Benutzerrechte systemweit anzeigen?

[RadarRider 10]

Tach, ich bin der neue :)

 

und hab gleich mal ne nette Frage an die "real Admins" unter Euch:

 

Ich bin gerade dabei, eine völlig verworrenen "gewachsene" Struktur einer NT/2000 Domaine zu reorganisieren. Dabei würde es mir sehr helfen, eine Skript oder Tool zu benutzen, daß auf dem Server alle Dateien/Ordner anzeigt, auf die ein User Zugriff hat, am besten natürlich mit allen gesetzten Rechten....Ich weiß, Wunschkonzert ist nicht. :mad: Aber vielleicht stand ja schon mal jemand vor dem gleichen Problem und kann mir irgendwie Hilfestellung geben. Niemand hat hier so richtig Durchblick, Dokumentation is nich und ich solls nun richten.

Mein Ziel: Einige Benutzergruppen anlegen, diesen Ordner zuteilen und Ende im Gelände. Dabei darf der normale Betrieb aber keinesfalls beeinträchtigt werden sonst gibts saures( für mich...) Also möchte ich erstmal katalogisieren wer worauf denn nun Zugriff hat, und das sind so um die 4000 Dateien in knapp 200 Ordnern, alle Rechte bunt gewürfelt...

Also, wer weiß Rat?Hilfääää!

[deubi 10]

Original geschrieben von RadarRider

Ich bin gerade dabei, eine völlig verworrenen "gewachsene" Struktur einer NT/2000 Domaine zu reorganisieren ...

... Aber vielleicht stand ja schon mal jemand vor dem gleichen Problem und kann mir irgendwie Hilfestellung geben. Niemand hat hier so richtig Durchblick, Dokumentation is nich und ich solls nun richten.

ja, das ist unser aller Alltag, willkommen :rolleyes: :D

[reinersw 10]

hai,

mir nicht bekannt wie das zu bewerkstelligen ist.

Unter Netware gibt es ein kleines Progi, genannt "rights", mit dem jedes gemappte Volume ausgelesen werden kann und aller vergebenen Rechte auflistet.

Ich würde hier folgendes vorschlagen (kostet viel Zeit):

Bei jedem Mitarbeiter klären was er braucht, dann neue Konten anlegen (macht noch mehr Arbeit) und anschliessend ausführliche Testphase.

Letzlich dann die alten Konten weghauen.

 

reinersw

 

 

---------------------------------------

knapp daneben ist auch vorbei

[RadarRider 10]

@ reinersw:

 

Tja, ich frage mich halt nur was mehr Arbeit ist:

 

a) ein VisualBasic-exe schreiben, was alle Dateien einer PLatte kurz antickert und bei positiver Rückmeldung in ein Verknüpfungsfenster meldet

 

oder b) die gute alte Handarbeit. Denn mit fragen ist das so ne Sache, Du weißt ja, die Batterien in dr Funkmaus haben sich von allein umgedreht, und "Rechner geht überhaupt nicht" wandelt sich nach dreimaligem Nachbohren in "Rechner geht überhaupt nicht wie ich es will". Genauso die Dateizugriffe."Woher soll ich wissen was ich brauche?"...aber wehe es ist mal eine Tabelle gesperrt, dann ist sofort die Unfähigkeitsbescheinigung beim Alten...

[deubi 10]

Da vom Ganzen keine Doku existiert, bzw. das an Dir hängt, würde ich Variante 2 empfehlen. Alles mal eingehend anschauen; im übrigen kann ich reinersw beipflichten.

[networker31 10]

Wie seihts denn mit einer fernverwaltungssoftware und inventar-programm aus ? Ist eins vorhanden ?

 

(DAMEWARE oder NetOP machen sich da ganz gut, kosten aber Geld)

 

Von MS gibts auch ein paar gute Tools zur Inventarisierung und lokalisierung von software.

da würde ich ansetzten !

 

 

Aufnahme der HW, alle Clients umstellen mit einer Standartinstallation W2K,somit sind schom mal die rechte lokal eingeschränkt. Vorher kann man mit o.g. Tools lokale dateien sichern oder in andere Part. verschieben.

 

Die frage wäre jetzt noch W2K oder NT Domäne ???

 

Ich würde dann erst mal vorhandene Gruppenzugehörigkeiten (usw), login-scripte und sonstiges rausschreiben. ist zwar im ersten moment viel arbeit aber einmal gemacht und ruhe is.

 

Dann die sache mit den Ornern,Laufwerken usw.

 

erst mal nur die rechte auf das eigene Hme-LW vergeben und/oder auf EINDEUTIG erkennbare Gruppenlaufwerke.

den Rest einfach dicht machen.

 

Die User melden sich schon, wenn sie rechte brauchen.

 

Aber egal wie du es anstellst, wichtig ist:

 

Alles vom Geschäftsleiter und Betriebsrat absegnen lassen (schriftlcihes Konzept), damit kann dir keiner ans Bein pinkeln und du bist immer auf der sicheren Seite.

[RadarRider 10]

Die User melden sich schon, wenn sie rechte brauchen.

 

Eben das sollte nach Möglichkeit nicht passieren, sind nämlich alles Genies und die It nur Doofies...(Kennt bestimmt der eine oder andere hier...)

 

 

 

Die frage wäre jetzt noch W2K oder NT Domäne ???

 

NT4.0 Server, W2k Arbeitsstationen. Kein Novell, kein Unix, aber ne 3270-Herde...

 

Geplant ist eine durchstrukturierte NT-Domain, die irgendwann in eine ActiveDirectory-Domain überführt werden soll, wenn sich die Kompatibilität mit der betrieblichen Softwareumgebung herausgestellt hat (toller Satz, was?). Ansonsten wirds wohl so laufen wie es Networker31 dargestellt hat. Wichtig ist halt nur das jedes Genie sofort Zugriff auf die wichtigen Sachen hat... Naja "Wir arbeiten dran"... Ach ja: Fernwartung ausschließlich mit MS-Bordmitteln, aus Sicherheitsgründen (die Dinger kenn ich wenigstens, hab keine Zeit mich noch mit Timbuktu oder so rumzuschlagen).

 

Erstmal danke für die Tips, falls doch jemand so ein Skript kennt, nur her damit.

 

Gruß vom RR

[reinersw 10]

Eben das sollte nach Möglichkeit nicht passieren, sind nämlich alles Genies und die It nur Doofies...(Kennt bestimmt der eine oder andere hier...)

 

 

Hai radarrider,

ihr müsst Euch anders verhalten, dann betteln die Genies auch wie kleine Kinder nach Euch.

Wer wissen will wie man das macht, kann gerne eine PN an mich senden.

 

reinersw

 

 

---------------------------------------

knapp daneben ist auch vorbei

[networker31 10]

Die Fernwartungsmittel von MS sind nix für Profis. Man sollte sich echt mal überlegen DameWare anzuschaffen, redzuziert Kosten,Zeit und NERVENVERLUSST der Admins ganz erheblich.

 

Und schwer damit umzugehen ist es nun ganz sicher nicht !!

Testversion bei

http://www.dameware.com

 

Lass die User doch maulen, das meisste von der umstrukturierung würde ich sowieso am WE oder nach Feierabend machen!

 

Übrigends:

Könnte man nicht direkt eine vollständige Migration zu W2K machen und dann ordnen ?

Mit GPO´s und sonstigem ist vieles leichter !!

[RadarRider 10]

Dameware scheidet aus, ist nicht freigegeben durch die Allmacht Gottes (Zentrale). Und so schlecht sind Konsole und co nicht, man muß nur wollen.

 

Man könnte durchaus alles plätten und neu aufsetzen, aber... siehe oben. Deshalb ja meine verrückte Idee mit dem Auslesen der Rechte, ich mach mir den Streß bestimmt nicht aus Spaß...

 

Laß die User doch maulen geht auch nicht, ich hänge nämlich an meinem Job. Der gibt mir das Gefühl, mir den Luxus von Essen, Wohnung etc. leisten zu können...Und das akute Problem ist das zusammenwürfeln der Rechte von 2 Accounts, wo die Zugriffsrechte quer über die ganze Domain verteilt immer nach Gusto gesetzt wurden, wenn mal wieder irgendein Zugriff nötig war. Keine Gruppen, keine Ordnerstruktur, Horror. Naja, sind ja nur 4000 mögliche Dateien... ******

 

Na ich freu mich drauf, dcpromo schreiben zu dürfen *Lichtblick*

[networker31 10]

Ok,OK, maulen fällt also aus !!

 

Man könnte das ganze als eine Art "MODERNISIERUNG von schadstoffbelasteten Häusern" verkaufen.

 

Alles rausreißen, nur das grundgerüsst bleibt stehen, dann neu aufbauen und zwar diesmal richtig und am Montag muss man schon wieder drin wohnen können.

 

Alles klar ?

[zuschauer 10]

Hi RadarRider !

Wenn ich das richtig verstanden habe, hast Du da 3 Probleme:

1.

vermanschtes Netz (sorry wollte vermaschtes sagen :D ), die Zugriffsberechtigungen sind ein Mischung aus Freigaberechten und NTFS-Rechten

 

2. die Geschäftsführung

 

3. die Inhaber zweier Accounts ( zufällig verwandt oder verschwägert mit 2. )

 

Wahrscheinlich sind die Freigaben noch überschaubar, das Problem sind die NTFS-Berechtigungen.

 

Folgender Vorschlag:

die beiden Accounts werden temporär Mitglied der Admin-Gruppe, damit sind alle Fälle abgedeckt, wo der Admin auch rankommt.

Dann checkst Du mit xcacls aus dem NT4-Reskit die NTFS-Berechtigungen und änderst die schrittweise so, wie Du sie für Deine Netzwerkstruktur benötigst (daß Du da eine Vorstellung hast, setze ich voraus).

Da wirst Du immer noch Anrufe erhalten "ich komm nicht ran", niemand ist vollkommen, aber die 2 Accounts merken davon nichts (im Normalfall sind die aber auch nicht sehr aktiv im Netz unterwegs).

 

zuschauer

 

PS: xcacls ist sehr gut geeignet, in einem Script die NTFS-Rechte zu ändern.

[grutsch 10]

ich habe noch etwas überlegen müssen......

 

der befehl cacls *.* liefert dir zu jeder datei eines verzeichnisses alle Berechtigungen; das kann man ja in eine Datei umleiten. ;)

Da Cacls zu jeder Datei auch den Pfad angibt, brauchst du das nicht zu extrahieren.

 

Wenn du viele Ordner hast,

muss du das über ein script rekursiv durchgehen.

 

Dann kannst du dementsprechend deine neue Ordnerstruktur mit Gruppenrechten anlegen. :D

 

grutschmööhh.

 

PS: Da diese Rechte über scripting nicht ausgelesen werden können, ist sehr viel handarbeit beim umkopieren angesagt!

NaJa, man könnte diese ergebnisdatei vielleicht über scripte weiter bearbeiten.... und Prioritäten setzen über das zugriffsdatum etc.

[RadarRider 10]

@ Zuschauer & Grutsch:

 

Das klingt sehr sehr gut. Probier ich am Montag mal aus (heute ist Listendrucktag :rolleyes: )

[Thomas 10]

Hallo

 

Ich hab ein Tool gefunden,

http://www.systemtools.com/somarsoft/

Ist gratis und funktioniert suuuper!!