Hallo,

ich habe das Problem, dass ich als Domänen-Admin vom primären und sekundären Domänencontroller keinen Zugriff auf die Freigaben von Computern im Netzwerk bekomme. Dies äußert sich mit der Fehlermeldung "Auf \\xy kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Wenden sie sich an den Administrators des Servers, um herauszufinden, ob sie über Berechtigungen verfügen.

Mit diesem Konto kann man sich nicht von diesem Computer aus anmelden."

Weder die normale noch $-Freigaben kann ich vom Domänencontroller aus ansprechen. Der andere Weg, vom Client zum Domänencontroller, geht hingegen einwandfrei, sowohl auf Freigaben als auch auf die administrativen Freigaben nach Authentifizierung mit Domänen-Admin.

Als Serverbetriebssystem wird Windows Server 2003 und als Clients Windows XP Professional eingestzt. Ich habe das SMB-Signing in Verdacht, allerdings haben die empfohlenen Einstellungen von http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm nicht den gewünschten Erfolg gebracht.

Über Hilfe wäre ich sehr dankbar.

Gruß

kannst du als Dom-Admin von einem PC auf die Freigaben eines anderen PCs zugreifen? Oder klappt das nur vom DC aus nicht?

Hallo jorge42,

ja, ich kann von einem beliebigen PC auf die Freigaben eines anderen PCs zugreifen. Nur vom DC geht es nicht. Liegt es dann vielleicht an policy für Domänencontroller?

Gruß

so bin grade nicht mehr in der firma, kann leider nicht nachschauen. dieses verhalten, dass du beschreibst ist mir nicht bekannt, hat aber auch nichts zu sagen. kann es erst am montag ausprobieren. kann mich aber nicht daran erinnern, das problem gehabt zu haben, aber andererseits habe ich auch noch nie vom dc selbst auf die freigaben zugegriffen. das letzte mal, dass ich direkt auf dem dc war, war bei der installation vor 2 jahren :biggrin: danach nur noch per mmc, nichtmal per rdp.

du kannst ja mit der gpmc mal die settings der policy des dcs anschauen, vielleicht sieht man was, alternativ kannst du sie ja exportieren und hier posten, falls dort keine hinweise auf deine firma versteckt sind.

Das wäre nett. Ich bin über rdp auf dem DC eingeloggt gewesen, aber auch per lokaler Anmeldung ging es nicht. Interssant ist, dass ich auf die Freigaben des sekündären DC zugreifen kann, ebenfalls kann ich mir auf den Exchange Server zugreifen. Alle drei sind mit Windows Server 2003 Standard installiert. Service Pack 1 ist bei allen installiert. Demanch klappt es nicht mit dem Zugriff auf die Windows XP Pro Clients.

Dieses Verhalten macht mich stutzig, da es den Domänen-Admin doch ein wenig eingrenzt. Sicherlich ist ein Zugriff, wie Du schon schriebst, vom DC, über rdp angemeldet, auf Clientfreigaben nicht unbedingt wichtig, allerdings interssiert mich es schon, warum es nicht geht und wie man es beheben kann.

Danke,

Gruß

so habe das nochmal überprüft, das von dir beschrieben verhalten ist defintiv kein standard verhalten. ich kann vom DC auf die Freigaben eines PCs zugreifen.

Du solltest mit der GPMC die Resulting GPOs auf dem DC mit dem Administrator anschauen. Vielleicht habt ihr an der Domänen Policy was geändert, oder der DC pol oder an der User POl, ich weiß ja nicht wie euer AD aufgebaut ist.

Hallo,

danke für das Deine Hilfe. Das problem ist mittlerweile gelöst, es lag in den von Dir beschriebenen GPOsDefault Domain Policy + Default Domain Controllers Policy.

Danke,

Gruß

und darf ich auch wissen, welche einstellung es genau war? könnte auch für andere ganz hilfreich sein.

Ja, klar.

Meineserachtens hatte doch das SMB-Signing etwas damit zu tun. Ich hatte nur die Einstellungen für die DC GPO geändert, es muß aber auch die Default Domain Policy geändert werden (hatte den Artikel nur überflogen), so dass sich die Einstellungen für das SMB- Signing der auf den DCs und den Computern angewendeten Sicherheitsrichtlinien nicht widersprechen. Nach der Replizierung und der Aktualisierung der GPOs konnte ich vom DC wieder auf Clientfreigaben zugreifen.
Sehr hilfreiche Informationen gibt es hier:

http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm

und hier unter dem Titel: "You cannot open file shares or Group Policy snap-ins when you disable SMB signing for the Workstation or Server service on a domain controller"

http://support.microsoft.com/kb/839499/EN-US/

Gruß