Windows Server 2008 R2 Div. Anfängerfragen: NTFS Berechtigungen in einer Domain

[NullDevice]

Hallo,

Habe Win2008R2 als DC, bin noch Anfänger und hab einige Fragen zu NTFS Berechtigungen, die mir etwas paradox vorkommen:


1)
Es gibt die BuiltIn Gruppe Administratoren und die Gruppe Domänen-Admins die darin Mitglied ist. Ich hab hier noch den User admin, der wiederum Mitglied in Domänen-Admins ist.

Es gibt Ordner, zB. Profilordner von anderen Usern auf meinem Testsystem, die ich als Admin nicht öffnen kann, obwohl die Gruppe "Administratoren" Vollzugriff (Ordner, Unterordner und Dateien) hat. - Wie kann das sein?

Füge ich den User admin selbst hinzu, geht es plötzlich.
Das gleiche Problem hatte ich auch schon an anderen Stellen mit der Gruppe "Domain-admins" und dem User admin.


2)
Wieso findet man die Gruppe "Administratoren" nicht beim Hinzufügen-Dialog einer Berechtigung? Ich kann nur Domänen-Admins hinzufügen. Ich finde diese Gruppe auch nicht wenn explizit "BuiltIn" auswähle.


3)
Wieso sagt man, dass die BuiltIn Gruppen (hab ich gelesen), lokale Gruppen sind. Jedoch werden sie als "meineDOMAIN\Administratoren" angezeigt und nicht als "meinSERVER\Administratoren"?

Ich bin mir nicht ganz sicher als was ich diese Gruppen zu verstehen habe...


4)
Ich habe hin und wieder den Fall, dass ich obwohl ich Domain admin bin, nicht die komplette Ordnerhierarchie als Besitzer übernehmen kann,

obwohl nirgends "verweigern" Rechte gesetzt sind. Woran liegt das und was kann man dagegen machen?


5)
Gibt es irgendein Tool oä. das mir innerhalb einer Ordnerstruktur alle Ordner anzeigt, auf die Berechtigungen für einen bestimmten User/Gruppe gesetzt sind?
Das ist meiner Meinung nach sehr nütztlich, wenn man eine Gruppe löscht oä. Denn da möchte ich vorher schon wissen, wo überall sie vorkommt, bzw. dort dann die Recht angepasst werden müssen.

Kann auch gerne ein cmd-Tool sein, stört mich nicht.


Lg + Danke im Voraus,
ND

 

[Galaxy9000]

Sorry wenn ich jetzt nicht direkt Dir antwort gebe:
Meine dringende Empfehlung ist, vor allem wenn Du als Domain Admin an Deinem DC arbeitest, einen MS Kurs bzw. Zertifikat zu erwerben.

Denn mit Grundkenntnissen und Google rate ich drigenst davon ab einen DC zu administrieren, geschweige denn das AD.

Weiss nicht ob Du privat oder für eine Firma das machst, letzteres würde ich Dir die Schulungen von MS für AD anbieten (Grundkurse bei MS 5 Tage, Troubleshooting mit Skill 400 nochmal 5 Tage!) bzw. die Zertifizierung MCITP SA falls Du so was machen solltest (hab ich z.b. gemacht, ist für manche Unternehmen sogar Voraussetzung, auch wenn es nur Theorie ist)

Ergänzung (19. November 2012)

Anhang aller Fragen, hab ich festgestellt, dass Du noch überhaupt nicht weisst, was eigentlich eine Domain ist und warum z.b. kein Administrator existiert (zu 1) es existiert einer, aber das ist der DSRM, für z.B. Verzeichnisdienstwiederherstellung für eine autorisierende bzw. nicht-autorisierende Wiederherstellung von Objekten).
Meine Empfehlung stellt Dir erstmal diese Fragen:
Was ist Active Directory
Was sind Objekte
Welche Aufgabe hat ein GC (Global Catalog)
Was sind Sites
Wie wende ich GPOs (Gruppenrichtlinien) auf Objekte an
Was ist LDAP
Was kann ich mit ADSIEdit anfangen
Wie legen ich User und Gruppen an
Wie erstelle ich eine Subdomain
Was ist eine DNS-Zone (falls Du ein AD integriertes DNS verwendest)
Wie überprüfe ich die Replikation der DCs
Welches Tool verwende ich für die Diagnose der DCs und AD-Umgebung