 
Oh Mist, ich glaub, ich hab tatsächlich ein Problem...

Unbenannt.png

Seltsamerweise hatte ich den Eindruck, oben erwähnte Einrichtung der AD korrekt vorgenommen zu haben.
Auch das Adden zur Domäne klappte...

Unbenannt2.png

Habt ihr zufällig eine idiotensichere Anleitung für die Einrichtung parat? Oder kann man das Problem beheben, ohne alles nochmal machen zu müssen?
 
Wieso steht beim gpresult "Domänename: PROBERAUM", obwohl deine Domäne DOMAIN.LOCAL heißt? Warst du auch mit einem Domänenbenutzer angemeldet, als du gpresult ausgeführt hast? Wurde für deinen Computer ein Computerobjekt in der AD angelegt?
 
Zuletzt bearbeitet:
Was ich in solchen Situationen meistens mache, ist erstmal sicher stellen, dass auf Netzwerkebene alles passt:
Wie sehen denn die IP-Einstellungen von deinem Client, dem Router, dem Server und dem DHCP server aus? Welches firewall Profil ist bei den Rechnern aktiv? Tauchen die Rechnernamen im DNS auf dem server auf. Hast du den DHCP-server im router deaktiviert? Können sich die einzelnen rechner gegenseitig via Ip Adresse, FQDN und Rechnername anpingen (ip4 und ip6)? Können alle Rechner ins Internet?
Wenn das alles passt, und du keine Lösung für deine Probleme findest KANN es am Anfang manchmal einfacher sein einfach alles neu zu installieren (DC komplett formatieren und neu aufsetzen, neuen Domänennamen nutzen). Bevor du das machst würde ich aber noch versuchen die Clients wieder aus der Domäne zu entfernen.
 
Führ mal bitte auf dem DC diese beiden Befehle aus und poste die Ausgabe hier:
dcdiag /c /v /f:dcdiag-log.txt
dcdiag /test:DNS /v /f:dcdiag-dns.txt

Die beiden Textdateien landen in dem Verzeichnis, wo du die Befehle ausgeführt hast.
 
Ich würde den Fehler gar nicht im AD suchen (da kann man ja nicht viel falsch einrichten), der Client scheint einfach nicht richtig eingebunden zu sein.
 
crashbandicot schrieb:
Wieso steht beim gpresult "Domänename: PROBERAUM", obwohl deine Domäne DOMAIN.LOCAL heißt? Warst du auch mit einem Domänenbenutzer angemeldet, als du gpresult ausgeführt hast? Wurde für deinen Computer ein Computerobjekt in der AD angelegt?
Zum Vergrößern anklicken....

Ich kann mich an den Clients nicht mit den DomUsern anmelden, da dann eine Fehlermeldung kommt "...kein Anmeldeserver vorhanden...". Für den Bürorechner ist ein Computerobjekt angelegt (trotz nicht möglicher Anmeldung als DomUser), für den Proberaum nicht. Proberaum ist mein persönlicher Rechner.

Miuwa schrieb:
Was ich in solchen Situationen meistens mache, ist erstmal sicher stellen, dass auf Netzwerkebene alles passt:
Wie sehen denn die IP-Einstellungen von deinem Client, dem Router, dem Server und dem DHCP server aus? Welches firewall Profil ist bei den Rechnern aktiv? Tauchen die Rechnernamen im DNS auf dem server auf. Hast du den DHCP-server im router deaktiviert? Können sich die einzelnen rechner gegenseitig via Ip Adresse, FQDN und Rechnername anpingen (ip4 und ip6)? Können alle Rechner ins Internet?
Wenn das alles passt, und du keine Lösung für deine Probleme findest KANN es am Anfang manchmal einfacher sein einfach alles neu zu installieren (DC komplett formatieren und neu aufsetzen, neuen Domänennamen nutzen). Bevor du das machst würde ich aber noch versuchen die Clients wieder aus der Domäne zu entfernen.
Zum Vergrößern anklicken....

Die Clients bekommen ihre IP und DNS-Server automatisch, der DHCP des Routers ist noch aktiviert, hab mich nicht getraut, den abzustellen. Ist eine FritzBox. Dafür gibts auf dem Server einen DHCP-Server mit einem Bereich 192.168.178.0 für IPv4. IPv6 ist vollständig deaktiviert. Die Rechner können sich gegenseitig anpingen und sehen sich auch im Netzwerk. Jeder hat Internetzugriff.

Evil E-Lex schrieb:
Führ mal bitte auf dem DC diese beiden Befehle aus und poste die Ausgabe hier:
dcdiag /c /v /f:dcdiag-log.txt
dcdiag /test:DNS /v /f:dcdiag-dns.txt

Die beiden Textdateien landen in dem Verzeichnis, wo du die Befehle ausgeführt hast.
Zum Vergrößern anklicken....

Die Ausgaben siehe Anhang.

Vielen Dank für eure Hilfe :)
 

Anhänge

  • dcdiag-dns.txt
    11,2 KB · Aufrufe: 391
  • dcdiag-log.txt
    24,8 KB · Aufrufe: 491
Ich sag ja weiterhin dass es kein Problem mit der AD ist. Hast du den Client mal aus der AD genommen und bist dann wieder beigetreten? Welchen Domänennamen hast du verwendet? Hat dein Client den DNS Server eingetragen oder die FRITZ!Box?
 
Mach mal bitte nslookup domain.local und schau nach ob da sicher die IP deines DCs ausgegeben wird.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

X
Hyper-V geklonte neu Maschine nicht in Domain angemeldet
Antworten
12
Aufrufe
2.591
Giggity
Giggity
I
Sicheres Speichern sensibler Daten in Datenbanken
Antworten
13
Aufrufe
2.572
Piktogramm
Piktogramm
Kaito Kariheddo
Leserartikel Arch Linux - Schritt für Schritt Anleitung für Einsteiger
3 4 5
Antworten
84
Aufrufe
39.775
Floppy Disk 8"
F
ibm9001
Erfahrungsbericht: GPU Passthrough mit AMD Ryzen 5700G auf einem ITX Mainboard BIOSTAR B550T-Silver
Antworten
14
Aufrufe
8.535
ibm9001
ibm9001
F
Windows (11) Installation anpassen (NTLite)
2
Antworten
22
Aufrufe
25.334
GibtsNochKuchen
G
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz