Topic: SME Domänen admin ohne Rechte auf Domänen Mitglied

[uli334]

Hallo,

ich habe gerade ein ganz merkwürdiges Problem.
Ich habe einen SME 7.13 als Domänencontroller eingerichtet, einen Win2003server R2 (mit reg - Patch vom SME) und ein Win2000 in die Domäne hereingenommen. Als berechtigtes Konto hierfuer habe ich den admin vom SME genommen. Die Maschinen treten auch anstandslos der Domäne bei.
Nach dem Neustart der Clients melde ich mich mit admin/smedomäne an. Auch das klappt. Aber nun hat dieser Domänenadmin plötzlich keine Administratorrechte mehr auf den beiden Clients. Er eignet sich nur zum Beitreten und Verlassen der Domäne, aber nicht mehr als Admin auf den Mitgliedsmaschinen.
In die Gruppe "Administratoren" auf den Workstations wird eine Gruppe "Domain Admins" beim Domänenbeitritt mit aufgenommen, dort scheint der "admin" aber kein Mitglied zu sein, denn er hat die Berechtigungen nicht.

Mit dem SME6 lief das alles problemlos...

Weiss jemand, was hier schiefläuft?

Uli

[capri]

Welche Maschine ist den PDC und welche BDC?

Müßte eigentlich immer Probleme geben, da SAMBA ja nicht die komplette Funktionalität der AD Domain kann.

Eine Idee, weiß aber nicht ob das klappen wird, wäre vielleicht einen der Server als zuständig für eine Subdomain zu konfigurieren und diese dann einzuhängen in die Domainstruktur, könnte sein das dann ein in der Subdomain angelegter Administrator seine Rechte bekommt?

Ansonsten du hast schon den Administrator entsprechend gemappt und in Samba mit den Root Zugriff versehen?

Auf der Samba Site http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/ (englisch) gibt es eine ausführliche Erklärung wie man solche Probleme lösen kann, mir war die Anleitung, aber teilweise etwas zu 'heavy'

[uli334]

Nein, so ist es nicht. Der SME ist alleiniger Server und Domänencontroller (PDC).
Das Problem ist, dass der SME "admin" bei den Workstations, die seiner (Samba-) Domäne angehören, eigentlich Administratorrechte haben sollte. Tatsächlich hat er die aber nicht, sondern ist rechtemaessig wie ein ganz normaler user ausgestattet.
Die Folge: Auf der Maschine gibt es nur einen User der Administratorrechte hat und das ist der Administrator der lokalen Maschine. Der Domänenadmin hat beim SME7 auf den Workstations der Domäne nur normale Userrechte - kann also zum Einrichten nicht verwendet werden...

Viele Gruesse,
Uli

[mdo]

Versuch doch mal folgendes:
Richte auf dem SME eine neue Gruppe ein, z.B. "domain-admins" mit "Description/Windows Group Alias" (sorry, habe nur Englische SME version) "Domain Admins" (es muss haargenau dieser Windows Gruppenname sein, Gross/Kleinschreibung wichtig) and ordne den user admin dieser Gruppe zu.

Danach neuer login als admin.
Michael

Update: "Domain Admins" ist wahrscheinlich fuer eine deutsche Windows Version falsch! Ich weiss nicht wie genau bei einer deutschen Windows Version diese Gruppe heissen muss?

[OCB]

wenn du die clients nicht nur einfach so der domäne hinzufügst sondern über den windows assistenten 'Netzwerkkennung' (oder so ähnlich), dann kannst du am ende einen domänenbenutzer am client bestimmen, der direkt adminrechte am client hat.

Oder du meldest dich lokal als administrator an, gehst in die benutzer-/gruppenverwaltung von windows und fügst die gewünschten benutzer der gruppe 'Administratoren' hinzu.

[uli334]

Hallo mdo,

danke fuer den Tip, so klappts wieder einwandfrei.
Auch auf deutschen W2k WXP lautet der "Brief Description/Windows Group Alias" "Domain Admins".
Als "Vorherverwender" von SME6 bin ich hier aufgelaufen, da war das ja nicht noetig.

Uli

PS: Wegen 2 Wochen Urlaub kommt diese Antwort erst so spät...

[mdo]

Hallo Uli,

eigentlich sollte es mit SME7 genau so sein wie mit version 6 und der Benutzer 'admin' als solcher muesste (Domaenen) Admin Rechte haben. Ich glaube da hat sich irgendwo zwischen den Versionen ein bug eingeschlichen.
Michael