Eigene Dateien via AD und GPO umleiten

[Kellisch 10]

Hallo liebe MCSE-Gemeinde,

 

hab ein kleines Problem. Momentan werden bei uns im Netzwerk mittels GPO die Eigenen Dateien der User auf einen Gemeinsamen Ordner umgeleitet. Ich soll umstellen das jeder User einen eigenen Bereich bekommt, und das jetzige Datenverzeichnis nur noch Gemappt wird (G:\). Das Mapping ist soweit kein Problem, wird einfach im Anmeldescript mit eingebunden.

Jedoch möchte ich von AD die User-Ordner automatisch auf einer neuen Freigabe erstellen lassen.

 

--> Im Active Directory hab ich bei jedem User im Basisordner eingetragen: Verbinden mit U:\ \\Server\User Dateien\%USERNAME%

--> Die Ordner werden von AD automatisch erstellt, jedoch funktioniert die Rechtevergabe nicht so wirklich. Jeder User kann bei jedem in den Ornder gehen und Dateien öffnen, verändern, erstellen und löschen. Ich möchte aber das AD nur dem Administrator und dem jeweiligen User rechte dafür gibt.

 

Wo und was muss ich in den GPO´s einstellen, damit die Eigenen Dateien nachher auf das gemappte Laufwerk U:\ zugreift?

 

Schonmal danke im Vorraus

 

Gruß Johannes

[JackOP 10]

Hallo Johannes,

 

die entsprechende Einstellung findest in der Benutzerkonfiguration unter Windows-Einstellungen -> Ordnerumleitung. Die Hilfe Beschreibt recht ausführlich wie vorgehen musst.

Ich sitze am selben Problem, nur dass bei mir nicht alle User die GPO's übernehmen.

[IThome 10]

Basisordner werden auf Grundlage des Parentfolders berechtigt ...

Schau mal hier ...

http://www.mcseboard.de/post12-680021.html

Setze in der Berechtigung des Parents auch SYSTEM auf Vollzugriff für "Diesen Ordner, Unterordner und Dateien" ..

[Kellisch 10]

@JackOP

erstmal danke für die schnelle Antwort.

Kannst du mir mal genau sagen was du mit der Benutzerkonfiguration unter Windows meinst? Die Ordnerumleitung will ich mittels GPO realisieren und die erstellung und Rechtevergabe mit AD :-/

[JackOP 10]

Du hast sein GPO erstellt und entsprechend verknüpft?

Wenn du danach auf Bearbeiten klickst, öffnet sich der Gruppenrichtlinieneditor. Unter dem Knoten Benutzerkonfiguration findest du die Windows-Einstellungen und dort den Punkt Ordnerumleitungen. Wenn du nun die Egenschaften von "Eigene Dateien" öffnst hast du die Mögglichkeit dich die Umleitung zu konfigurieren.

Was das mapping deiner User-Laufwerke angeht, kann ich jetzt nicht genau sagen, ob das so funktioniert. Ich glaube du solltest das Userverzeichnis an den Profileistellungen konfigurieren, damit das so funzt , wie du dir das vorstellst. Aber da könnt Ihr mich gern berichtigen.

Ich habe ein seperates Profilverzeichnis für meine User angelegt - das lässt sich meiner Meinung nach besser handeln.

[IThome 10]

Wenn Du es mit GPOs machst, werden die Berechtigungen für den User selbst schon richtig gesetzt (automatisch). Die Freigabeberechtigung bzw. die NTFS-Berechtigung des Umleitungs-Parentfolders kannst Du setzen, wie im folgenden Artikel beschrieben

How to dynamically create security-enhanced redirected folders by using folder redirection in Windows 2000 and in Windows Server 2003

Basisordner werden sofort mit den Berechtigungen erstellt, die im Parent angegeben sind, siehe den Link oben ...

Ordnerumleitungen werden mit UNC-Namen konfiguriert, nicht mit Laufwerksbuchstaben ...

[JackOP 10]

@IThome

 

Kleine Eklärung für mich.

Er hat doch oben geschrieben, dass er die Basislaufwerke per Startskript mappt und nich über die Userkonfig im AD. Genau genommen ist das dann doch kein Basisverzeichnis, oder? Was dann ja zu Probs bei Konfiguration im GPO führt, wenn er die Daten in den Basisordner spülen will.

[Kellisch 10]

Ja, in der GPO ist das unter dem Pfad eingetragen:

 

Einstellungen: Standard - Leitet alle Ordner auf den gleichen Pfad um

Zielordner: In das Basisverzeichnis des Benutzers kopieren

 

Die Eigenen Dateien haben ja Ihren eigenen Bereich (\\server\User Daten\%USERNAME%), das mit dem Mapping ging um die anderen Daten auf die jeder zugriff haben soll. Die liegen auch auf einem eigenen Bereich (\\Server\Gemeinsame Daten\).

Hab im AD unter den einstellungen des Benutzers auf der Registerkarte PROFIL bei BASISORDNER eingetragen:

 

Verbinden mit: U:\ \\Server\User Daten\%USERNAME%

 

Genau diese Prozedur soll mir den Ordner erstellen und auch die Rechte dafür vergeben. Mein Problem ist das jeder User Vollzugriff auf die Ordner aller User bekommt. Ich hätte gerne das die Bereichtigung auf dem User-Ordner nur für Administrator und den jeweiligen User gesetzt wird.

Wo und was muss ich da einstellen?

 

Nochmals danke :-)

[JackOP 10]

Hier verhält es sich genauso wie mit den servergespeicherten Profilen. Der User, dem die Daten gehören, bekommt exklusive Rchte auf seine "Eigene Dateien". Wenn du also auch Zugriff haben willst/sollst, dann musst du den Besitz übernehemen und dem User und Admin die Rechte für den Zugriff geben.

[IThome 10]

Wie schon beschrieben, es liegt am Parentfolder (in Deinem Fall "User Daten") ...

Wie ich es verstanden habe, gibt es einen Basisordner für jeden Benutzer. Der jeweilige Benutzer, die Administratoren und das System sollen in diesen Ordner schauen können. In diesen Ordner werden "Eigene Dateien" umgeleitet und auch die sollen nur vom jeweiligen Benutzer, den Administratoren und dem System zugreifbar sein ...

[IThome 10]

@IThome

 

Kleine Eklärung für mich.

Er hat doch oben geschrieben, dass er die Basislaufwerke per Startskript mappt und nich über die Userkonfig im AD. Genau genommen ist das dann doch kein Basisverzeichnis, oder? Was dann ja zu Probs bei Konfiguration im GPO führt, wenn er die Daten in den Basisordner spülen will.

@jackop

Du hast recht, das wären dann keine Basisordner, so wie man sie kennt. Das ist einfach ein gemapptes Netzlaufwerk. Aber nach der Erklärung des TOs soll es ja auch so sein, Basisordner wurden dann ja separat erstellt ...

[JackOP 10]

Ja! Hat er mir auch schon klar gemacht.

[IThome 10]

Irgendwie werde ich das Gefühl nicht los, als würden wir irgendwie alle meilenweit aneinander vorbei reden ... :D

[porschinho 10]

bei uns funktioniert das so...

 

im profil eingestellt: laufwerk p: verbinden mit \\server\userdaten\%username%

so sieht der user die ordner der anderen user nicht!

dann per GPO die eigenen dateien umgeleitet nach \\server\userdaten\%username%\eigene dateien

 

der user hat diese dann unter p:\\eigene dateien

 

dann gibt es noch eine policy, die den administratoren berechtigungen auf das home-laufwerk der user gibt. --> diese auch setzen.

 

dann sollten automatisch berechtigungen für den user + admins auf dem ordner \\server\userdaten\%username% eingestellt sein.

[IThome 10]

dann gibt es noch eine policy, die den administratoren berechtigungen auf das home-laufwerk der user gibt. --> diese auch setzen.

Welche Policy meinst Du ?