Jump to content

NTFS Berechtigungen für AD Profile etc.

sfr

Von sfr
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

sfr Rising Star

sfr   10

Geschrieben
Geschrieben

Hallo an Alle!

 

Ich habe auf einem Windows Server 2008 R2 eine Active Directory.

 

Ich habe eine Freigabe (userdaten) in der mehrere Daten gespeichert werden.

 

1. Folder Redirection (userdaten\folderredirection)

2. Profildaten (userdaten\profile)

3. Homeverzeichnisse (homeverzeichnisse)

 

 

Die Berechtigungen:

 

Freigabeberechtigung von dem Ordner userdaten:

Jeder: lesen, ausführen

 

wie sollte man am Besten die NTFS Berechtigungen setzen für den Freigabeordner userdaten bzw für die drei Unterordner. Wie sollte man die Häkchen setzen für die 4 Ordner mit der Vererbung der Berechtigungen.

 

Hat jemand ein Tutorial für mich, danke!

Link zu diesem Kommentar
sfr Rising Star

sfr   10

Geschrieben
  • Autor
Geschrieben

Erstmal danke für deine Antwort NorbertFE.

 

Da ich dem Thema noch sehr neu bin, frage ich lieber nochmal nach, ob ich das auch richtig verstanden habe.

 

freigabeberechtigungfür den ordner userdaten: jeder: lesen/ändern sonst nichts!

 

NTFS-Berechtigungen für den ordner userdaten:

Administratoren: Vollzugriff

SYSTEM: Vollzugriff

Benutzer: Ordner auflisten, Ordner erstellen, Berechtigungen lesen, Nur dieser Ordner also spezielle Berechtigung

(Übergeordnete Rechte nicht übernehmen, nichts anderes)

 

 

die weiteren Unterordner im Ordner userdaten erben einfach die Berechtigungen von Oben.

 

Ist das so korrekt?

Link zu diesem Kommentar
sfr Rising Star

sfr   10

Geschrieben
  • Autor
Geschrieben

Werde bald verrückt.....!

 

 

Ich habe jetzt zahlreiche Threads im internet zu meinem Problem gelesen auch den von microsoft, bekomme es aber einfach nicht hin wie ich es haben möchte. In den meisten Fällen werden keine Profilordner automatisch erstellt und es kommt ein Fehler bei der Anmeldung, dass das Servergespeicherte Profil nicht gefunden werden kann.

 

 

Hier nochmal meine Konfiguration im Überblick:

 

userdaten:

keine Freigabe eingerichtet

 

-> NTFS Berechtigung

-> System: Vollzugriff auf Diesen Ordner, Unterordner und Dateien; Ersteller/Besitzer: Vollzugriff auf Unterordner und Dateien; Authentifizierte Benutzer: Ordner auflisten / Daten lesen, Dateien erstellen / Datenschreiben in nur diesem Ordner

 

 

 

userdaten\Profile$:

-> Freigabeberechtigung -> Authentifizierte Benutzer -> Vollzugriff

 

-> NTFS Berechtigung -> System: Vollzugriff auf Diesen Ordner, Unterordner und Dateien; Ersteller/Besitzer: Vollzugriff auf Unterordner und Dateien; Benutzer: Ordner auflisten / Daten lesen, Dateien erstellen / Datenschreiben in nur diesem Ordner

 

 

VERERBUNG habe ich bei allen Ordnern nicht ausgewählt.

 

 

Ich möchte in Zukunft natürlich schon, dass es Benutzern nicht möglich ist auf die Freigabe direkt zuzugreifen sprich server\profile$ ! Sie sind nur im Hintergrund über ihr AD Profil auf diese Freigabe server\profile$\%username% verbunden. Ich bekomme es natürlich hin, dass es soweit läuft aber die Benutzer haben die Möglichkeit auf die Freigabe direkt zuzugreifen, das möchte ich nicht.

Link zu diesem Kommentar
zahni Grand Master

zahni   542

Geschrieben
Geschrieben

Das hier ist nur für die Freigabe profile$ , in der nur die Profile gespeichert werden:

 

Rechte auf Freigabe: Jeder, Vollzugriff (wichtig)

Die Option "Zwischenspeichern" auf dieser Fraigabe muss deaktiviert sein

Rechte im Ntfs auf diesem Ordner: Jeder, Vollzugriff.

 

Windows sorgt bei diesen Einstellungen selber dafür, dass bei den erzeugten Profil-Verzeichnisssen nur das Konto "SYSTEM", der Benutzer und, wenn in per GPO konfiguriert, die Administratoren Zugriff haben.

 

Nutzer greifen i.d.R. nicht selbst auf die Freigabe zu, weill sie versteckt ist .

 

Edit: Die Einstellungen im Link von Norbert werden sicher auch funktionieren, müssen aber exakt überneommen werden.

( http://technet.microsoft.com/de-de/library/cc757013(WS.10).aspx )

 

Ich sehe aber auf die Schnelle kein Sicherheitsproblem, dass mit der User "jeder" zu machen.

 

-Zahni

Link zu diesem Kommentar
sfr Rising Star

sfr   10

Geschrieben
  • Autor
Geschrieben

Danke für deine schnele Antwort!

 

Jetzt habe ich genau das Problem was schon die ganze Zeit besteht. User könnten theoretisch auf die Freigabe direkt zugreifen, Ordner anlegen, löschen, usw...

Kann man das nicht irgendwaie umgehen?

Das gleiche Problem habe ich auch bei meinem verzeichnis für die Ordnerumleitung! Ich kann da natürlich auch nicht auf user1\desktop zugreifen, kann aber im ordner user1 einen Ordner anlegen.

 

Die Ordner sind zwar versteckt aber im Arbeitsplatz sehe ich ja den Pfad vom Basisordner und könnte auch hier auf die Freigabe direkt zugreifen server\folderrdr$ kann in dem erzeichnis und auch in den userverzeichnissen ordner anlegen... das ist doch unter uns beiden Pastorentöchtern wirklich nicht wünschenswert oder?

 

 

Also auf Berechtigungsebene gibts hier für wohl kein workaround, oder?

Link zu diesem Kommentar
zahni Grand Master

zahni   542

Geschrieben
Geschrieben

Wo ist das Problem, dass Die User auf dieser Freigabe neuje Ordner anlegen und Löschen ? Auf die Profil-Ordner fremder User können sie nicht zugreifen.

Aussderm müssen die User den Namen der Freigabe "profile$" kennen, da der in der Netzwerkumgebung nicht angezeigt wird. Die wiederum, kann per GPO so konfigurieren, dass das überhaupt nicht geht. Auch der Explorer lässt per GPO so konfigurieren, dass man in der Adresszeile keinen UNC-Pfad eingeben kann.

 

Wenn Du die "falschen" Daten der User 1x löschst, werden die da sicher nie wieder was hinpacken ;)

 

-Zahni

Link zu diesem Kommentar
sfr Rising Star

sfr   10

Geschrieben
  • Autor
Geschrieben

Danke Zahni!

 

Das ist die richtige Lösung! Ich werde per GPO einfach verbieten, dass Benutzer keine Netzlaufwerke erstellen können und im Explorer keine UNC Pfade funktinieren.

 

PS: Natürlich ist es prinzipiell nicht schlimm, möchte aber ein Datenchaos verhindern. Und den Pfad für die Basisordner oder für die Ordnerumleitung können sie theoretisch sehen. Deshalb die Unterbindung.

 

 

Danke!

Link zu diesem Kommentar
sfr Rising Star

sfr   10

Geschrieben
  • Autor
Geschrieben
Ich verstehe nicht, was diese "richtige" Lösung mit deinem eigentlichen Problem zu tun hat.

 

Bye

Norbert

 

Ganz einfach, es gibt auch einige User, die sich ein wenig auskennen und ich möchte es einfach verhindern, dass sie auf Freigaben zugreifen auf den sie nichts verloren haben...

 

 

Wo findet man denn die Einstellung in der GPO mit den UNC Pfaden für den Windows Explorer? Die Sache mit den Netzlaufwerken habe ich gefunden, funktioniert auch!

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.983

Geschrieben
Geschrieben
Ganz einfach, es gibt auch einige User, die sich ein wenig auskennen und ich möchte es einfach verhindern, dass sie auf Freigaben zugreifen auf den sie nichts verloren haben...

 

Wenn du es wie in obigen Links eingerichtet hast, ist das doch vollkommen Banane, da sie da sowieso keine Rechte haben (ausser auf ihre eigenen Daten). Und mit ABE sehen sie den Rest nicht mal.

 

Wo findet man denn die Einstellung in der GPO mit den UNC Pfaden für den Windows Explorer? Die Sache mit den Netzlaufwerken habe ich gefunden, funktioniert auch!

 

Ausführen im Startmenü ausblenden. Aber das geht auch oftmals nach hinten los. ;)

 

Bye

Norbert

Link zu diesem Kommentar
sfr Rising Star

sfr   10

Geschrieben
  • Autor
Geschrieben
Wenn du es wie in obigen Links eingerichtet hast, ist das doch vollkommen Banane, da sie da sowieso keine Rechte haben (ausser auf ihre eigenen Daten). Und mit ABE sehen sie den Rest nicht mal.

 

 

 

Ausführen im Startmenü ausblenden. Aber das geht auch oftmals nach hinten los. ;)

 

Bye

Norbert

 

Ich hatte es nicht so eingerichtet wie in den Links, die du geschickt hast. Bin noch neu in dem Thema und hatte das nicht ganz verstanden. Deshalb bin ich den Tipps von zahni gefolgt bzw. ich habe es so gelassen wie ich es vorher auch hatte. Jetzt haben die user aber Zugriffsrechte auf userdaten\profile$ und könnten dort auch Ordner erstellen und löschen. In den Benutzerspeziefischen Ordnern kommen sie nicht rein ausser in ihren eigenen.

 

Nun wollte ich einfach die kleinere Variante nehmen in der sie schon Schreibrechte auf diese verzeichnisse hätten aber dort gar nicht hinkommen, da sie keine Netzlaufwerke erstellen können und auch über den Windows Explorer keine UNC Pfade verwenden können.

 

Ich habe in der Freigabe profile$ in den NTFS Berechtigungen jetzt einfach den authentifizierten Benutzern Vollzugriff gewährt. Das System erstellt dann für jeden benutzerspeziefischen ordner unterhalb von profile$ die Userrechte so, dass nur die entsprechenden Benutzer Zugriff haben.

 

Würde es schon gerne so haben wie du beschrieben hast Norbert, habe aber schon sehr viele Stunden reingesteckt und kam einfach nicht zum Ziel, wenn du eine schnelle, passende Lösung hast, die innerhalb von kurzer Zeit funktioniert, dann wäre ich sehr froh, wenn du mir hilfst.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...