IThome 10 Geschrieben 16. Oktober 2006 Melden Teilen Geschrieben 16. Oktober 2006 Könnte es sein, dass die Homefolder für die User zu Fuss angelegt und dann erst mit Active Directory Benutzer und Computer zugewiesen wurden. Denn dann kannst Du einstellen, was Du willst. Das Verhalten, was Du vom PRIVAT$-Folder beschreibst, ist auch ungewöhnlich.. Gehen wir mal davon aus, dass die Administratoren und System im Parent die Berechtigung Vollzugriff für "Diese Ordner, Unterordner und Dateien" bekommen und dann definierst Du in Active Directory Benutzer und Computer den Homefolder.Dann werden die Administratoren und der entsprechende User mit Vollzugriff in dem Userordner eingetragen und diese Berechtigungen sind nicht vom Parent geerbt (sie sind nicht ausgegraut). Die Berechtigungen von System werden vom Parent geerbt (ausgegraut). Entfernst Du jetzt als Administrator auf dem Server die Gruppe Administratoren vom Userfolder, siehst Du diese Gruppe nach dem Entfernen wieder mit der Berechtigung des Parents, diesmal aber geerbt (ausgegraut), kannst sie also nicht einfach entfernen. Ist allerdings im Parent für den Administrator nur die Reichweite "Nur diesen Ordner" eingestellt und entfernst Du auf dem Server die Administratoren aus dem Userfolder, hat nur noch der User (nicht geerbt) und das System (geerbt) Berechtigungen auf den Homefolder des Users. The default permissions for home folders in Windows Server 2003 and in Windows 2000 are different Zum Ausprobieren habe ich mir also einen Ordner angelegt, die Vererbung deaktiviert und mit den Berechtigungen Administratoren - Vollzugriff (Nur diesen Ordner) und System - Vollzugriff (Diesen Ordner, Unterordner und Dateien) versehen. Diesen Ordner habe ich als HOME$ freigegeben mit der Berechtigung Jeder - Vollzugriff. Dann habe ich in Active Directory Benutzer und Computer die Homefolder zugeordnet und die Ordner sind erstellt worden (Administratoren - Vollzugriff , <User> - Vollzugriff und System - Vollzugriff). Dann habe ich von jedem Userfolder die Administratoren entfernt. Zitieren Link zu diesem Kommentar
axelK77 10 Geschrieben 16. Oktober 2006 Autor Melden Teilen Geschrieben 16. Oktober 2006 Ich habe das jetzt auch noch mal so nachgemacht, wie Du beschrieben hast. Es funktioniert... ich werde das jetzt so auf meiner produktiven Freigabe einstellen, testen und abwarten. Denn letztlich ist es genau das, was ich ja auch immer gemacht habe. Am Ende standen immer nur USER und SYSTEM als berechtigte eingetragen. ... Jau, funktioniert, auch wenn ich die Netzwerkfreigabe weiterhin nicht auf 'Jeder' eingestellt habe. Ansonsten ist es gleich mit Deiner Vorgehensweise. Jetzt bleibt es abzuwarten, ob es in 2 Tagen wieder nicht geht... :) Ich bedanke mich bis hierher sehr für Eure Unterstützung und Beiträge!! :) greetings axel Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. Oktober 2006 Melden Teilen Geschrieben 16. Oktober 2006 Ja genau, warten wir das mal ab ... :) Allerdings würde ich die Freigaben nicht restriktiv einstellen, vielleicht aber eine andere Gruppe benutzen. Das spart Dir in Zukunft eventuell die Sucherei nach der effektiven Berechtigung (da die Freigabe nichts einschränkt, kann eine Restriktion nur von der NTFS-Berechtigung kommen), aber es funktioniert auch so, wie Du es gemacht hast ... Zitieren Link zu diesem Kommentar
axelK77 10 Geschrieben 16. Oktober 2006 Autor Melden Teilen Geschrieben 16. Oktober 2006 Zu später Stunde: kannst Du mir das noch einmal genauer erklären, wie Du das meinst. Mit "nicht restriktiv" und "Gruppe" etc.... Danke. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. Oktober 2006 Melden Teilen Geschrieben 16. Oktober 2006 Wenn Du über eine Freigabe zugreifst und das unter der Freigabe liegende Dateisystem ist NTFS, gelten immer 2 Berechtigungen, die für die Freigabe und die für die NTFS-Berechtigung. Sind bei beiden Berechtigungen vergeben, gilt, dass die am meisten restriktive Berechtigung die effektive Berechtigung ist. Freigaben kann man nur sehr beschränkt mit Berechtigungen versehen, NTFS dagegen sehr sehr fein. Wenn Du jetzt also auf der Freigabe einen Vollzugriff (also keine Einschränkung) erteilst und die Berechtigungen auf der NTFS-Ebene einstellst, dann muss die NTFS-Berechtigung die effektive sein, da sie in jedem Fall restriktiver als der Vollzugriff ist (die am meisten restriktive Berechtigung ist die effektive Berechtigung), zumindest ist sie gleich (wenn auch Vollzugriff konfiguriert ist). Wenn Du so konfigurierst, musst Du nur noch auf NTFS-Ebene nach eventuellen Fehlern suchen und ausserdem gilt eine NTFS-Berechtigung auch, wenn man sich lokal anmeldet und nicht über Freigabe kommt (ein weiterer Grund, warum es mehr Sinn macht, NTFS-Berechtigungen zu vergeben). Restriktive Freigabeberechtigungen (alles, was weniger als Vollzugriff ist) machen imho nur Sinn, wenn das darunter liegende Dateisystem FAT32 ist ... Wenn Dir die Gruppe Jeder nicht behagt, da sie auch die Gäste enthält und mit entsprechender Konfiguration auch Anonymous, kannst Du auch die Authentifizierten Benutzer oder Domänen-Benutzer gebrauchen Zitieren Link zu diesem Kommentar
axelK77 10 Geschrieben 17. Oktober 2006 Autor Melden Teilen Geschrieben 17. Oktober 2006 Super, vielen Dank für die Ausführlichkeit. Das kann ich verwehrten und habe ein wenig dazu gelernt :) ... Danke. Zitieren Link zu diesem Kommentar
axelK77 10 Geschrieben 17. Oktober 2006 Autor Melden Teilen Geschrieben 17. Oktober 2006 Tzzzzz, nicht zu fassen... Ich habe das Eingestellte heute, sprich vorhin nach meinen Posts, überprüft... und es funktionierte nicht mehr. Das gibts doch gar nicht. Der gestrigen Erfolg wurde wieder zu nichte gemacht... Jetzt habe ich die Einstellungen abermals eingerichtet und nun geht es wieder... Aber es kann doch nicht sein, dass es Stunden später nicht mehr funktionieren soll??! Ich erzähl hier auch keinen vom Pferd, aber so langsam fühle ich mich ver*******. Wenn die Einstellungen auf der alten Freiogabe \\server\home$ nachher oder morgen wieder nicht gehen, benutze ich testweise eben die komplett neu angelegte Struktur unter \\server\privat$... um zu sehen, was dann passiert. So long... axel Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Oktober 2006 Melden Teilen Geschrieben 17. Oktober 2006 Habt Ihr irgendeinen Scherzbold-Admin bei Euch ? ;) :D Werden die Berechtigungen via Script , GPO oder sonstwie verändert ? Oder sind die wirklich genau so, wie gestern ? Könnte aber auch ein Bug sein, hab da gestern was von einem Hotfix gelesen, allerdings bezogen auf Terminaldienste-Homefolder ... Zitieren Link zu diesem Kommentar
axelK77 10 Geschrieben 17. Oktober 2006 Autor Melden Teilen Geschrieben 17. Oktober 2006 Leider keinen Scherzbold-Admin... Berechtigungen, GPOs etc., nichts wird per Script eingestellt. Einmal eingestellt und fertig. Nachdem es dann heute Nachmittag wieder funktionierte, ... gerade die erneute Fehlermeldung: Zugriff verweigert. Das gibts doch überhaupt nicht... Wenn ich mir die Berechtigungen nun ansehen, sieht das genauso aus, wie ich es heute Nachmittag hinterlassen hatte. Jetzt werde ich auf der neuen Struktur (\\server\Privat$\) testen, einstellen und morgen mal abwarten, was dann Sache ist. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Oktober 2006 Melden Teilen Geschrieben 17. Oktober 2006 Das einzige, was Du machen musst ist also die erneute Vergabe der Berechtigungen, obwohl sie laut Anzeige eigentlich korrekt sind ? Zitieren Link zu diesem Kommentar
axelK77 10 Geschrieben 17. Oktober 2006 Autor Melden Teilen Geschrieben 17. Oktober 2006 Genau, so hat es den Anschein... Zitieren Link zu diesem Kommentar
-tpt- Xuthos 10 Geschrieben 18. Oktober 2006 Melden Teilen Geschrieben 18. Oktober 2006 Hallo @All, bin nur per Zufall auf den Thread gestosen und hab ihn auch nur grob überflogen. Doch genau das gleiche Problem hab ich auch. Leider hab ich auch keine Lösung bis jetzt gefunden. Gruß Sven Zitieren Link zu diesem Kommentar
axelK77 10 Geschrieben 18. Oktober 2006 Autor Melden Teilen Geschrieben 18. Oktober 2006 Es ist nicht wirklich zu glauben, aber es funktioniert auch nicht auf der neuen Freigabe-Struktur \\server\privat$... Also nach dem Neuanlegen und vorgehen, wie Ihr beschrieben habt, geht es erstmal und irgendwann wird dann der Zugriff wieder verweigert. Wie finde ich jetzt raus, in welchem Zeitraum das passiert? Als wäre es so, wie mit GPOs etc. oder anderen Replikationen, die manchmal 12 Minuten oder wie auch immer dauern... Mit meinem Latein bin ich allerdings schon lange durch... also warte ich mal auf die Eingebung ;) *kopfschüttel Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. Oktober 2006 Melden Teilen Geschrieben 18. Oktober 2006 Ist da auch nichts in den Ereignisanzeigen zu sehen ? Zitieren Link zu diesem Kommentar
axelK77 10 Geschrieben 18. Oktober 2006 Autor Melden Teilen Geschrieben 18. Oktober 2006 So ist es... weder am Server noch auf der Workstation... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.