Ich weiß nicht mehr weiter!

german

#1

Hallo,

ich habe bereits ein Thema erstellt, in dem es darum ging, daß ich mich nicht lokal am UCS Server anmelden kann.
Dies hat sich geklärt, da ich nun einen komplett neuen Server habe, auf dem ich die neue UCS 3.2 Version installiert habe.

Installiert habe ich (zwecks Low-Power) UCS auf einem 20GB Microdrive, welches über USB angeschlossen ist - das hat soweit auch gut funktioniert.

Nach der Installation habe ich meine Datenplatte (1TB, NTFS) eingebaut und gemounted.
Diese Platte war früher in einem Windows 2000 Advance Server und danach in einer Linux Serverversion namens Resara eingebunden.
Die Benutzer und Gruppen und … funktionierten hier einwandfrei, das Problem aber war, das Resara veraltet ist und auch bei der Wahl des
Domain Namens kein Bindestrich zuließ -> CARE-IT war somit nicht möglich

*** fstab Datei ***

/etc/fstab: static file system information.

UUID=c63813c1-6adc-4a32-8f3f-d5a7541c6412 / ext4 acl,errors=remount-ro,user_xattr 0 1
proc /proc proc defaults 0 0
UUID=44225e79-b130-43c0-86ea-5e0265899f61 /boot ext4 defaults,acl,user_xattr 0 0
UUID=3769a223-13b0-4a99-a0bb-95c71ff54142 none swap sw 0 0
/dev/sr0 /cdrom auto user,noauto,exec 0 0
/dev/fd0 /floppy vfat user,noauto,exec 0 0
/dev/sda1 /CIT-DATA ntfs-3g defaults 0 0

  • Die fett gedruckte Zeile ist für das NTFS Laufwerk
    *** Ende ***

Als “Mountverzeichnis” habe ich als “Root” Benutzer das Verzeichnis “CIT-DATA” im “Basisordner” angelegt, das ist doch so in Ordnung, oder?

*** UCS Management Konsole ***

In der Konsole habe ich folgendermaßen die Basis Struktur aufgebaut:

1.
Unter CIT-DATA Freigaben für die Verzeichnisse CI-C und CI-D angelegt (Besitzer: Administrator, Besitzergruppe: Domain Admin
Dies dient dazu, wenn ich mich als Administrator unter Windows anmelde, daß ich mir 2 Laufwerke mappen kann, in denen die verschiedenen Daten abgelegt sind und ich dadurch
einen komfortablen Zugang auf die Unterverzeichnisse habe.

Fazit: Melde ich mich mit meinem lokalen Administrator unter Windows 7 an, habe ich Zugriff auf diese beiden Laufwerke (Verzeichnisse auf der NTFS Platte)

Problem:
Wenn ich in die Eigenschaften z.B. des Verzeichnis “CI-C” gehe, sehe ich bei den Berechtigungen in machen Verzeichnissen nur eine lange Zahlenreihe (S-1-5-21-386331690-2521415356-768186754-512)
in anderen gar nichts, und es steht geschrieben:

Für dieses Objekt haben weder Gruppen noch Benutzer die erforderlichen Zugriffsrechte. Der Besitzer des Objekt kann jedoch Berechtigungen zuweisen.

Der Besitzer ist der Benutzer “CARE-IT\Administrator”
Versuche ich jetzt den CARE-IT\Administrator zusammen mit den Gruppen Domain Admins und Administrators auf das Verzeichnis nebst Unterverzeichnissen mit allen Rechten zuzuweisen,
dazu wähle ich in der Domäne den Benutzer und die Gruppen aus, gebe in das Windows-Sicherheits Fenster die Zugangsdaten vom Administrator ein, setze die Berechtigungen bei allen
3 auf “Vollzugriff” und klicke auf übernehmen, dann dauert es kurz und ich bekomme die Fehlermeldung: Fehler beim anwenden von Sicherheitsinformationen auf: … Zugriff verweigert - drücke ich auf
fortsetzen, kommt die Fehlermeldung mit jeder weiteren Datei/Verzeichnis, drücke ich auf Abbrechen, springt es wieder zum vorherigen fenster zurück und die Berechtigungen sind nicht gesetzt.

Selbst wenn ich vorübergehend die Besitzerrechte an meinen lokalen Administrator gebe, besteht das Problem weiter.

Was kann ich tun, um die Berechtigungen wieder herzustellen bzw. neu zu setzen?

Wie ich es früher in meiner Administratoren Schulung für Windows Server gelernt habe, sollen ab dem Verzeichnis, wo die Daten liegen, die als Netzwerklaufwerke freigegeben werden sollen, die
(Basis)Berechtigten der Administrator der Maschine, die Administrators und die Domain Admin Gruppe sein.
Wenn ich diese Grundberechtigung habe, kann ich mit den weiteren Gruppen je nach Bedarf berechtigen, wo es nötig ist.

Entschuldigt bitte im voraus für diesen langen Text, ich hoffe ich habe es so verständlich wie möglich geschrieben.

Gruß

Care-IT


#2

Hallo

[quote]Wenn ich in die Eigenschaften z.B. des Verzeichnis “CI-C” gehe, sehe ich bei den Berechtigungen in machen Verzeichnissen nur eine lange Zahlenreihe (S-1-5-21-386331690-2521415356-768186754-512)
in anderen gar nichts, und es steht geschrieben:[/quote]

Bei der Zahlenreihe handelt es sich um eine Security-ID, im Active Directory SID genannt, unter den gleichen Schlüsseln findet man auch die Registry-Einträge für den User.

Die muss eineindeutig sein damit das AD die Zugriffsberechtigung sicherstellen kann. Ist eine SID doppelt dann kommt es zu Problemen mit den Zugriffen. Siehe dieser Artikel:
andysblog.de/windows-problem … nd-beheben.
Wenn nur die Zahlenreihe angezeigt wird dann gibt es wohl keinen Benutzer zu der SID.
Edit:

Mit dem hier vorgestellten Befehl kann man alle SID und die zugehörigen Nutzer auslesen:
wewimo.de/sid-auslesen-in-ei … rver-2003/

Wie hast du das gemacht? Mit “TakeOwnership” oder mit den Bordmitteln?
Zu TakeOwnership: http://www.howtogeek.com/howto/windows-vista/add-take-ownership-to-explorer-right-click-menu-in-vista/
Damit ging das immer irgendwie besser als manuell, ist aber subjektiv.

Wie sind denn die SAMBA-Rechte unter der Freigabe unter “Freigabe->Erweiterte Einstellungen” im UDM gesetzt?

Ein zugegebenermaßen etwas rüde Methode wäre auf der Konsole des Univention die Rechte komplett zu entfernen mit:

chmod -R 777 

Viele Grüße
Stefan


#3

[b][quote]Hallo Stefan,

Danke für Deine Antwort.
Ich antworte dir weiter unten in Quotes.
[/quote][/b]

[quote=“stefanlor”]Hallo

[quote]Wenn ich in die Eigenschaften z.B. des Verzeichnis “CI-C” gehe, sehe ich bei den Berechtigungen in machen Verzeichnissen nur eine lange Zahlenreihe (S-1-5-21-386331690-2521415356-768186754-512)
in anderen gar nichts, und es steht geschrieben:[/quote]

Bei der Zahlenreihe handelt es sich um eine Security-ID, im Active Directory SID genannt, unter den gleichen Schlüsseln findet man auch die Registry-Einträge für den User.

Die muss eineindeutig sein damit das AD die Zugriffsberechtigung sicherstellen kann. Ist eine SID doppelt dann kommt es zu Problemen mit den Zugriffen. Siehe dieser Artikel:
andysblog.de/windows-problem … nd-beheben.
Wenn nur die Zahlenreihe angezeigt wird dann gibt es wohl keinen Benutzer zu der SID.

[b][quote] Also wie gesagt, die Datenplatte war vorher in einem Resara Server auf Ubuntu Basis eingebaut, daher kann es sein, daß auf einigen Verzeichnissen noch Gruppen von
der alten Struktur berechtigt sind.
Die SID (welche ich im 1. Treat angegeben habe, ist die der “Domain Admin” Gruppe (rausgefunden unter der UMC im Modul Gruppen).
Auf den Freigaben CI-C und CI-D habe ich erfolgreich den Besitz als CARE-IT\Administrator übernommen bzw. in allen Unterverzeichnissen angepasst.
Versuche ich aber den Administrator und die Gruppen Administrators und Domain Admin auf die Freigaben zu berechtigen, heißt es ich habe keinen Zugriff.[/quote]

Edit:

Mit dem hier vorgestellten Befehl kann man alle SID und die zugehörigen Nutzer auslesen:
wewimo.de/sid-auslesen-in-ei … rver-2003/

[quote]Das mit den SID’s werde ich übers Wochenende ausprobieren[/quote]

Wie hast du das gemacht? Mit “TakeOwnership” oder mit den Bordmitteln?

[quote]Das habe ich unter Windows gemacht, indem ich den Besitz übernommen habe.
Was dabei interessant ist, daß Heute Morgen diese Besitzübernahme wieder weg war und der CARE-IT\Administrator drinnen ist - Wunder !!!
[/quote]

Zu TakeOwnership: http://www.howtogeek.com/howto/windows-vista/add-take-ownership-to-explorer-right-click-menu-in-vista/
Damit ging das immer irgendwie besser als manuell, ist aber subjektiv.

[quote]Das werde ich auch noch einmal probieren[/quote]

Wie sind denn die SAMBA-Rechte unter der Freigabe unter “Freigabe->Erweiterte Einstellungen” im UDM gesetzt?

[b][quote] Wenn du mit UDM die Management Konsole meinst habe ich es so wie unter 1. gemacht:

Also vorgegeben war beim anlegen
Besitzer: root
Gruppe: root

Ich habe das dann bei den bis jetzt angelegten Freigaben geändert - z.B. bei den Freigaben:

CI-C = Besitzer: Administrator Gruppe: Administrators
CI-D = siehe CI-C
Share = Da hätte ich gedacht, das ich eine CARE-IT Gruppe mit Schreibrechten erstelle und die eintrage Besitzer: Administrator Gruppe: CARE-IT

Im Datei Manager (angemeldet über Remote Desktop von Windows aus) sind die Berechtigungen alle auf root und “ausgegraut”
Bei den Freigaben kann ich auch nichts ändern.
[/quote][/b]

Ein zugegebenermaßen etwas rüde Methode wäre auf der Konsole des Univention die Rechte komplett zu entfernen mit:

chmod -R 777 

Viele Grüße
Stefan[/quote]

[quote]Gebe ich den Befehl exakt so ein, wie du Ihn hingeschrieben hast, oder muss ich für z.B /code was eintragen?[/quote]

[b][quote]Was mir jetzt gerade noch einfällt, wäre:

  1. Die Datenplatte auszubauen
  2. Diese in meinen Desktop Rechner einzubauen, von welchem ich auch die Domäne administriere
  3. Allen Schrott wie z.B. recycler, tmp Dateien, usw. darauf zu entfernen
  4. Mit Windows Bordmitteln den lokalen Administrator, die Gruppen Administratoren und Domain Admin mit voller Berechtigung von oben nach unten drüberzubügeln.
    (Bei der Methode würden dann auch die falschen und nicht mehr vorhandenen berechtigten Personen/Gruppen entfernt)
  5. Datenplatte wieder einbauen und schauen, wie es dann aussieht

Was meinst du? Wäre das eine gute Idee?

Sollte das mit dem “überbügeln” nicht so klappen, kann ich das Tool “cacls” benutzen, daß ist sehr mächtig, kenne ich noch aus meiner Zeit
als ich Windows 2000 Server administriert habe.

Viele Grüße zurück

Frank[/quote][/b]


#4

Vergiss was ich gesagt habe. Ich dachte du kennst dich an der Linux-Shell aus. :slight_smile: Wenn nicht ist die Gefahr was falsch zu machen zu groß.

[quote]Wenn du mit UDM die Management Konsole meinst habe ich es so wie unter 1. gemacht:
[/quote]
Genau, ich komme da auch immer durcheinander. Ich glaube die richtige Abkürzung ist UMC und der Univention Domain Manager ist ein Modul davon.

[quote]
1.
Also vorgegeben war beim anlegen
Besitzer: root
Gruppe: root

Ich habe das dann bei den bis jetzt angelegten Freigaben geändert - z.B. bei den Freigaben:

CI-C = Besitzer: Administrator Gruppe: Administrators
CI-D = siehe CI-C
Share = Da hätte ich gedacht, das ich eine CARE-IT Gruppe mit Schreibrechten erstelle und die eintrage Besitzer: Administrator Gruppe: CARE-IT[/quote]

Also der root des Linux-Systems ist gleich dem Administrator im Sinne von UCS oder dem Active Directory.

ABER: Administrator ist Mitglied der Gruppe “Domain Admins” und noch ein paar anderer Admin-Gruppen aber nicht Mitglied der Gruppe “Administrators”, zumindest nicht bei mir im Standard. Dementsprechend sind meine Freigaben auch:
Benutzer: Administrator
Gruppe: Domain Admins

Warum testest du das nicht mal mit der Freigabe indem du alle Haken bei den Berechtigungen der Freigabe setzt? Das entspricht übrigens dem oben beschriebenen chmod 777
Wenn dann der Zugriff gelingt dann kannst du ja auch übernehmen.

[quote]2.
Im Datei Manager (angemeldet über Remote Desktop von Windows aus) sind die Berechtigungen alle auf root und “ausgegraut”
Bei den Freigaben kann ich auch nichts ändern.[/quote]

Wenn du damit den KDE-Dateimanager auf dem UCS meinst muss der mit Root-Rechten gestartet werden. Das geht in einem Terminal mit

sudo dolphin

Dann musst du dein Passwort nochmal eingeben und dann kannst du das ändern.


#5

Hallo Stefan,

antworte dieses mal, da das mit den Quotes zu unübersichtlich wird.

1.

Deine Aussage:

Also der root des Linux-Systems ist gleich dem Administrator im Sinne von UCS oder dem Active Directory.

ABER: Administrator ist Mitglied der Gruppe “Domain Admins” und noch ein paar anderer Admin-Gruppen aber nicht Mitglied der Gruppe “Administrators”, zumindest nicht bei mir im Standard. Dementsprechend sind meine Freigaben auch:
Benutzer: Administrator
Gruppe: Domain Admins

Habe ich getan:

Also, das habe ich noch einmal komplett überprüft - alle Freigaben unter dem Verzeichnis \CIT-DATA sind so berechtigt.
Ferner habe ich überprüft in welcher Gruppe der Administrator ist:

Er befindet sich in der Gruppe:

  • Administrators
  • Domain Admins

2.

Deine Aussage:

Warum testest du das nicht mal mit der Freigabe indem du alle Haken bei den Berechtigungen der Freigabe setzt? Das entspricht übrigens dem oben beschriebenen chmod 777
Wenn dann der Zugriff gelingt dann kannst du ja auch übernehmen.

Habe ich getan:

Ich habe in der UMC Konsole alle Häckchen gesetzt, sprich:

Besitzer, Gruppe, Andere = Lesen, Schreiben, Zugriff

Leider keine Änderung :frowning:

3.

Deine Aussage:

Wenn du damit den KDE-Dateimanager auf dem UCS meinst muss der mit Root-Rechten gestartet werden. Das geht in einem Terminal mit

sudo dolphin

Dann musst du dein Passwort nochmal eingeben und dann kannst du das ändern.

Habe ich getan:

Ich habe Administrator und Domain Admins berechtigt und den Haken bei “Änderungen auf alle Unterordner …” gesetzt.
Nach ein paar Minuten ohne Fehlermeldung abgeschlossen.
Wenn ich aber dann nachgeschaut habe, waren wieder die alten Berechtigungen da. sprich root root . das verstehe ich nicht.

4.

Ich habe noch ein Paar Screenshots zum besseren Verständnis gemacht:

Eigenschaften von netlogon.jpg - Systemordner
So wie es dort aussieht, sind die Berechtigungen richtig gesetzt.

Eigenschaften von CI-Template - Unterverzeichnis von CI-C auf CIT-DATA\CI-C\CI-TEMPLATE
Komischerweise sind dort keinerlei Berechtigungen vorhanden !?! - Der Besitzer ist aber CARE-IT\Administrator

Berechtigen von z.B. Administrator - wird im Pfad nicht gefunden - komisch oder.jpg
Wenn ich aus Windows heraus versuche (als CARE-IT\Administrator angemeldet) einen weiteren User zu berechtigen, wird mir im Pfad kein Administrator, Administrator oder Domain Admins angezeigt.[b]

Freigaben -Erweiterte Einstellungen - Samba Rechte.jpg[/b]
Diese Einstellungen hast du angefragt

Freigaben - Erweiterte Einstellungen - Erweiterte Samba Rechte.jpg
Die habe ich rein informativ auch abfotografiert.

Freigaben - Allgemein.jpg
So sieht es im Verzeichnis \CIT-DATA\CI-C aus

Ich hoffe mit diesen Informationen wird die Sachlage vielleicht etwas klarer.

Danke im voraus

Gruß

Frank













#6

Hallo,

das sieht wirklich ganz gut aus. Ich würde jetzt folgendes noch einmal testen:

  1. In den erweiterten Samba-Einstellungen:

Erzwinge Verzeichnis Modus: alle
Ezwinge Dateimodus: alle

Die Unterstützung für NT-ACL deaktivieren. und dann nochmal mit Take ownership direkt übernehmen.
Danach aber wieder aktivieren.

Da dir der Windows-Server und die damit verbunden Admintools ja fehlen empfehle ich die Installation der RSAT-Tools auf einer Windows-Maschine:

microsoft.com/de-de/download … px?id=7887

Damit kannst du bequem die Domänenstruktur durchsuchen und auch neue GPO anlegen.
http://technet.microsoft.com/en-us/library/cc736591(v=ws.10).aspx

Ich würde dann auf jeden Fall mal die Domäne nach den Freigaben durchsuchen und mir die NT-ACL’s anschauen. Anscheinend sind die Linux Rechte (Samba) ja alle korrekt nur werden sie nicht in ACL für NT übersetzt. Außerdem würde ich einmal die effektiven Berechtigungen überprüfen lassen, auch wenn es nur eine Krücke ist.

Ansonsten würde ich nach jeder Änderung auch die entsprechenden Dienste bzw. einmal den Server neu starten. ich hatte das jetzt schon öfter einmal das einzelne Einstellungen wirklich erst nach einem Dienstneustart von slapd usw. übernommen wurden.


#7

[quote=“stefanlor”]Hallo,

das sieht wirklich ganz gut aus. Ich würde jetzt folgendes noch einmal testen:

  1. In den erweiterten Samba-Einstellungen:

Erzwinge Verzeichnis Modus: alle
Ezwinge Dateimodus: alle

Die Unterstützung für NT-ACL deaktivieren. und dann nochmal mit Take ownership direkt übernehmen.
Danach aber wieder aktivieren.

Da dir der Windows-Server und die damit verbunden Admintools ja fehlen empfehle ich die Installation der RSAT-Tools auf einer Windows-Maschine:

microsoft.com/de-de/download … px?id=7887

Damit kannst du bequem die Domänenstruktur durchsuchen und auch neue GPO anlegen.
http://technet.microsoft.com/en-us/library/cc736591(v=ws.10).aspx

Ich würde dann auf jeden Fall mal die Domäne nach den Freigaben durchsuchen und mir die NT-ACL’s anschauen. Anscheinend sind die Linux Rechte (Samba) ja alle korrekt nur werden sie nicht in ACL für NT übersetzt. Außerdem würde ich einmal die effektiven Berechtigungen überprüfen lassen, auch wenn es nur eine Krücke ist.

Ansonsten würde ich nach jeder Änderung auch die entsprechenden Dienste bzw. einmal den Server neu starten. ich hatte das jetzt schon öfter einmal das einzelne Einstellungen wirklich erst nach einem Dienstneustart von slapd usw. übernommen wurden.[/quote]

[quote]Habe ich auch alles gemacht.
Es hat aber immer noch nicht geklappt :frowning:
Ich kann nach wie vor den Besitz von den Verzeichnissen übernehmen, sobald
ich aber dann den:

  • Administrator
  • die Gruppe Administrators
  • die Gruppe Domain Admins

berechtigen möchte, habe ich keinen Zugriff.
Ich habe auch einen Share (CI-C) gelöscht und neu angelegt, genauso wie du es gesagt hast - ohne Erfolg.
Wenn ich über “Take Ownership” gehe, funktioniert es auch nicht.
Wenn ich die Verwaltungs-Tools nehme, kann ich wie o.g. den Besitz übernehmen, aber nicht die Rechte setzen

Es muß doch irgendeinen Weg geben, alle Berechtigungen zu löschen und neu zu setzen.

Wenn ich direkt auf dem Server bin und sudo dolphin ausführe, geht das auch nicht.

Ich habe alle mögliche probiert :-(.

Was ich seltsam finde, obwohl ich alle Rechte z.B. bei CI-C entzogen habe (da waren noch ein Paar in Unterverzeichnissen vereinzelt vorhanden),
kann ich datein auf der freigabe, öffnen, speichern, usw.

Gruß

Frank[/quote]


#8

[quote]Ich kann nach wie vor den Besitz von den Verzeichnissen übernehmen, sobald
ich aber dann den:

  • Administrator
  • die Gruppe Administrators
  • die Gruppe Domain Admins

berechtigen möchte, habe ich keinen Zugriff.[/quote]

Da wie weiter von dir beschrieben der Zugriff klappen kann passt doch irgendwas mit den ACL nicht.
Hast du NT-ACL nun deaktiviert oder aktiviert?

Was hast du im Reiter Samba bei der Option “Benutzer mit Schreibrechten dürfen die Berechtigungen verändern”
gesetzt?

Wenn ich das richtig verstehe bist du unter Windows “Besitzer” des Verzeichnisses und willst dann über

Wo führst du das aus?


#9

[quote=“stefanlor”][quote]Ich kann nach wie vor den Besitz von den Verzeichnissen übernehmen, sobald
ich aber dann den:

  • Administrator
  • die Gruppe Administrators
  • die Gruppe Domain Admins

berechtigen möchte, habe ich keinen Zugriff.[/quote]

Da wie weiter von dir beschrieben der Zugriff klappen kann passt doch irgendwas mit den ACL nicht.
Hast du NT-ACL nun deaktiviert oder aktiviert?

[quote]Ich habe es so gemacht wie in Deiner Anleitung beschrieben - zuerst deaktiviert und dann wieder aktiviert.
Das Problem besteht danach immer noch.[/quote]

Was hast du im Reiter Samba bei der Option “Benutzer mit Schreibrechten dürfen die Berechtigungen verändern”
gesetzt?

[quote]Ich habe es jetzt gerade aktiviert, habe den Server neu gestartet, habe den Besitz als CARE-IT\Administrator
übernommen und im Anschluß versucht den selbigen auf die Freigabe zu berechtigen - Fehler “Zugriff verweigert”.[/quote]

Wenn ich das richtig verstehe bist du unter Windows “Besitzer” des Verzeichnisses und willst dann über

Wo führst du das aus?[/quote]

[quote]In einer Remote Desktop Session von Windows aus als Administrator angemeldet.
Als ich sudo dolphin das letze mal ausprobiert habe, war der CARE-IT\Administrator der Besitzer - hat aber
auch nichts gebracht - nach neu setzen der Berechtigungen war nach erfolgreichem Durchlauf alles wieder beim alten.[/quote]


#10

Okay, versuche bitte einmal die Konsole direkt per SSH zu erreichen.
Benutzer und PW sind die selben.

Dort führst du bitte ein

ls -l pfad/zur/freigabe/ aus und postest das Ergebnis hier.


#11

[quote=“stefanlor”]Okay, versuche bitte einmal die Konsole direkt per SSH zu erreichen.
Benutzer und PW sind die selben.

Dort führst du bitte ein

ls -l pfad/zur/freigabe/ 

#12

Na das sieht doch auch gut aus.
Root=Administrator

rwx ist auch okay.

Hast du einmal im Samba-Log geguckt was passiert wenn du die Rechte setzt:

tail -f /var/log/samba/log.smbd

#13

[quote=“stefanlor”]Na das sieht doch auch gut aus.
Root=Administrator

[quote]Das verstehe ich nicht, im dolphin zeigt er mir immer nur:
root
root

an.[/quote]

rwx ist auch okay.

Hast du einmal im Samba-Log geguckt was passiert wenn du die Rechte setzt:

tail -f /var/log/samba/log.smbd

[quote]Über ssh geht das nicht keine Berechtigung siehe hier:
Last login: Tue Dec 10 12:07:56 2013 from 192.168.1.62
Administrator@cipdc01:~$ tail -f /var/log/samba/log.smbd
tail: „/var/log/samba/log.smbd“ kann nicht zum Lesen geöffnet werden: Keine Berechtigung
Administrator@cipdc01:~$

Versuche ich die von Dir angegebene Datei im angegebenen Ordner per
Remote Desktop, angemeldet als Administrator, zu öffnen bekomme ich
die Nachricht:

Ordner /var/log/samba lässt sich nicht öffnen.
[/quote]


#14

Versuchs mal als root und nicht als Administrator. Paßwort sollte das selbe sein.


#15

sirTux war schneller. :slight_smile:

[quote]Das verstehe ich nicht, im dolphin zeigt er mir immer nur:
root
root

an.[/quote]

Das ist ja auch richtig, der Dolphin kennt ja nun mal keine Domänenuser, die Berechtigungen von Administrator werden auf “root” gemappt.

Allerdings scheint das nur innerhalb von Samba4 zu funktionieren.

Logge dich mal als root mit dem Administratorenpasswort ein.
Dann solltest du die Rechte auch ändern können.
Das gleiche glit für die SSH-Session
Username: root
Passwort: Adminpasswort


#16

[quote]Danke für Deine schnelle Antwort Sir Tux

Gruß

Frank

[/quote]


#17

[quote=“stefanlor”]sirTux war schneller. :slight_smile:

[quote]Das verstehe ich nicht, im dolphin zeigt er mir immer nur:
root
root

an.[/quote]

Das ist ja auch richtig, der Dolphin kennt ja nun mal keine Domänenuser, die Berechtigungen von Administrator werden auf “root” gemappt.

Allerdings scheint das nur innerhalb von Samba4 zu funktionieren.

Logge dich mal als root mit dem Administratorenpasswort ein.
Dann solltest du die Rechte auch ändern können.
Das gleiche glit für die SSH-Session
Username: root
Passwort: Adminpasswort[/quote]

[quote]OK, habe ich gemacht - jetzt hat es auch geklappt - hier das Ergebnis:

root@cipdc01:~# tail -f /var/log/samba/log.smbd
[2013/12/10 13:01:55.086429, 0, pid=1562] …/source3/printing/print_cups.c:528(cups_async_callback)
failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL
[2013/12/10 13:14:55.599206, 0, pid=12673] …/source3/printing/print_cups.c:151(cups_connect)
Unable to connect to CUPS server localhost:631 - Connection refused
[2013/12/10 13:14:55.599910, 0, pid=1562] …/source3/printing/print_cups.c:528(cups_async_callback)
failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL
[2013/12/10 13:27:56.205885, 0, pid=13319] …/source3/printing/print_cups.c:151(cups_connect)
Unable to connect to CUPS server localhost:631 - Connection refused
[2013/12/10 13:27:56.206573, 0, pid=1562] …/source3/printing/print_cups.c:528(cups_async_callback)
failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL
[/quote]


#18

Okay, das Loglevel ist zu niedrig um irgendwas abseits der Druckermeldungen anzuzeigen:

Bitte einmal in der UCR unter samba/debug auf 4 setzen und wiederholen.
Nach dem Versuch aber wieder zurücksetzen um die Systemlast des UCS niedrig zu halten. Kann sonst zu Einbrüchen bei der Samba-Performance führen.

Außerdem würde ich mir mal dieses icacls.exe Link zum Technet-Artikel ansehen und es damit mal probieren.
Für mich sieht das immer noch so aus als wäre der Administrator nicht berechtigt, also musst du rausfinden welches Recht ihm fehlt.
Dazu auch wenn es schon älter ist. :
http://lists.samba.org/archive/samba/2010-May/155790.html


#19

[quote=“stefanlor”]Okay, das Loglevel ist zu niedrig um irgendwas abseits der Druckermeldungen anzuzeigen:

Bitte einmal in der UCR unter samba/debug auf 4 setzen und wiederholen.
Nach dem Versuch aber wieder zurücksetzen um die Systemlast des UCS niedrig zu halten. Kann sonst zu Einbrüchen bei der Samba-Performance führen.

[quote]So, habe das Level 4 Debug gemacht. Die Datei ist ein bischen lang, deswegen hänge ich sie als Textfile an.
Die Logdatei hat sich immens vergrößert, als ich das Netzwerklaufwerk \CI-CARE-IT\CI-C wiederhergestellt hatte.
Vielleicht siehst du ja darin, wie die Berechtigungen sind.[/quote]

Außerdem würde ich mir mal dieses icacls.exe Link zum Technet-Artikel ansehen und es damit mal probieren.
Für mich sieht das immer noch so aus als wäre der Administrator nicht berechtigt, also musst du rausfinden welches Recht ihm fehlt.
Dazu auch wenn es schon älter ist. :
http://lists.samba.org/archive/samba/2010-May/155790.html[/quote]

samba Logfile.txt (93 KB)


#20

Aus dem Log lässt sich nichts ungewöhliches, zumindest für mich, ablesen.

Bei einem Eintrag bin ich mir nicht ganz sicher, vielleicht kann das noch einmal jemand anders sich ansehen:

[2013/12/10 17:25:33.763780, 3, pid=2395] ../source4/auth/ntlm/auth.c:270(auth_check_password_send) auth_check_password_send: Checking password for unmapped user []\[]@[CIHP7800-W7P] auth_check_password_send: mapped user is: [CARE-IT]\[]@[CIHP7800-W7P]

Das USER-Feld für den mapped-User ist leer.

Ansonsten zum Thema icacls.exe noch weitere Einträge:
superuser.com/questions/418381/w … greyed-out

lallousx86.wordpress.com/2009/06 … windows-7/

Beim zweiten Eintrag sind auch die Kommentare interessant.

So eine zickige Festplatte hatte ich noch nie. :slight_smile: