tiger-gk4 10 Geschrieben 13. Oktober 2005 Melden Teilen Geschrieben 13. Oktober 2005 Hey, ich brauche eine Information zu NTFS-Berechtigung auf einen freigegebenen Ordner auf einem WinServer2003 DC: Wenn sich ein Benutzer zum ersten mal anmeldet, soll sein Basis/Benutzerverzeichnis automatisch erstellt werden. Das funktioniert. Dazu ist auf dem Server eine Freigabe mit Freigabe-Berechtigung jeder angelegt. Wie genau muss die NTFS-Berechtigung auf eben diesen Ordner aussehen, sodass die Erstellung des Basis/Benutzerverzeichnisses gelingt, die Benutzer aber nur Zugriff auf ihr eigenes Basis/Benutzerverzeichnis haben? Die jetzt eingetragene NTFS-Berechtigung ist ERSTELLER-BESITZER Vollzugriff für Unterordner und Dateien, Administrator und System Vollzugriff auf alles. Ich hoffe, ich habe das genau genug beschrieben. Vielen Dank im Voraus -tiger-gk4- Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. Oktober 2005 Melden Teilen Geschrieben 13. Oktober 2005 Ich erstelle mir einen Ordner, gebe ihn als Home$ frei mit den Freigabeberechtigungen "Authentifizierte Benutzer - Vollzugriff" und den NTFS-Berechtigungen "Administratoren - Vollzugriff" auf "Diesen Ordner, Unterordner und Dateien". Dann erstelle ich die Benutzer mit Hilfe eines Templates oder wie auch immer und konfiguriere im Profiltab des Benutzers, dass das Laufwerk Z: (z.B.) \\server\home$\%USERNAME% als Basisordner zugeordnet werden soll. Diese Ordner werden dann unterhalb von Home$ mit dem Namen des Benutzers erstellt und haben die Berechtigung "Administratoren - Vollzugriff" und "<User> - Vollzugriff". Da die Freigabe versteckt ist, kann man sie nicht in der Netzwerkumgebung sehen und selbst wenn die User den Namen kennen, können sie nicht zugreifen. Auf das gemappte Laufwerk können sie natürlich mit vollen Berechtigungen zugreifen. Zitieren Link zu diesem Kommentar
tiger-gk4 10 Geschrieben 14. Oktober 2005 Autor Melden Teilen Geschrieben 14. Oktober 2005 Hey IThome, diese Einstellung kenne ich. Vielen Dank :) . Leider gehts so nicht bei uns aus folgendem Grund: Die User sind schon in der ADS (Export aus einem anderen System), haben aber damit noch kein Basisverzeichnis. Das soll erst entstehen, wenn die erste Anmeldung tatsächlich erfolgt. Der Sinn ist, dass keine Basisverzeichnisse entstehen, wenn sich der User womöglich gar nicht anmeldet. ;) Gruß -tiger-gk4- Zitieren Link zu diesem Kommentar
Letze01 10 Geschrieben 14. Oktober 2005 Melden Teilen Geschrieben 14. Oktober 2005 Hay hay, vielleicht kannst Du Dich mit einer Scriptvariante anfreunden?!?! Erstelle auf Deinem Server einen Ordner und spreche die NTFS-Rechte Administratoren Vollzugriff und Ersteller-Besitzer aus. Gib den Ordner frei, sodass die User drauf schreiben können, am besten hidden. Die folgenden Zeilen ins Loginscript ------------------------------------------------------------------------ @echo off if not exist \\DEIN-SERVER\DEINE-FREIGABE\%USERNAME% (goto MD) ELSE goto NO :MD md \\DEIN-SERVER\DEINE-FREIGABE\%USERNAME% cacls \\DEIN-SERVER\DEINE-FREIGABE\%USERNAME% /E /P %USERNAME%:C echo Das Verzeichnis wurde erstellt goto END :NO echo Es ist bereits ein entsprechendes Verzeichnis vorhanden. :END ------------------------------------------------------------------------ und schon sollte Dir geholfen sein ;) Zitieren Link zu diesem Kommentar
tiger-gk4 10 Geschrieben 14. Oktober 2005 Autor Melden Teilen Geschrieben 14. Oktober 2005 Hey Letze01, vielen Dank für die Idee. Sowas ähnliches hatte ich schon, kannte aber die Zeile mit cacls nicht. Das hat geholfen und ich bin dem Ziel nahe. Die folgenden Zeilen ins Loginscript ------------------------------------------------------------------------ @echo off if not exist \\DEIN-SERVER\DEINE-FREIGABE\%USERNAME% (goto MD) ELSE goto NO :MD md \\DEIN-SERVER\DEINE-FREIGABE\%USERNAME% cacls \\DEIN-SERVER\DEINE-FREIGABE\%USERNAME% /E /P %USERNAME%:C >>>?? net use i: \\DEIN-SERVER\DEINE-FREIGABE\%USERNAME% /persistent :no ???<<< echo Das Verzeichnis wurde erstellt goto END :NO echo Es ist bereits ein entsprechendes Verzeichnis vorhanden. :END ------------------------------------------------------------------------ Es bleiben hier trotzdem 2 Fragen: 1. - Was ist mit dem Admin-Recht nach dem cacls-Befehl? Der Admin muss Zugriff behalten!! 2.a. - ist es besser, mit net use das Verzeichnis in dieser Datei als Benutzerverzeichnis/Laufwerk zu mounten (siehe oben Eintrag in deinem Vorschlag) oder besser über den Profil-Eintrag z.B. Laufwerk I: als \\DEIN-SERVER\DEINE-FREIGABE\%USERNAME% verbinden? oder 2.b. - ist es besser, die ganze Skriptdatei über Gruppenrichtlinien des Benutzers beim LogOn zu starten? oder 2.c. - ist es besser, mit Skriptdatei das Verzeichnis zu erzeugen (GPO) und das mounten über den Profil-Eintrag zu realisieren? Es passiert bei unseren 150 Client immer mal wieder, das Gruppenrichtlinien nicht anziehen, Benutzerprofileinträge hingegen gehen eigentlich immer. Nochmal vielen Dank im Voraus. -tiger-gk4- Zitieren Link zu diesem Kommentar
Letze01 10 Geschrieben 14. Oktober 2005 Melden Teilen Geschrieben 14. Oktober 2005 Hay hay, ich habe die Befehle natürlich vor Veröffentlichung getestet :D und bei mir blieb die Gruppe der Administratoren (oder was auch immer Du eine Ebene höher alles einsetzt) erhalten. Der cacls-Befehl in dieser Syntax verändert nur die Rechte und ersetzt sie nicht (ist ein anderer Parameter) Die Möglichkeiten bezüglich Deiner mit 2 bezifferten Fragen sind sehr vielseitig und meineserachtens reine Philosophie und Vorliebe. In Deinem Fall, wo Du ja die Basisverzeichnisse nicht alle erstellen lassen möchtetst, fällt denke ich die Möglichkeit der Steuerung übers Profil aus, da hierbei das Verzeichnis ja doch wieder angelegt wird (wenn Du nicht gerade einen anderen Pfad wählst, was ich sehr mühsam fände). Erstelle doch ein generelles Login-Script in dem Du allgemeingültige Laufwerke verbindest und meine Zeilen miteinfügst, damit diese bei Bedarf ersetzt oder erweitert werden können. Am Ende machst Du - sofern erforderlich - noch einen Call auf ein userbezogenes Script per call %USERNAME%.cmd Ich denke somit bist Du am felxibelsten - doch es gibt wie gesagt mehrere Möglichkeiten, sicherlich auch bessere ;) Zitieren Link zu diesem Kommentar
AndreG 10 Geschrieben 14. Oktober 2005 Melden Teilen Geschrieben 14. Oktober 2005 Hi tiger-gk4, es sollte eigentlich ohne Probleme funktionieren, wenn die Freigabeberechtigung Jeder mit Vollzugriff eingestellt ist. Die NTFS-Berechtigungen bedienen sich der eigentlichen Standardkonfiguration also lokaler Benutzer-Lesen/Ausführen...Lesen, Ersteller-Besitzer, Administrator,System Vollzugriff. Sobald sich der User anmeldet und in seiner Kontenkonfiguration der Pfad zu einem servergespeicherten Profil eingetragen ist, wird automatisch ein Ordner angelgt, wo er nur Zugriff hat und beim Abmelden dann mit seinen lokalen Benutzerprofildaten befüllt wird. AndreG Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.