coolcat 10 Geschrieben 2. Februar 2012 Melden Teilen Geschrieben 2. Februar 2012 Hiho, ich hoffe ihr könnt mir helfen denn irgendwie bin ich im MOment blind oder weis einfach nicht mehr wie es genau geht/ging. Ich habe dies schon Jahrelang nicht mehr gemacht und bin durch Zufall in diesen Berufszweig wieder reingestolpert da der vorherige Admin leider gestorben ist Weihnachten, und ich nun da weitermachen soll/muss wo er aufgehört hat. Dies gestaltet sich an sich nciht schwierig da fast alles Standard geblieben ist und auch die Anzahl der User-Konten (12) und der Rechner (75) überschaubar ist. Es kommen nun zwar noch demnächst 20 stk dazu (eine weitere Etage im Ärztehaus) aber das ist nicht das was mich beschäftigt. Wir haben 2 OU´s die besondere Rechte haben "Verwaltung" und "User" nun möchte aber die Verwaltung gerne das die Ärzte ihren eigenen Zugang bekommen, dies wollte ich zuerst erreichen in dem ich die Berechtigungen der Verwaltung anpasse und die dann übernehme, aber das klappt leider nicht so. Folgendes Szenario ist vorhanden: Windows Server 2003 Standard Edition AD auf dem Server vorhanden und einige Organisitionseinheiten vorhanden, sowie Standard User und Computers. Ich würde gerne eine neue OU "Ärzte" hinzufügen und in dieser OU Benutzer "arzt 1, Arzt 2 usw.." einrichten die statt der normalen User/Benutzer auch noch die Rechte haben das sie alle Netzwerklaufwerke sehen können und auch nutzen. Ausserdem sollen diese Ärzte an Ihrem "Arzt-Rechner" Lokale Rechte bekommen (also mit Netzwerkzugriff und Schreibrechten auf einem LW des Servers (Q) aber wenn sie an anderen Computern sich anmelden "nur" erweiterte Rechte haben ohne Zugriff auf den Server. Versucht habe ich schon folgendes: OU erstellt (Ärzte) -> in der OU Benutzer (arzt1) erstellt oO Wobei ich nciht weis ob eine Gruppe sinvoller wäre?Oo und diesen Benutzer zur Gruppe Administratoren zugefügt. (testweise um zu sehen ob es überhaupt so klappt), aber ausser den lokalen Festplatten auf dem PC keinerlei weitere LW sichtbar. Unter Netzwerkverbindungen im Freigabecenter sind sie aber sichtbar und anwählbar. Was mache ich da falsch oder wo blockiert mein Gehirn grade ??? Ich weis learning by Doing, aber das letzte mal das ich das beruflich gemacht habe liegt Jahre (10 genau) zurück und bevor ich nun das KOmpendium wieder durchsuche und von vorne lesen muss frage ich erstmal hier die spezis. Lg Coolcat Zitieren Link zu diesem Kommentar
c0smic 12 Geschrieben 2. Februar 2012 Melden Teilen Geschrieben 2. Februar 2012 1. Was sind denn "erweiterte Rechte" ohne Zugriff auf den Server? 2. Was fürn Fileserver ist das? Windows? Dann werden die Zugriffe eh per NTFS-Berechtigung gesetzt und die sollten im Zweifelsfalle auf Basis des Benutzers, respektive auch Gruppe laufen, aber niemals per Computerkonto 3. Die von dir angesprochene Gruppe "Administratoren" klingt mir jetzt erstmal nach Domänen-Admins. Wenn du den Ärzten lokale Adminrechte auf ihrem Rechner geben möchtest (was übrigens nicht zu empfehlen ist) dann musst du dies auf dem Client erledigen, indem du dort das Domänenbenutzerkonto "arzt1" der LOKALEN Gruppe "Administratoren" hinzufügst. Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 2. Februar 2012 Autor Melden Teilen Geschrieben 2. Februar 2012 1. Was sind denn "erweiterte Rechte" ohne Zugriff auf den Server? Also speizelle Rechte sind folgende: User können auf Server (L) und (F) zugreifen aber nicht auf (M) (Q) und (i) Die Verwaltung kann auf L:F: und Q zugreifen aber nicht auf die anderen. Ärzte sollen auf L:F:i: und (K) zugreifen können aber nicht auf die anderen. 2. Was fürn Fileserver ist das? Windows? Dann werden die Zugriffe eh per NTFS-Berechtigung gesetzt und die sollten im Zweifelsfalle auf Basis des Benutzers, respektive auch Gruppe laufen, aber niemals per Computerkonto Ja es ist Windows 3. Die von dir angesprochene Gruppe "Administratoren" klingt mir jetzt erstmal nach Domänen-Admins. Wenn du den Ärzten lokale Adminrechte auf ihrem Rechner geben möchtest (was übrigens nicht zu empfehlen ist) dann musst du dies auf dem Client erledigen, indem du dort das Domänenbenutzerkonto "arzt1" der LOKALEN Gruppe "Administratoren" hinzufügst. Ja und Nein. Es gibt die Domänen Administratoren und es gibt ein Administratorkonto (welches ich ehrlich bin noch nicht rausgefunden habe wofür das eigentlich mal war???) Aber dazu noch folgendes versucht grade. Die Verwaltung ist Mitglied derAdministratoren Builtin und der Domänen Benutzergruppe Users. Wenn ich aber nun versuche einen Arzt als jeweiliges Mitglied davon hinzuzufügen, und mich dann anmelde sind trotzdem keinerlei Netzwerklaufwerke und oder andere LW´s sichtbar ausser den lokalen auf dem Rechner. Wenn ich versuche die Globale Sicherheitsgruppe "Ärzte" (erstellt von Mir) zu den Adminstratoren Builtin hinzzufügen versuche, haben die Ärzte trotzdem keinerlei Rechte wie die Verwaltung. Das mit der Lokalen Rechtevergabe (Adminrechte) war nur eine Idee von Mir um das ganze evtl leichter zu machen für mich damit auch nur dort der entspr. Zugang erfolgen kann. Ich weis ich bin schon lange raus, vieles ist damals Routine gewesen aber mit der ZEit schläft man ein und vergisst auch ab und an was ^^ also nicht gleich schlagen wenn ich irgendwo einen denkfehler habe, vlt. sind meine Arbeitsschritte die mache auch nur falsch (hat sich viel geändert stelle ich heute fest) LG Coolcat Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Februar 2012 Melden Teilen Geschrieben 2. Februar 2012 (bearbeitet) Moin, ich kann den Sinn von OUs in diesem Fall nicht entdecken; ich denke da an Sicherheitsgruppen und deren Berechtigung auf Ressourcen, also Freigaben, Verzeichnisse und Geräte. Natürlich kann man die Benutzerkonten zusätzlich in verschiedene OUs schieben, das ist eine organisatorische Abbildung, das macht die Verwaltung der Konten übersichtlicher für den Admin, ist aber kein Sicherheitsmerkmal, ist nicht zwingend notwendig. OUs sind ein administratives Hilfsmittel, sind zur Abbildung der Organisation gedacht, nicht zur Vergabe von Berechtigungen auf Ressourcen. Ich habe hier in meinem primären Hause drei Unternehmensteile zu betreuen, die Benutzerkonten sind entsprechend in dazugehörenden OUs, dazu parallel jeweils eine Sicherheitsgruppe gleicher Benennung, darunter weitere Sicherheitsgruppen für eine Feinsteuerung für den Zugriff auf Ressourcen. Gruß Edgar bearbeitet 2. Februar 2012 von lefg Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 2. Februar 2012 Autor Melden Teilen Geschrieben 2. Februar 2012 Das kann Ich dir leider nicht erklären wie gesagt so ins kalte Wasser gesprungen /geschubst, und es ist so aufgebaut. Fakt ist das das eigentliche Problem einfach ist das ich die Ärzte dazu fügen muss/möchte und ich beim besten willen atm nicht weis wie ich das ohne grossen Aufwand und ohne viel zu ändern hinbekomme.... Wenn der Umzug vom einen Gebäude ins andere vollzogen ist und dann ab Juli ein neuer Server geplant ist bzw eine komplett neue Struktur, wird es einfacher da ich das dann von Anfang an übernehme bzw. aufbaue.... Muss ich denn nun eine OU erstellen oder reicht es aus einen Benutzer anzulegen und dementsprechend die Rechte zu vergeben in der Gpo? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Februar 2012 Melden Teilen Geschrieben 2. Februar 2012 Hast Du meinen Post gelesen, auch die Änderungen, Ergänzungen? Sicherheitsgruppen anlegen, die Benutzer sind deren Mitglieder! Ein Benutzerkonto kann nur in einer OU residieren, kann aber mehreren Sicherheitsgruppen angehören. Weiter kann man in Access Control Lists keine OUs eintragen sondern Sicherheitsgruppen und Benutzerkonten. Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 2. Februar 2012 Autor Melden Teilen Geschrieben 2. Februar 2012 sry als ich schreiben wollte war isch schon abgemeldet und habe dann nicht mehr drauf geachtet...das du noch was ergänzt hast......das sollte erstmal helfen....wenn ich noch fragen habe komme ich gerne darauf zurück.. lg Coolcat Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Februar 2012 Melden Teilen Geschrieben 2. Februar 2012 Keine Entschuldigung nötig; es war nur einen Nachfrage, wollte mich vergewissern. Ich hoffe, ich konnte dir weiterhelfen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Februar 2012 Melden Teilen Geschrieben 2. Februar 2012 Ich würde gerne eine neue OU "Ärzte" hinzufügen und in dieser OU Benutzer "arzt 1, Arzt 2 usw.." einrichten die statt der normalen User/Benutzer auch noch die Rechte haben das sie alle Netzwerklaufwerke sehen können und auch nutzen.Ausserdem sollen diese Ärzte an Ihrem "Arzt-Rechner" Lokale Rechte bekommen (also mit Netzwerkzugriff und Schreibrechten auf einem LW des Servers (Q) aber wenn sie an anderen Computern sich anmelden "nur" erweiterte Rechte haben ohne Zugriff auf den Server. Du kannst gerne für administrative Zwecke die OU Ärzte anlegen und die Konten darin führen, kein Problem, das mache ich auch so. das hat aber i.d.R. nichts mit Berechtigungen zu tun. Weiter kannst Du die Sicherheitsgruppe Ärzte anlegen und die User darin aufnehmen. Die Berechtigungen für den Zugriff müssen doch aber am Ziel, an den Freigaben des Servers und den dahinterliegenden Verzeichnissen konfiguriert werden durch Einträge in die ACLs. Netzlaufwerke kann man im Benutzerprofil einrichten mit dem Explorer oder per Skript mappen, ein Homelaufwerk im Benutzerkonto einstellen. Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 2. Februar 2012 Autor Melden Teilen Geschrieben 2. Februar 2012 Ich habe grade gesehen er hat für die wichtigsten OU´s eigene .bat Dateien angelegt Admin.bat med.bat verwaltung.bat Mal eben ne dumme Frage, wo genau werden die abgelegt bzw wo zwischengespeichert? war es nicht so das diese auch Lokal abgelegt werden? Sprich nach Profilstart, dann auf dem jeweiligen Client? (oha war das nicht damals so?) komisch nur das wenn ich dann einem User auch diese .bat zuweisen will es trotzdem nicht geht..... Wie sagte mein Papa immer "schlaf ne Nacht drüber es fällt Dir wieder ein".....wenn die Nach nicht zu kurz wäre...optimal dann LG Coolcat Zitieren Link zu diesem Kommentar
c0smic 12 Geschrieben 2. Februar 2012 Melden Teilen Geschrieben 2. Februar 2012 Die Loginscripts liegen auf %LOGONSERVER%\Netlogon Gruß c0smic Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 2. Februar 2012 Autor Melden Teilen Geschrieben 2. Februar 2012 Danke euch cosmic und lefg für den Tip/die Tips.....ich habe es völlig verpeilt das ich die ganze Zeit auf dem falschen server war und den richtigen hat er als versteckt angegeben und Ich konnte ihn net finden.... nun klappt auch die Replikation mit den anderen bzw. nun geht es mit den Ou´s und den Rechten..... Da er das über Logonscripte erledigt, vereinfacht es diese Sache ungemein..... Eine Sache wäre da noch, ich erinner mich das man die Replikationszeit verringern konnte/kann? wo finde ich das nochmal......ständig per /force ist auf dauer nervig und per Batch ist auch nicht komfortabel...da im MOment 90 min steht, aber atm durczh vieles was verändert wird diese Spanne zu hoch ist LG Coolcat Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 3. Februar 2012 Melden Teilen Geschrieben 3. Februar 2012 Eine Sache wäre da noch, ich erinner mich das man die Replikationszeit verringern konnte/kann? wo finde ich das nochmal......ständig per /force ist auf dauer nervig und per Batch ist auch nicht komfortabel...da im MOment 90 min steht, aber atm durczh vieles was verändert wird diese Spanne zu hoch ist Meinst Du die Replikationszeit zwischen den DCs der verschiedenen Standorte? Wenn ja, im SnapIn Active Directory Standorte und Dienste stellst Du das ein. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 3. Februar 2012 Melden Teilen Geschrieben 3. Februar 2012 Moin, wenn du einen ernsthaften Rat hören möchtest: Bevor du mit deinen serh rudimentären Kenntnissen dem Kunden ein ernsthaftes Problem bereitest, solltest du dir kompetente Unterstützung hinzuziehen. Was du vorhast, ist für einen erfahrenen Supporter nicht schwer, aber man kann eine Menge falsch machen und dadurch erhebliche Risiken erzeugen. Wenn du dir unter die Arme greifen lässt, hast du auch gleich noch einen Lermeffekt für den Betrieb. Nur meine 0,02 EUR. Gruß, Nils Zitieren Link zu diesem Kommentar
coolcat 10 Geschrieben 7. Februar 2012 Autor Melden Teilen Geschrieben 7. Februar 2012 Danke für eure Antworten.... @ NilsK Rudementär in Ehren, aber nicht umsonst habe ich diesen Kram schon hinter mich genracht und Aktiv daran gearbeitet . Ausserdem habe ich nicht dieses Fach als Hauptfach studiert und weis daher schon einiges was ich aber in den vergangenen JAhren wohl verlernt habe...(Berufspraxis ist nicht gleich Berufserfahrung :) ) Aber trotzdem hat dein Ansatz-Punkt ja recht und ich bin immer für HIlfe gut aber es ist nun mal so das ich atm keinerlei Zeit habe mich derart zu vertiefen und ich das auf HIlfsbereitschaftsbasis betreibe und mich auch hier im Umfeld von 2003ern und 2008ern wieder einfuchsen muss und langsam wieder in das Thema zurückfinde....MAnche Wege vergisst man einfach.....(es ist nicht wie Fahrradfahren ^^) Aber ein andere Frage: Ich habe ein LAufwerk (P) darauf haben nur wenige (2stk.) zugriff und das soll auch so bleiben, nun kommt aber ein Neuer Mitarbeiter dazu der auch auf diesem LAufwerk ZUgriff haben soll und ich habe schon folgendes eingerichtet: Logonserver : Profilscript admin.bat eingepflegt (hier mal das Script dazu) net use i: \\server\evident /persistent:no net use k: \\server\office /persistent:no net use p: \\server2\perso$ /persistent:no net use f: \\server1\sidexis /persistent:no net use m: \\Server\eurofibu /persistent:no net use l: \\Server1\software /persistent:no net time /set /yes soweit so gut, User a und B identisch aber user A hat Zugriff auf LW (P) aber user B nicht. NTFS Berechtigungen gesetzt: User A = Vollzugriff (Zugriff erfolgreich und es geht) User B hinzugefügt und Vollzugriff erteilt aber USer B bekommt immer noch "Zugriff verweigert! Auch nach mehrmaligem an und ABmelden keine Besserung... Anmerkung Beide USER sind MItglied der "users" und "Administratoren" Gruppen.Was läuft da falsch? oder vergesse ich mal wieder etwas? LG Coolcat Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.