Ich versuche, mit icacls die Berechtigungen für einen Remote-Ordner anzupassen, wobei der Berechtigte die lokale Gruppe des Remote-Servers ist. Von der Maschine Foo aus versuche ich, der Gruppe Bar\Users Änderungsrechte für einen Ordner auf der Maschine Bar zu erteilen. Das alles auf der Maschine Bar auszuführen, ist keine wirkliche Option.
Wenn ich das tue
icacls \\bar\Share\Path /grant bar\Users:M
Ich erhalte die folgende Fehlermeldung:
bar\Users: Es wurde keine Zuordnung zwischen Kontonamen und Sicherheits-IDs vorgenommen. 0 Dateien erfolgreich verarbeitet; 1 Datei konnte nicht verarbeitet werden
Wenn ich den Gruppennamen in Zitierung verwende, etwa so:
icacls \\bar\Share\Path /grant bar\"Users":M
Ich erhalte eine andere Meldung:
bar"Benutzer: Die Vertrauensbeziehung zwischen der primären Domäne und der vertrauenswürdigen Domäne ist fehlgeschlagen. 0 Dateien erfolgreich verarbeitet; 1 Datei konnte nicht verarbeitet werden
Irgendwelche Ideen, bitte? Das Konto, unter dem ich es mache, hat Administratorrechte sowohl für foo als auch für bar. Sowohl foo als auch bar sind Windows Server 2008-Maschinen in derselben Domäne, keiner von beiden ist ein Domänencontroller.
Antwort1
Wenn Sie wirklich versuchen, der Gruppe „Benutzer“ Zugriff zu gewähren, lassen Sie einfach das „bar\“ weg und gewähren Sie es Benutzern. Intern wird es lokal auf foo in die SID konvertiert und dann wird dieser SID Zugriff gewährt. Die Gruppe „Benutzer“ ist ein „Gemeinsames Konto“, bei dem die SID überall gleich ist.
Update: Aus den Kommentaren unten geht hervor, dass dies funktioniert, wenn das Obige nicht funktioniert:
icacls \bar\Share\Pfad /grant *S-1-5-32-545:M
Die Änderung wird als Sonderberechtigung in den erweiterten Sicherheitseigenschaften sichtbar.