User hat keinen Zugriff mehr auf sein home dir @Server

[KatjaLee]

Hallo zusammen,

wir haben hier neuerdings ein seltsames Phänomen das wir einfach nicht in den Griff bekommen.

Beispiel:

User X hat kein Zugriff mehr auf sein Home Dir auf dem Server - Meldung: "Zugriff verweigert"

Wenn ich mir die Berechtigungen als Admin anschaue stimmt soweit alles - Vollzugriff und Besitzer des Ordners = User X . Es wurde ja auch nichts geändert. Freitag ging noch alles bei User X und dann heute pötzlich nicht mehr.

Serverplattform: Windows Server 2016

Client: Windows 7

 

[t0pi]

Selbes Netz (oder via VPN verbunden)? Selbe Domäne? Tritt das Problem auch auf einem anderen Client auf? Nur ein User betroffen? Wurde das Kennwort (wegen Kennwortrichtlinie z.B.) am Freitag geändert?

[KatjaLee]

Ja selbes Netz

Ja selbe Domäne

Ja auf anderem Clients besteht das Problem auch

Nein, bisher bekannt sind 2 User

Nein wurde nicht geändert

 

[t0pi]

Hast Du die Userordner händisch erstellt oder sind sie von Active Directory Benutzer und Computer erstellt worden ? Kann ein User die Userordner sehen, wenn er \\<Server>\Homes eingibt ? Melde Dich mal als Administrator an und kontrolliere die (erweiterten) Berechtigungen vom Ordner Homes und User. Wer ist dort berechtigt ? Oder hat niemand Zugriff auf die Userordner ?

[-roX-]

Hast du bereits im Freigabeordner nachgeguckt was dort als NTFS Berechtigung eingetragen ist? Oder eine Änderung an den GPOs die an die Domänen OU bzw Gruppe zugeordnet wurde?

Bearbeitet 3. Juli 2018 von Shanks06

[KatjaLee]

vor 20 Stunden schrieb t0pi:

Hast Du die Userordner händisch erstellt oder sind sie von Active Directory Benutzer und Computer erstellt worden ?

Die Ordner werden vom AD User erstellt.



vor 20 Stunden schrieb t0pi:

Kann ein User die Userordner sehen, wenn er \\<Server>\Homes eingibt

Ja

vor 20 Stunden schrieb t0pi:

Melde Dich mal als Administrator an und kontrolliere die (erweiterten) Berechtigungen vom Ordner Homes und User. Wer ist dort berechtigt ? Oder hat niemand Zugriff auf die Userordner ?

Admins haben Vollzugriff, User hat Vollzugriff (natürlich nur auf seinen eigenen Ordner), SYSTEM hat Vollzugriff,  ERSTELLER-BESITZER hat Vollzugriff und spezielle Berechtigungen.

 

vor 2 Stunden schrieb Shanks06:

Hast du bereits im Freigabeordner nachgeguckt was dort als NTFS Berechtigung eingetragen ist? Oder eine Änderung an den GPOs die an die Domänen OU bzw Gruppe zugeordnet wurde?

Es wurde seit Freitag nichts geändert! Und bis zu dem Tag ging auch noch alles.

[_n4p_]

Mal auf \\<Server> im Ereignisprotokoll unter Sicherheit geschaut? (Event 4625 und 4624)

[KatjaLee]

Ich schau morgen früh danach.. heute ist Choas pur hier sorry

[KatjaLee]

vor 20 Stunden schrieb _n4p_:

Mal auf \\<Server> im Ereignisprotokoll unter Sicherheit geschaut? (Event 4625 und 4624)

Überall "Überwachung erfolgreich"

[Hunduster]

Ob was geändert wurde ist ja irrelevant. Der Fehler muss ja irgendwoher stammen. Also alles doppelt und dreifach prüfen. Mir persönlich ist auch schleierhaft, wieso die Benutzer bei Euch aus ihrem Homeshare eine Ebene höher kommen und die anderen Freigaben sehen können - je nach Unternehmensgröße recht bedenklich aber sei es drum.

Folgendes Szenario (wie ich es machen würde):

Freigabeordner: users
Freigabename: users$
Freigabeberechtigung: Jeder mit Vollzugriff
NTFS Berechtigung: Ersteller/Besitzer, System, Domänenadmins (KEINE Benutzer)
Vererbung deaktiviert

Diese config hat den Charme, dass ein Benutzer an sein Homeshare kommt, OHNE hieraus ausbrechen zu können. Er kann also nicht eine Ebene höher und sieht die versteckte Freigabe auf dem Server gar nicht erst. Alles was da sonst noch so rum liegt geht ihn ja auch nichts an.

Der jeweilige User hat NUR Zugriff (NTFS: Vollzugriff, vergeben durch AD) auf seinem persönlichen Userordner. Angelegt im AD mittels \\Server-FQDN\users$\%username%
 

[Thanks-and-Goodbye]

vor 7 Minuten schrieb Hunduster:

Freigabeberechtigung: Jeder mit Vollzugriff

Warum Vollzugriff? Soll der User selber auf die Schattenkopien zugreifen dürfen?

[Hunduster]

vor 7 Minuten schrieb Chief Wiggum:

Warum Vollzugriff? Soll der User selber auf die Schattenkopien zugreifen dürfen?

...weil es die Standardberechtigung ist. Ich bin nicht sehr bewandert in Schattenkopien, da wir die Funktion nicht nutzen aber zählt das nicht eher unter die NTFS Berechtigungen? Ich lass mich gern eines Besseren belehren.

[Thanks-and-Goodbye]

Neeeeee, das ist ja das Gemeine: bei Freigabeberechtigung Vollzugriff hat der User das Recht, remote auf die Schattenkopien zuzugreifen und Daten wiederherzustellen. Ist komplett unabhängig von NTFS-Rechten.

[Hunduster]

OK, wieder was gelernt ? Gut, lesen reicht an der Stelle ja auch. Alles im Homeshare findet dann via NTFS statt.

[Thanks-and-Goodbye]

Zurück zur eigentlichen Frage: liegen auf dem Server noch weitere (gemeinschaftliche?) Shares und kann der Problemuser da sauber zugreifen?

[KatjaLee]

Ja, auf dem Server liegt noch eine Freigabe auf die alle User zugreifen können. Da kommen die beiden User auch aktuell drauf. Ich versuchs jetzt morgen mal mit einem neuen Profil für den einen User - nur mal um zu testen ob es dann geht. Wir haben hier eh seit geraumer Zeit Probleme mit Profilen die von dem ein auf den anderen Tag einfach mal kaputt sind. Ich werde morgen berichten.

[Sledgeheammer]

Hi,

ich geh mal davon aus das es Servergespeicherte Profile sind. Probier einfach mal das Profil vom Client sauber zu entfernen. Beim erneuten anmelden zieht er ja alles sauber vom Server. Somit kann wenigstens irgendwelche Synchro. Probleme ausgeschlossen werden.

Gruß und Grüße

[Jens_Mander]

Am 4.7.2018 um 14:28 schrieb Chief Wiggum:

Neeeeee, das ist ja das Gemeine: bei Freigabeberechtigung Vollzugriff hat der User das Recht, remote auf die Schattenkopien zuzugreifen und Daten wiederherzustellen. Ist komplett unabhängig von NTFS-Rechten.

Mal eine generelle Frage.

Warum soll ein User nicht auf die Volumenschattenkopien Zugriff haben. Spart den Admins Arbeit. Ich bin für eine saubere Dokumentation und eine gute Einweisung in die Technik des Users.