Clients in Domäne Integrieren

[bospear82 10]

Hallo miteinander...

 

Bin dabei in unserem Stabsgebäude einen DC einzurichten und hab mir schon viele gute Tipps mithilfe der Suchfunktion geholt.

 

Nun bin ich soweit, das ich die einzelnen PC's an die Domäne anmelden will. Alle Benutzer sind im AD angelegt, Profil-Verzeichnisse (servergespeichert), Homeverzeichnisse, anmeldescript zum Lw mappen usw.

Aber wie können die Nutzer die Programme (wie word und excel)auf ihren Rechnern weiter Nutzen, wenn ich gleichzeitig Versuche ihnen den schreibzugriff (per NTFS Berechtigungen) auf C:\ zu verweigern?

Wie ist das bei euch geregelt?

 

Achso und ein Problem hab ich auch noch über das ich unglücklich bin.

Ich kann auf die Profile der Nutzer nicht zugreifen obwohl ich die Gruppenrichtlinie "Administrator zur Sicherheitsgruppe...hinzufügen" in der Default GPO Aktiviert habe.

Habe mich so beholfen, dass ich die Profil Ordner für jeden einzelnen User vorher angelgt habe und die SIcherheitseinstellungen von Hand gemacht habe, damit ich mich nicht aussperre (Zwecks Backup der Datein) Muss aber doch auch anders gehen oder?

 

Viel Tobak hoffe ihr könnt mir helfen... verschwende sonst nur Steuergelder bei meinem rumprobieren *gg*

 

Vielen Dank

Spear

[Velius 10]

Ich fange mal von hinten an.

http://www.microsoft.com/windows2000/en/advanced/help/default.asp?url=/windows2000/en/advanced/help/ntbackup_user_rights.htm

 

Hier findest du detailiert, welche rechte man haben muss, um backupen zu können. Weiss nicht, wieso du keinen Zugirff auf die Ordner hast, könnte aber eh ein Problem bezüglich Datenschutz sein.

 

Dein Backup Programm muss lediglich ein Dienstkonto verwenden, dass Mitglied der Gruppe "Backup operators" ist, denn die hatt das Recht, alle Files zu sichern. Das heisst aber nicht, dass die Daten lesbar sind für diese Gruppe.....

 

 

 

Zum ertsen Prob:

 

Zugriff verweigern darfst du eh nur in ausserst extremen Situationen, denn "Verweigern" ist das restriktivste aller Rechte. Wenn du zum Beispiel "lesen" für den "Benutzer" verweigerst ist Feierabend!

 

Du musst schon einen anderen Weg suchen, um den Benutzer einzuschränken....

 

Gruss

Velius

[bospear82 10]

Vielen Dank für die Antwort Velius

 

Gut das mit dem Backup habe ich verstanden.Find ich gut. Datenschutzprobleme dürfte es keine geben, da es beim Bund eh verboten ist vertrauliche oder private Daten auf den Platten zu speichern.

Zum ersten Problem. Ich habe den Schreibzugriff nicht verweigert, sondern nicht gesetzt. Bei lokalen Benutzerprofilen geht dies (fast) ohne Probleme, so haben wir jeden Rechner konfiguriert.

 

Mich würde interessieren wie das in den Firmen wo ja viele von Euch arbeiten gemacht wird? Da verhindern doch sicher auch Sicherheitseinstellungen das schreiben auf die lokalen Platten, oder zumindest auf C:\?

 

Gruß Marco

[Velius 10]

Meinst du jetzt nur auf C.:\ direkt, oder an die Unterordner vererbt?

[bospear82 10]

Meine auf C:\ + Vererbung auf alle Unterordner. maximal noch ne schreibfreigabe auf die lokalen Profile!

[Velius 10]

Dann wirst du dir aber 'ne Menge Probleme einhandeln, denn viele Programme benutzen INI Files, um ihre Einstellungen zu speichern (SAP, Lotus Notes, um 'mal die grösseren zu nennen), die aber nicht default im Benutzerprofil Verzeichnis liegen. Da sind Schreibrechte für den Benutzer ein MUSS!!

 

Es gibt Lösungen dafür, aber das ist mit viel Arbeit verbunden....

[wirtnix 10]

windows hält sich im standardmodus immer eine kopie des benutzerverzeichnisses vor, deswegen müssen schreibrechte lokal vorliegen. die daten werden, wenn gewünscht aber wieder gelöscht.

 

bei einem absturz natürlich nicht...

 

wenn lokal nix sein soll, wäre es wohl besser eine Terminalserver-lösung einzusetzen. evtl. sogar mit clients ohne festplatte...

[Velius 10]

Du brauchst, um dich anmleden zu könnenn, nur unter Dokumente und Einstellungen\..... Schreibrechte.

[Willow 10]

hi

 

Das mit den Datenschutz ist denke ich anders gemeint gewesen.

Es geht dabei nicht nur um vertrauliche Daten, sondern auch um Private Daten. Ja darüber kann man diskutieren aber aus rechtlicher sicht, solltest Du Dich absichern.

 

Letzendlich hat jeder User Rechte, ob er nicht erlaubte Handlungen betreibt oder nicht!

Du solltest Dich bei jeglicher User Überwachung oder zugriffen auf seine Daten im Profil rechtlich absichern. (auch zivilrechtlich)

 

Gruß

Willow

[bienchen 10]

Hallo,

Ich kann nur folgendes sagen:

Bei uns gab’s auch nur lesen auf C:\ + Ändern auf TEMP usw.

Das hat uns nur Probleme gemacht: wie bereits erwähnt: ini, config usw. Dann gibt’s im system32 irgendwelche Bibliotheken auf die PowerPoint zugreift und Benutzer Schreibrechte braucht.

Mann hat es gedauert bis wir das rausgekriegt haben... Deswegen hat bei uns jetzt Jeder Änderungsrechte auf C und es gibt eine Dienstanweisung, dass auf C nichts gespeichert werden darf, da die Daten nicht gesichert werden. Und wer das macht ist beim Hardwareproblem selbst Schuld...

[bospear82 10]

Ohja davon kann ich auch ein lied singen.

Aber ich glaube ich habe es geschafft die Clients gescheit mit der Domäne zu verbinden. Die Probleme die ich hatte mit Word usw. entstanden aus einem Fehler von mir (natürlich ;) ) beim Kopieren der Profile auf den DC.

 

Vielen Dank für Eure Hilfe ich werd Euch garantiert bald wieder belästigen *gg*

 

Gruß Marco

 

--> ach und über die Dienstanweisung denk ich auch nach...wäre einfacher.