Hallo zusammen,
meine Situation/ Szenario: Benutzer Test (Azubi) soll über RDP auf diversen Terminal-Server das Backup betreuen. Es ist nicht gewünscht ihn gleich als Domänen-Admin hoch zu stufen! Das Backup wird Täglich über die Windows-Serversicherung auf eine NAS von
Iomega geschrieben. Die Verbindung zwischen NAS und Server wird über den Windows ISCSI-Initiator ermöglicht.
AD: Im Active- Directory habe ich eine Gruppe erstellt. Gruppe: "Backup-Support" Der Benutzer Test ist Mitglied dieser Gruppe. Die gruppe "Backup-Support" ist Mitglied der Gruppe "Remotedesktopbenutzer" und "Sicherungs-Operator".
Außerdem ist der Benutzer Test unmittelbares Mitglied der Gruppe "Domänen-Benutzer". In der Organisationseinheit Domain Controllers befinden sich mehrere DC´s. Da die Sicherung nur auf diversen Servern erfolgen soll, wurde eine weitere Organisationseinheit
erstellt unterhalb der "Domain Controllers". Sie nennt sich "Backup Support" Dort wiederum befinden sich alle Server die der Benutzer Test administrieren soll.
GPO: An die Organisationseinheit "Backup Support" ist eine GPO verknüpft ("GPO Backup Support"). In dieser ist folgender Wert definiert. Computerkonfiguration/Richtlinien/Windows-Einstellungen/Lokale Richtlinien/Zuweisung von Benutzerrecht:
Anmelden über Remotedesktopdienste zulassen. Diese Richtlinieneinstellung ist definiert für folgende Gruppe: "Backup-Support".
Über die CMD aktualisiere ich die Gruppenrichtlinien (gpupdate /force) und kontrolliere mit gpresult /r ob meine "GPO Backup Support" angewendet wird. Bis dahin ist noch alles im Lot. Der Benutzer Test kann sich über RDP auf den Servern anmelden.
Wenn er nun die iscsipl.exe aufruft erhält er eine Fehlermeldung.
"C:\Windows\System32\iscsipl.exe
Der angeforderte Vorgang erfordert erhöhte Rechte."
Nun habe ich mir gedacht ich konfiguriere folgenden Part Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Dateisystem: und füge dort explizit die Datei hinzu. "%SystemRoot%\System32\iscsicpl.exe" die Gruppe "Backup-Support"
hat Vollzugriff erhalten und die Vererbung ist automatisch verteilt.
Erneut aktualisiere ich die Gruppenrichtlinie über die CMD. Das Problem ist weiterhin Bestandteil.
Die UAC auf geringste Stufe gestellt. -> kein Erfolg.
Die Umgebung:
Windows Server 2008R2
Windows 7 Client
Wie kann ich es realisieren, dass der Benutzer Test zugriff auf den ISCSI-Initiator erhält ohne ihn als Domänen oder lokalen Administrator zu machen? Wenn weitere Informationen benötigt werden trage ich diese nach.
Danke für jegliche Antwort! =)
