HKBlizzard 10 Geschrieben 3. August 2012 Melden Teilen Geschrieben 3. August 2012 (bearbeitet) Hallo, ich habe da glaube ich ein kleines Verständnisproblem. Ich habe einen Server 2008 R2 name:server01, der AD Server ist. Dann habe ich einen Server 2008 R2 name:server02, der domänenmitglied und Fileserver ist. Nun habe ich auf dem Fileserver einen Ordner "user" angelegt, ihn als user$ freigegeben und nur Domänen-admins und domänen-benutzer vollzugriff gegeben. so weit so gut. Jetzt habe ich in den NTFS Berechtigungen folgendes eingestellt: SYSTEM: Vollzugriff - Diesen Ordner, Unterordern... Domänen-Admins - Vollzugriff - Nur dieser Ordner Domänen-Benutzer - Vollzugriff - Nur dieser Ordner Hintergrund ist, dass mein Chef möchte, dass nur die Benutzer selbst und nicht die Administratoren auf die Benutzerordner zugreifen können. Gege ich jetzt auf meinem AD - Server "server01" hin und lege einen neuen Benutzer an, dann wird auch der Basisordner erstellt. ich gebe an als Basisordner \\server02\user$\%username% ALLERDINGS: als Besitzer des Ordner wird immer "server02\Administratoren" eingetragen und in den NTFS Berechtigungen des Ordner wird ebenfalls "server02\Administratoren" mit eingetragen. die Vererbung von Oben auf den Ordner user ist ausgeschaltet. Verstehe ich da jetzt grundlegend was falsch, oder wieso ist nicht der benutzer besitzer des Ordner und wieso trägt er jedesmal die lokale Administratorengruppe "server02\administratoren" in den NTFS Berechtigungen mit ein ? Gruß Ingo bearbeitet 3. August 2012 von HKBlizzard Zitieren Link zu diesem Kommentar
Manuel1990 10 Geschrieben 3. August 2012 Melden Teilen Geschrieben 3. August 2012 Hi HKBlizzard Also wenn du das Basisverzeichnis mit der Variabel %username% eingibst, dann müsste der Owner sicherlich der Benutzer sein. Ansonsten sind wahrscheindlich alle Benutzer oder Gruppen die als lokale Admins eingetragen sind automatisch berechtigt... Daher müsstest du die vererbung brechen und auf deinem user$ Ornder auch löschen. Grüsse Manuel Zitieren Link zu diesem Kommentar
HKBlizzard 10 Geschrieben 3. August 2012 Autor Melden Teilen Geschrieben 3. August 2012 Hallo Manuel, wie ich geschrieben habe, ist die Vererbung auf dem Userornder aus und ich erstelle die Basisordner auf dem AD-Server natürlich mit %username%. schau die Bilder... dennoch wird als Besitzer die lokale Administratorengruppe des Fileservers eingetragen und auch als Berechtig in den NTFS Berechtigungen. das ist der Userordner So lege ich den Basisordner an die Berechtigungen kommen dabei raus + das Administratoren Besitzer ist ich weiss nicht, wo der die Administratoren-Gruppe immer herholt. die steht nirgends als berechtigt mit drin. Zitieren Link zu diesem Kommentar
Manuel1990 10 Geschrieben 3. August 2012 Melden Teilen Geschrieben 3. August 2012 Habs soeben auch ausprobiert und hab das gleiche Phänomen. Das liegt meiner Meinung nach aber einfach daran das du dem lokalen Admin nicht die Berechtigungen für die "eigenen Dateien" entziehen kannst... Ansonsten hättest du ja keine Ausweichmöglichkeiten für den Zugriff auf diese Daten. Grüsse Zitieren Link zu diesem Kommentar
HKBlizzard 10 Geschrieben 3. August 2012 Autor Melden Teilen Geschrieben 3. August 2012 Mhhh... das kann aber eigentlich nicht sein. Selbst wenn ich per Hand hingehe und den Besitz auf den jeweiligen Benuter ändere und dann den Administratoren die NTFS Berechtigung entziehe, käme ich jederzeit wieder zur Not an die Ordner dran, denn Administratoren unterscheidet von Anderen Benutzern, dass sie zu jederzeit den Besitz eines Objektes übernehmen und somit auch wieder an die Daten kommen können. Daran wird es also nicht liegen. sonst keiner eine Idee, wieso dieses Phänomen auftritt und wie man das verhindern kann. Ich meine ich kann ja nicht hingehen und jetzt bei jedem Benutuer per Hand die Administratoren aus den NTFS Berechtigungen löschen. Das wäre ja unvorstellbar bei z.B. 2000 Usern Es muss doch eine Möglichkeit geben, das so einzustellen, dass automatisch bei erstellung des Basisordners auch der User als Besitzer eingetragen ist und die Administratoren standardmäßig ausgeschlossen sind. Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 6. August 2012 Melden Teilen Geschrieben 6. August 2012 (bearbeitet) http://technet.microsoft.com/de-de/library/cc757013(v=ws.10) bearbeitet 6. August 2012 von GuentherH Link korrigiert Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 6. August 2012 Melden Teilen Geschrieben 6. August 2012 @Norbert Habe mit erlaubt den Link zu korrigieren. Der [/url] Tag war etwas verrutscht. LG Günther Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 6. August 2012 Melden Teilen Geschrieben 6. August 2012 Danke. Zitieren Link zu diesem Kommentar
HKBlizzard 10 Geschrieben 6. August 2012 Autor Melden Teilen Geschrieben 6. August 2012 Hallo norbert. Vielen dank für den link, aber Ich glaube du hast mich da falsch verstanden. Es geht nicht um die profilordner. Die werden korrekt und mit den richtigen Berechtigungen angelegt. Es geht um die Basisordner? Die werden mit den falschen Berechtigungen wie ich's beschrieben habe erstellt. Zitieren Link zu diesem Kommentar
HKBlizzard 10 Geschrieben 14. August 2012 Autor Melden Teilen Geschrieben 14. August 2012 Mhh, alle schon am Ende mit dem Latein? Schade, dachte es gäbe da noch einen Crack, der das Problem kennt und gelöst hat. Aber scheinbar mal wieder so ein unlösbares MS-Phänomen :-( Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 14. August 2012 Melden Teilen Geschrieben 14. August 2012 Hi, nur um vorweg abzuklären: den Ordner wurde automatisch und NICHT per Hand angelegt oder? lg Zitieren Link zu diesem Kommentar
HKBlizzard 10 Geschrieben 14. August 2012 Autor Melden Teilen Geschrieben 14. August 2012 der Ordner User wurde oer Hand erstellt und dann als user$ freigegeben. die Berechtigungen sind weiter oben im Post zu sehen, die ich gesetzt habe. die Basisordner an sich werden natürlich über das Benutzerkonto über die Registerkarte "Profil" automatisch erstellt. steht aber auch alles im Post drin. die werden automatisch erstellt über den Punkt Basisordner--> verbinden von u: mit \\servername\user$\%username% Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 14. August 2012 Melden Teilen Geschrieben 14. August 2012 als Besitzer des Ordner wird immer "server02\Administratoren" eingetragen und in den NTFS Berechtigungen des Ordner wird ebenfalls "server02\Administratoren" mit eingetragen. Hm. Ist das nicht logisch? Du legst den Benutzer über ein Administratorkonto an. Der Basisordner wird sofort erstellt, falls er noch nicht vorhanden ist. Das erfolgt natürlich mit dem zur Zeit angemeldeten Benutzerrechten. Und das sind ja die vom Admin. Anders verhält es sich bei dem Profilordner. Der wird erst erstellt, wenn der Benutzer sich das erste Mal anmeldet. Somit auch mit den Berechtigungen des jeweiligen Benutzers. Also wirst Du nicht drum herum kommen, die Basisordner anzupassen oder vorher zu erstellen. Zitieren Link zu diesem Kommentar
HKBlizzard 10 Geschrieben 14. August 2012 Autor Melden Teilen Geschrieben 14. August 2012 Hallo iDidd, danke für deine Einschätzung. Das klingt natürlich logisch und war auch schon meine Vermutung und argumentation unter den Kollegen. Ich denke auch, dass es daran liegen wird. War der Hoffnung, dass ich nur "zu dumm" war die BErechtigungen richtig zu setzen. Bei neuen "einzelnen" User ist das ja auch kein Problem die Berechtigungen anzupassen. Bei mir geht es aber um einige 100. Ich werde das wohl mit VB und oder PS Script lösen. Danke aber für die Antwort. Gruß HKBlizzard Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 14. August 2012 Melden Teilen Geschrieben 14. August 2012 Bei neuen "einzelnen" User ist das ja auch kein Problem die Berechtigungen anzupassen. Bei mir geht es aber um einige 100. OK. Das ist natürlich 'ne Menge Aufwand. Da wäre ein Skript natürlich praktisch. Ich würde es vermutlich über ein Anmeldeskript für die Benutzer versuchen. Dann könnte man die Username-Variable auslesen und darüber die Berechtigungen setzen. Sollte doch machbar sein. Schau Dir in dem Zusammenhang mal SetACL an: SetACL | Helge Klein | Home of SetACL. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.