none
Delegation von Adminrechten - Änderung des Basisordners eines Benutzers RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich habe mehrere Server (DC, Fileserver, SQL-Server etc.), welche von verschiedenen Adminkonten im Rahmen eines 3-Tier-Modells verwaltet werden.

    Der Tier0-Admin verwaltet den DC, der Tier1-Admin den File- und andere Server, der Tier2-Admin die Clientcomputer. Der Tier0-Admin kann sich nicht an den anderen Servern und nicht an den Clients anmelden.

    Nun möchte ich einem Benutzer ein Basislaufwerk bzw. Homeverzeichnis auf dem Fileserver zuweisen. Diese Änderung kann ich aber mit dem Tier0-Admin nicht machen, ich erhalte beim Ändern des Benutzers die Fehlermeldung

    "Der Basisordner konnte nicht erstellt werden. Grund: Anmeldung fehlgeschlagen: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer."

    Welche Adminrechte muss ich an den Tier1-Admin deligieren, damit dieser die Änderung machen kann? Das Feld "Basisordner" im Reiter "Profil" beim Benutzer ist mit dem Tier1-Admin ausgegraut.

    Viele Grüße

    Eiko



    • Bearbeitet Eiko Richter Dienstag, 15. September 2020 09:17
    Dienstag, 15. September 2020 09:17
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hallo Eiko,

    Kannst Du überprüfen, ob auf DC gespeicherte Anmeldeinformationen vorhanden sind, die keine Berechtigung zum Zugriff auf den Dateiserver haben? Du solltest auch die aktuellen Einstellungen "Zugriff auf diesem Computer vom Netzwerk" und "Zugriff auf diesen Computer vom Netzwerk verweigern" auf dem Dateiserver überprüfen.Weitere Informationen findest Du hier:
    AD cannot create home share on file server 2016, The home folder could not be created because Logon Failure, the user has not been granted the requested login type

    Gruß,

    Ivan Dragov

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 18. September 2020 10:03
    |
    Administrator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Ivan,

    der DC-Admin, mit welchem ich momentan die Benutzer anlege und die Einstellung des Basisordners auf dem Fileserver verwalte, darf sich ja eben nicht auf dem Fileserver anmelden. (Im Rahmen des Active Directory Verwaltungsebenenmodells soll doch das "Lower Tier logon" unterbunden werden -> https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material )

    Auf dem Fileserver kann ich das Tool zur Benutzerverwaltung installieren und mit dem Fileserveradmin kann ich die Änderung vornehmen, wenn ich diesem Domänen-Admin-Rechte gebe. Und genau das will ich nicht.

    Über eine Deligierung kann ich einzelne Teile der Benutzerverwaltung (Bspw. E-Mailadresse oder Telefonnummer) durch den FS-Admin ändern lassen. Nun suche ich die Einstellung bei der Deligierung, welche mir das Ändern des Basisordners mit dem Fileserver-Admin ermöglicht.

    Freitag, 18. September 2020 10:30
    |